WinRAR, ce logiciel que quasiment tout le monde a installé sur son PC depuis des années sans jamais penser à le mettre à jour, vient de se révéler être une porte d’entrée royale pour les cybercriminels. Une vulnérabilité majeure, baptisée CVE-2025-8088, est actuellement exploitée par le groupe de hackers russes RomCom pour prendre le contrôle total d’ordinateurs Windows simplement en ouvrant une archive malveillante. Et le pire ? Vous avez probablement une version vulnérable installée sur votre machine.
Une faille qui ouvre toutes les portes
Le mécanisme d’attaque expliqué
La vulnérabilité découverte par les chercheurs d’ESET est particulièrement vicieuse. Il s’agit d’une faille de type « directory traversal » qui permet aux pirates de placer des fichiers malveillants dans des emplacements stratégiques de votre système, notamment dans les dossiers de démarrage de Windows.
Concrètement, lorsqu’une victime extrait une archive piégée avec WinRAR, le logiciel peut être trompé et déposer des fichiers exécutables dans les répertoires suivants :
- %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup (pour l’utilisateur actuel)
- %ProgramData%\Microsoft\Windows\Start Menu\Programs\StartUp (pour l’ensemble du système)
Une fois ces fichiers installés, ils s’exécutent automatiquement au prochain redémarrage de l’ordinateur, donnant aux attaquants un accès complet et persistant à la machine. Vous décompressez le fichier en pensant que tout va bien, mais en réalité vous venez d’installer une backdoor qui donnera un accès total à votre machine aux hackers.
RomCom : un groupe aux méthodes sophistiquées
Le groupe responsable de cette campagne d’attaque n’est pas un amateur. RomCom, également connu sous les alias Storm-0978, Tropical Scorpius ou UNC2596, est un collectif de cybercriminels étroitement lié à la Russie. Actif depuis 2022, ce groupe s’est d’abord concentré sur l’Ukraine, ciblant le gouvernement, l’armée et les infrastructures énergétiques du pays.
Aujourd’hui, RomCom a élargi son champ d’action et s’attaque aux organisations européennes, nord-américaines et internationales liées aux efforts humanitaires en faveur de l’Ukraine. Les chercheurs d’ESET ont observé des campagnes de phishing très ciblées entre le 18 et le 21 juillet 2025, visant des entreprises des secteurs financier, manufacturier, de la défense et de la logistique en Europe et au Canada.
La sophistication de leurs attaques est remarquable : les pirates déguisent leurs archives malveillantes en documents d’apparence légitime, comme des CV, pour tromper leurs victimes. Bien qu’aucune des cibles visées n’ait été compromise lors de cette campagne spécifique, la précision du ciblage montre que les attaquants avaient fait leurs devoirs et soigneusement étudié leurs victimes.
La riposte : une mise à jour urgente
La riposte : une mise à jour urgente mais manuelle
Face à cette menace, les développeurs de WinRAR ont réagi rapidement en publiant la version 7.13 le 30 juillet 2025 (initialement notée version 7.02 par certaines sources). Cette mise à jour corrige spécifiquement la vulnérabilité CVE-2025-8088 et empêche l’exploitation malveillante des chemins de fichiers lors de l’extraction.
Il est crucial de comprendre que WinRAR ne dispose pas de fonction de mise à jour automatique. Contrairement à de nombreux logiciels modernes, vous devez manuellement télécharger et installer la nouvelle version depuis le site officiel win-rar.com. Cette particularité rend les utilisateurs particulièrement vulnérables, car beaucoup ignorent l’existence de nouvelles versions de sécurité. C’est exactement ce problème qui rend cette faille si dangereuse : des millions d’utilisateurs ont probablement WinRAR installé depuis des années sans jamais l’avoir mis à jour.
Qui est concerné ?
La faille affecte plusieurs composants de l’écosystème WinRAR :
- WinRAR lui-même dans ses versions antérieures à 7.13
- Les versions Windows des outils en ligne de commande RAR et UnRAR
- La bibliothèque UnRAR.dll
- Le code source portable UnRAR
En revanche, les utilisateurs de Linux, macOS et Android utilisant les versions Unix de RAR et UnRAR ne sont pas concernés par cette vulnérabilité spécifique.
Un phénomène récurrent qui interroge
Une histoire qui se répète de plus en plus fréquemment
Cette découverte n’est malheureusement pas isolée et 2025 semble être une année particulièrement difficile pour WinRAR. En juin dernier, une autre vulnérabilité critique (CVE-2025-6218) avec un score CVSS de 7.8 avait déjà été identifiée, permettant l’exécution de code à distance. Il y a également eu la CVE-2025-31334 qui permettait de contourner le « Mark of the Web », cette protection Windows qui vous avertit quand vous ouvrez un fichier téléchargé d’Internet.
Cette récurrence soulève des questions sur la sécurité du code de WinRAR et sur la nécessité de revoir en profondeur l’architecture du logiciel. Pour un outil utilisé par des millions de personnes dans le monde, ces failles répétées constituent un risque majeur. D’ailleurs, il est intéressant de noter qu’un mystérieux acteur identifié comme « zeroplayer » a été repéré le 7 juillet 2025 en train de vendre un exploit WinRAR zero-day sur le forum dark web russe Exploit.in pour la somme de 80 000 dollars.
L’évolution des tactiques cybercriminelles et l’effet domino
L’exploitation de cette faille par RomCom illustre parfaitement l’évolution des méthodes des cybercriminels parrainés par des États. Le groupe ne se contente plus d’attaques opportunistes, mais investit temps et ressources dans le développement d’exploits sophistiqués pour des campagnes d’espionnage géopolitiquement motivées.
Un aspect particulièrement préoccupant est l’effet domino observé par les chercheurs : ESET a constaté qu’un second groupe de hackers, identifié comme « Paper Werewolf » (également appelé GOFFEE), a commencé à exploiter la même faille quelques jours seulement après RomCom. Ce groupe aurait ciblé des organisations russes via des emails de phishing se faisant passer pour des employés de l’Institut de recherche panrusse.
Les secteurs visés (défense, finance, logistique) correspondent parfaitement aux intérêts stratégiques d’un groupe aligné sur les objectifs du gouvernement russe. Cette professionnalisation de la cybercriminalité d’État représente un défi majeur pour la sécurité numérique mondiale.
Que faire concrètement ?
La première action à entreprendre est évidente : mettre à jour WinRAR immédiatement vers la version 7.13 ou ultérieure. Rendez-vous sur le site officiel win-rar.com (attention aux faux sites !), téléchargez la version la plus récente et installez-la par-dessus votre ancienne version. Vérifiez ensuite dans le menu Aide que vous avez bien la bonne version après installation.
Mais cette faille nous rappelle aussi quelques bonnes pratiques essentielles en matière de cybersécurité. Soyez particulièrement vigilant avec les pièces jointes d’emails, même lorsqu’elles semblent provenir de sources légitimes comme des CV ou des factures. Les campagnes de phishing deviennent de plus en plus sophistiquées et les attaquants n’hésitent pas à usurper l’identité d’organisations connues ou de personnes de confiance.
Si vous avez un doute sur une archive, utilisez un environnement isolé (sandbox) ou une machine virtuelle pour l’ouvrir. Les entreprises sont particulièrement à risque car elles ont souvent des versions anciennes de WinRAR déployées sur des centaines de postes, et avec le télétravail, c’est encore pire : les employés utilisent leurs PC personnels avec des versions obsolètes pour ouvrir des fichiers professionnels.
Maintenez tous vos logiciels à jour, pas seulement WinRAR. Les cybercriminels exploitent régulièrement les failles de sécurité dans les applications populaires, et les mises à jour de sécurité représentent votre première ligne de défense.
Enfin, cette affaire souligne l’importance croissante de la sensibilisation aux menaces cybernétiques. À l’heure où les conflits géopolitiques se prolongent dans le cyberespace, chaque utilisateur devient potentiellement une cible et doit adopter une posture de sécurité proactive.
La découverte de cette faille WinRAR exploitée par RomCom nous rappelle que la cybersécurité n’est plus une préoccupation purement technique, mais bien un enjeu géopolitique majeur qui nous concerne tous. Dans ce contexte, la vigilance et la mise à jour régulière de nos outils numériques deviennent des gestes citoyens indispensables.
Sources :
Tom’s Hardware – Newly discovered WinRAR exploit linked to Russian hacking group
Help Net Security – WinRAR zero-day exploited by RomCom hackers in targeted attacks
Korben – WinRAR troué par les Russes
The Record – Two groups exploit WinRAR flaws in separate cyber-espionage campaigns
