Après avoir été finalisées et scrutées minutieusement, de nouvelles versions de bombes zip continuent de maintenir les experts en sécurité en état d’alerte.
Imaginez un fichier zip apparemment anodin, de quelques kilo-octets seulement, se métamorphosant en une charge de pétaoctets ou d’exaoctets, capable de faire planter un système après un simple clic pour l’extraire.
On pourrait qualifier cela de bombe à déclenchement rapide, de bombe de décompression, ou plus communément, de zip de la mort.
Qu’est-ce qu’une bombe Zip ?
Il s’agit d’un fichier comprimé, caractérisé par plusieurs niveaux d’imbrication, ou parfois un seul niveau, qui, une fois décompressé, occupe un espace de stockage bien supérieur à ce que la plupart des ordinateurs peuvent gérer.
L’objectif principal d’une bombe zip est de saturer le processeur et les programmes antivirus en décompressant ou en analysant son contenu, tout en laissant passer discrètement des logiciels malveillants dans le système.
Cependant, la plupart des solutions antivirus modernes sont capables d’examiner un fichier zip sans avoir à l’extraire. Si elles détectent plusieurs couches de compression, elles le signalent comme une bombe zip, évitant ainsi son analyse.
Un cas d’école est le fichier zip nommé « .42 », qui ne pèse que 42 Ko une fois comprimé. Il est constitué de six couches de données compressées. Les cinq premières contiennent chacune 16 fichiers, et la dernière un seul fichier de 4,3 Go.
Cependant, une fois entièrement décompressé, l’espace total qu’il occupe est de 4,5 Po.
Il faut se rappeler que 1 Po équivaut à 1 000 000 Go, soit 1 000 To.
À titre de comparaison, mon ordinateur portable ne dispose que de 512 Go de stockage, soit environ 0,5 To. Le plus grand disque dur externe que je possède fait 1 To. Par conséquent, la plupart des ordinateurs personnels pourraient théoriquement planter en tentant d’ouvrir récursivement le fichier .42. Le plus étonnant, c’est que ce fichier est facilement téléchargeable sur Internet (à vos propres risques, bien entendu).
Cependant, la plupart de ces bombes ne sont pas dangereuses en elles-mêmes. Elles peuvent néanmoins être accompagnées de scripts de décompression récursifs, capables de les activer et d’atteindre leur objectif malveillant.
Types de bombes Zip
À l’instar de nombreux logiciels malveillants, les bombes zip existent en plusieurs versions, avec des effets et des modes opératoires différents.
#1. Récursives
Ces bombes se caractérisent par de multiples couches encapsulées dans un seul fichier zip. Le fichier .42 dont nous parlions est un exemple de bombe zip récursive.
Une variante particulière des bombes zip récursives est le zip quine. Ces derniers poussent le concept encore plus loin : à chaque décompression, le contenu est copié, ce qui engendre un fichier compressé avec un nombre incalculable de couches imbriquées. Théoriquement, il est impossible de décompresser complètement un zip quine, quelles que soient les ressources disponibles.
Cependant, les bombes zip récursives sont considérées comme obsolètes. Les antivirus modernes sont capables de détecter leur structure et d’éviter leur traitement.
#2. Non récursives
David Fifield, le programmeur à l’origine de ces archives non récursives, les appelle « de meilleures bombes zip ».
Contrairement à leurs prédécesseurs, ces bombes se décompressent intégralement en une seule fois, sans nécessiter de multiples étapes de décompression. Cela est rendu possible grâce à un taux de compression bien supérieur à ce que l’on observe habituellement avec les fichiers zip.
En général, le taux de compression maximal qu’un fichier zip peut atteindre est de réduire sa taille d’un facteur 1032 par rapport à sa taille standard. Ceci est obtenu grâce à l’algorithme de compression DEFLATE. Toutefois, David Fifield a mis au point une technique qui permet aux bombes zip non récursives d’exploser avec un facteur de plus de 28 millions (1 Ko se transformant en 26,7 Go) en une seule opération.
Il est donc difficile de les détecter et elles sont par conséquent plus dangereuses.
Comment fonctionnent les bombes Zip ?
Comme nous l’avons déjà mentionné, les bombes zip sont inoffensives tant qu’elles ne sont pas décompressées. Le danger se présente donc uniquement si un programme tente de décompresser automatiquement chaque fichier zip que vous téléchargez.
De plus, un antivirus obsolète peut ne pas identifier la structure d’un fichier et procéder à l’analyse d’une bombe zip nouvellement téléchargée. Dans ce cas, le système peut subir un dysfonctionnement.
En outre, une bombe zip récursive peut dissimuler des logiciels malveillants en profondeur, dans une couche que l’antivirus pourrait ne pas explorer.
Cependant, ce cas concerne les bombes zip récursives.
Les bombes non récursives, quant à elles, peuvent paralyser les ressources système en un seul cycle d’extraction, sans être détectées par la plupart des antivirus actuels.
Se protéger des bombes Zip
La meilleure façon de se prémunir contre ces menaces est d’adopter une bonne hygiène numérique. En premier lieu, il est essentiel de ne jamais télécharger de fichiers provenant de sites non fiables, surtout si votre navigateur vous met en garde contre un danger potentiel.
Il en va de même pour les courriels indésirables. N’ouvrez jamais les pièces jointes si vous n’êtes pas certain de leur origine. Si votre fournisseur de messagerie, tel que Gmail, vous avertit d’un danger, prenez le temps de vérifier l’origine du message avant d’interagir avec lui.
Par exemple, vous pouvez saisir le nom du fichier joint dans un moteur de recherche comme Google pour vérifier sa nature. La plupart des bombes zip sont documentées, et vous trouverez probablement des résultats de recherche mentionnant précisément ce nom de fichier.
Néanmoins, voici une liste non exhaustive de mesures à prendre pour rendre votre expérience en ligne plus sûre.
Antivirus
À une époque où les logiciels malveillants peuvent se cacher à la vue de tous, l’utilisation d’un bon antivirus représente la moitié du travail de protection. Il existe des solutions gratuites, mais il faut savoir que ces dernières cherchent souvent à transformer l’utilisateur en un autre produit.
De plus, l’antivirus fonctionne à chaque fois que votre ordinateur est allumé, parfois même sans que vous le sachiez. Il est donc judicieux d’investir dans un antivirus de qualité supérieure. Ces solutions payantes offrent des pare-feu avancés, des outils d’optimisation du système et d’autres outils comme un VPN ou un gestionnaire de mots de passe, pour une cybersécurité optimale.
Cependant, voici une liste d’antivirus gratuits pour votre PC si, pour une raison ou une autre, je n’ai pas réussi à vous convaincre d’opter pour une solution payante.
Éducation
L’antivirus peut vous protéger des programmes informatiques malveillants, mais il est souvent impuissant face à l’ingénierie sociale.
Dans ce type d’attaque, la victime est incitée à télécharger et à décompresser une bombe zip, en argumentant que les fichiers zip ne sont pas des virus. Malheureusement, certaines personnes tombent dans ce piège et finissent par installer des logiciels malveillants sur leur système.
Par la suite, la victime peut être confrontée à des logiciels espions, des rançongiciels, des tentatives de phishing, etc., où le cybercriminel cherche à voler des informations personnelles ou à causer des pertes financières.
Dans ce contexte, la seule protection efficace est l’éducation. Il est essentiel que chacun soit informé des différentes formes d’escroqueries et qu’il partage ces connaissances avec son entourage.
En résumé !
Les bombes zip sont des fichiers capables d’occuper la totalité de votre disque dur, voire davantage, et de saturer les ressources de votre système, entraînant un plantage.
Puisqu’il ne s’agit pas à proprement parler de logiciels malveillants, il n’est pas toujours facile d’identifier les bombes zip, en particulier les non récursives. Jusqu’à présent, la seule stratégie de défense efficace repose sur la prévention.
Cela passe par une utilisation éclairée d’Internet, l’utilisation d’un antivirus de qualité et la vigilance face aux tentatives d’ingénierie sociale.
PS : Nous vous rappelons que notre section de sécurité sur toptips.fr est régulièrement mise à jour avec des articles intéressants pour votre sécurité personnelle et professionnelle. N’hésitez pas à la mettre en favoris et à la consulter de temps en temps afin de vous informer des dernières actualités.