Vous utilisez 7-Zip pour décompresser des fichiers RAR? Vers le téléchargement d'archives ZIP? Cela ne vous a peut-être pas affecté pendant des mois. Ou alors. Et vous ne l'avez pas remarqué.
En octobre 2025, il est devenu public: 7-Zip avait deux vulnérabilités de haut niveau (CVE-2025-11001 et CVE-2025-11002) que les attaquants utilisaient pour exécuter du code arbitrairement sur votre machine.
Le problème: Traversale Symlink et exécution de code
Ça a l'air impressionnant? C'est le cas. Voici comment cela fonctionne:
Un attaquant crée un fichier ZIP malveillant avec des données spécialement manipulées. Si vous décompressez l'archive à l'aide d'une version 7-Zip plus ancienne, le traitement incorrect des liens symboliques (liens symboliques) exploite une erreur de traversée d'annuaire. Cela permet à l’attaquant d’écrire des fichiers en dehors du dossier cible, éventuellement avec du code malveillant dans des emplacements système sensibles.
Une attaque symlink-traversale classique. Ce n’est pas nouveau en matière de sécurité, mais lorsqu’il rencontre 7-Zip, un outil utilisé par des millions de personnes chaque jour, il devient sérieux.
Combien de temps le problème a-t-il duré?
C'est la question effrayante. Les lacunes ont été signalées au développeur le 2 mai 2025. L’annonce publique n’a été faite que le 7 octobre 2025.
Cela fait plus de cinq mois que les chercheurs en sécurité ont donné à Igor Pavlov le temps de développer un patch. C'est ce qu'on appelle la divulgation responsable. Le bon côté: Le patch était prêt avant que le monde apprenne qu'il y avait un problème.
Le mauvais côté? Vous étiez tous vulnérables tout le temps.
La version 25 était le fix
Igor Pavlov, le développeur de 7-Zip, a agi rapidement. La version 25.00 a été publiée le 5 juillet 2025 et a corrigé les vulnérabilités, ainsi que plusieurs problèmes mineurs liés à la gestion des archives RAR et COM. La version stable actuelle est 25.01 (août 2025).
Le problème: Personne ne savait pourquoi la mise à jour était importante. Parce que les détails de sécurité n'étaient pas publiés.
Pourquoi c'est si dangereux: Le problème de mise à jour 7-Zip
Voici la faiblesse centrale: 7-Zip ne se met pas à jour automatiquement. Beaucoup de gens utilisent des copies portables plus anciennes qui ne sont jamais mises à jour.
Ce n'est pas simplement une faiblesse de conception. C'est une catastrophe d'architecture de sécurité.
Comparer avec Chrome, Firefox ou Windows: Ces outils se mettent automatiquement à jour en arrière-plan. Vous obtenez les correctifs de sécurité sans y penser.
7-Zip? Vous devez aller manuellement sur le site, télécharger la nouvelle version et la mettre à jour. Combien d'entre vous le font régulièrement?
Exactement.
Et puis il y a les environnements d’entreprise: 7-Zip n'est souvent pas détecté par les systèmes de gestion des correctifs, car il n'est pas installé via le programme d'installation de Windows ou un référentiel central. Il vit comme un corps étranger dans l'infrastructure informatique.
L'escalade des problèmes 7-Zip
Ce n'est pas la première fois que 7-Zip fait les gros titres. Au début de 2025, CVE-2025-0411 a été découvert, une vulnérabilité qui permettait aux attaquants de contourner les mesures de protection Windows Mark-of-the-Web (MoTW) en cachant des fichiers dans des archives imbriquées et en supprimant l’avertissement «téléchargé à partir d’Internet». Cela a été corrigé dans la version 24.09 (novembre 2024).
Mais combien d'entre eux avaient vraiment installé 24.09?
Version 25.01. Combien vont vraiment le mettre à jour?
C'est le modèle qui se dessine: 7-Zip est comme une voiture avec de nouveaux défauts de sécurité hebdomadaires, et le mécanicien ne peut qu’espérer que vous viendriez le réparer vous-même.
CVSS 7.0: Qu'est-ce que cela signifie?
Les deux vulnérabilités ont un score de base CVSS de 7.0. L'exploitation nécessite une interaction de l'utilisateur, mais l'obstacle est faible: Il suffit d'ouvrir ou d'extraire une archive malveillante.
Ce n’est pas «critique», mais «élevé». Le classement est dû au fait que vous devez toujours cliquer sur un fichier. Mais avec des fichiers ZIP provenant d'e-mails? Pour les téléchargements sur Internet? C'est exactement l'interaction qui se produit des millions de fois par jour.
Qu'est-ce qui est recommandé?
La réponse est claire: Si vous utilisez 7-Zip, vous devez immédiatement passer à la version 25.01 ou ultérieure. directement sur le site officiel téléchargeable. L'installateur remplace l'ancienne copie et conserve vos paramètres.
Et jusque-là? Soyez extrêmement prudent avec les fichiers ZIP provenant de sources inconnues. Évitez d'ouvrir des archives qui semblent suspectes ou proviennent d'e-mails non vérifiés.
Le plus grand modèle
C'est ce qui est à la fois fascinant et effrayant: Les outils de compression sont partout. ZIP, RAR, 7Z, tous largement utilisés, tous souvent sous-estimés dans la sécurité.
Et tandis que 7-Zip est un projet open source légitime d'Igor Pavlov, qu'il gère apparemment seul, voici un problème fondamental: L'infrastructure critique avec un seul mainteneur et aucun mécanisme de mise à jour automatique est un risque de sécurité, pas une solution.
Que reste-t-il?
La bonne nouvelle: Le patch est là et fonctionne.
La mauvaise nouvelle: Des millions ne le sauront jamais. Des millions ne mettront jamais à jour. Les agresseurs le savent. ⁇
Conclusion: 7-Zip est un excellent outil, mais c'est aussi un rappel que tous les projets logiciels n'ont pas de pratiques de sécurité modernes. Mises à jour automatiques, divulgation responsable, patching rapide, tout bon et beau. Mais si votre outil ne récupère pas avec le temps, vous devenez un risque pour la sécurité.
Mise à jour 25.01. Maintenant! Pas demain.
FR 
DE 
EN 
ES 
IT