Corrigée à l’été 2025, une vulnérabilité critique de WinRAR continue pourtant d’alimenter des campagnes malveillantes bien réelles. Dans une analyse récente, Google Threat Intelligence Group met en lumière une mécanique désormais classique : celle d’une faille banalisée par le temps, mais toujours exploitée par des acteurs aux profils et aux objectifs très différents.
Une vulnérabilité n-day toujours exploitée
La faille identifiée dans WinRAR repose sur un mécanisme de traversée de répertoires permettant l’écriture de fichiers en dehors du dossier d’extraction prévu. Un comportement corrigé avec la version 7.13 du logiciel, publiée en juillet 2025. En théorie, le risque est clos. En pratique, il ne l’est pas.
Google constate que la vulnérabilité « continue d’être exploitée comme une vulnérabilité n-day », soulignant un décalage persistant entre la publication d’un correctif et sa prise en compte effective dans les environnements. Tant que des versions vulnérables restent déployées, la surface d’attaque demeure intacte.
Des campagnes multiples, un même levier technique
Ce qui ressort nettement de l’analyse, c’est la diversité des campagnes observées. La vulnérabilité est exploitée « dans le cadre d’opérations disparates », sans schéma unique ni finalité homogène.
Google précise ainsi que « des acteurs malveillants soutenus par des gouvernements liés à la Russie et à la Chine, ainsi que des acteurs malveillants motivés par des intérêts financiers, continuent d’exploiter cette vulnérabilité n-day ». Une phrase qui résume à elle seule la valeur opérationnelle de ce type de faille : suffisamment simple, suffisamment fiable, pour être adoptée par des acteurs aux logiques très différentes.
La persistance comme stratégie implicite
Sur le plan technique, l’exploitation s’appuie sur l’utilisation de flux de données alternatifs afin de dissimuler des fichiers malveillants dans des archives RAR apparemment légitimes. Lors de l’extraction, ces fichiers peuvent être déposés dans des emplacements sensibles du système, notamment des répertoires de démarrage, permettant une exécution automatique au redémarrage.
Mais l’enjeu dépasse largement le cas WinRAR. L’analyse rappelle que la correction d’une vulnérabilité ne marque pas la fin du risque. Tant que les cycles de mise à jour restent incomplets ou différés, les vulnérabilités corrigées continuent d’alimenter des campagnes actives.
