WinRAR, l’outil de compression de fichiers incontournable pour beaucoup, vient de faire les gros titres pour une raison inquiétante : une vulnérabilité critique, baptisée CVE-2025-8088, a été découverte et activement exploitée par des cybercriminels.
Cette faille, de type zero-day, permet à des attaquants de prendre le contrôle d’un ordinateur sous Windows en exploitant une archive RAR piégée. Voici tout ce qu’il faut savoir pour comprendre cette menace et s’en protéger.
Une faille zero-day qui fait des vagues
La vulnérabilité CVE-2025-8088 est un problème de type path traversal (traversée de répertoire), qui permet à un attaquant de déposer des fichiers malveillants dans des dossiers sensibles du système, comme le dossier de démarrage de Windows. Découverte par les chercheurs d’ESET, Anton Cherepanov, Peter Košinár et Peter Strýček, elle a été repérée pour la première fois le 18 juillet 2025, après l’observation d’une activité suspecte dans les journaux de fichiers Windows. En seulement six jours, après avoir alerté les développeurs de WinRAR, une mise à jour corrective (version 7.13) a été déployée le 30 juillet 2025.
Cette faille touche toutes les versions de WinRAR pour Windows antérieures à la 7.13, ainsi que les outils associés comme UnRAR.dll et le code source portable UnRAR. Bonne nouvelle pour les utilisateurs d’autres plateformes : les versions Unix et Android ne sont pas affectées.
Comment les pirates exploitent-ils cette faille ?
Le mécanisme est aussi simple qu’efficace. Les attaquants créent une archive RAR contenant un fichier inoffensif en apparence, comme un CV ou un document administratif, mais dissimulant un code malveillant. Lors de l’extraction, la faille permet à ce code de s’installer dans des dossiers sensibles, comme %TEMP%, %LOCALAPPDATA% ou le dossier de démarrage Windows. Une fois en place, le programme malveillant peut s’exécuter automatiquement au redémarrage de l’ordinateur, ouvrant la porte à des attaques comme l’installation de backdoors, le vol de données ou même le déploiement de ransomwares.
Les pirates exploitent une fonctionnalité peu connue de Windows, les alternate data streams (ADS), qui permet de représenter un même chemin de fichier de plusieurs façons. En combinant cela avec des séquences de traversée de répertoire (comme ..\\..\\), ils contournent les protections habituelles de WinRAR, qui ne vérifiait pas correctement les chemins d’extraction avant la mise à jour.
Qui sont les coupables ?
Deux groupes distincts ont été identifiés comme exploitant cette faille. Le premier, RomCom (aussi connu sous les noms Storm-0978 ou Tropical Scorpius), est un groupe russophone connu pour ses attaques ciblées à des fins financières et d’espionnage. Entre le 18 et le 21 juillet 2025, RomCom a visé des entreprises des secteurs financier, manufacturier, de la défense et de la logistique en Europe et au Canada, en utilisant des emails de spear-phishing déguisés en candidatures spontanées ou documents officiels.
Le second groupe, Paper Werewolf (ou GOFFEE), également russophone, a ciblé des organisations en Russie et en Ouzbékistan. Selon la société de cybersécurité BI.ZONE, ce groupe a combiné CVE-2025-8088 avec une autre vulnérabilité, CVE-2025-6218, corrigée quelques semaines plus tôt. Leurs attaques, menées en juillet et août 2025, utilisaient des emails se faisant passer pour des communications officielles d’un institut de recherche russe. BI.ZONE suggère que Paper Werewolf aurait pu acquérir l’exploit sur un marché noir du dark web pour environ 80 000 $.
Trois scénarios d’attaque bien rodés
Les chercheurs d’ESET ont identifié trois méthodes distinctes utilisées par les attaquants pour exploiter cette faille :
- Mythic Agent via COM Hijacking : Une archive dépose un fichier DLL malveillant dans
%TEMP%, qui est ensuite exécuté via une technique d’usurpation d’objets COM, souvent à travers des applications légitimes comme Microsoft Edge. Ce fichier vérifie le nom de domaine de la machine avant d’installer un framework d’attaque appelé Mythic Agent. - SnipBot avec anti-analyse : Un fichier exécutable Windows, déguisé en outil légitime comme PuTTY, installe le malware SnipBot, conçu pour se désactiver dans des environnements d’analyse (comme les machines virtuelles) pour échapper à la détection.
- RustyClaw et MeltingClaw : Ces deux malwares, également liés à RomCom, sont utilisés pour télécharger d’autres charges malveillantes via des serveurs de commande et contrôle (C2) distincts.
Un passé mouvementé pour WinRAR
Ce n’est pas la première fois que WinRAR est dans le viseur des cybercriminels. En 2019, une faille d’exécution de code a été massivement exploitée peu après sa correction. En 2023, une autre vulnérabilité zero-day (CVE-2023-38831) a été utilisée pendant plus de quatre mois avant d’être détectée. La popularité de WinRAR, avec ses 500 millions d’utilisateurs, et l’absence de mise à jour automatique en font une cible de choix.
La faille CVE-2025-6218, mentionnée plus tôt, illustre également une récurrence des problèmes de path traversal dans WinRAR. Corrigée en juin 2025, elle avait un score CVSS de 7.8, légèrement inférieur à celui de CVE-2025-8088 (8.4). Ces incidents soulignent la complexité des outils de compression et leur attrait pour les attaquants.
