Malware : ce fichier Zip piégé de 49 Mo explose en un fichier de 4500 pétaoctets !

L'ingénieur David Fifield vient de créer un nouveau type de malware dit “bombe Zip”. Le concept, c'est qu'un fichier relativement léger se décompresse en une éruption particulièrement volumineuse de données qui paralyse le système et sature le stockage de l'ordinateur. Le hacker est ainsi parvenu à compresser 4500 pétaoctets dans un petit fichier de 49 Mo… pour mettre en évidence les failles de l'algorithme de compression. 

Un vieux type de malware refait parler de lui : les Zip Bombs ou bombes de compression. Il s'agit de faire en sorte qu'un fichier compressé se décompresse en une avalanche de données, paralysant le processeur, la RAM et saturant le disque dur avec des données arbitraires. Les Zip Bombs existent depuis au moins aussi longtemps que les algorithmes de compression des données. L'un des exemples les plus connus est sans conteste 42.zip un fichier ZIP de 42 kilooctets, qui contient un fichier de 4,3 gigaoctets répété à 16⁵ récursions (par groupe de 16 sur 5 niveaux de profondeur), soit un total de 4,5 pétaoctets après décompression.

Malware : un chercheur remet les bombes de compression au goût du jour

Or, jusqu'ici, il s'agissait en fait de fichiers compressés récursivement. Autrement dit pour réellement provoquer une paralysie du système, il fallait que l'utilisateur choisisse une décompression elle aussi récursive dans son programme préféré. L'astuce du chercheur David Fifield, c'est d'avoir réussi à créer une telle bombe sans aucune récursion. Cela signifie que la décompression se fait en une seule opération – ce qui est potentiellement plus efficace pour paralyser le système sur lequel le fichier se trouve.

A côté de cette bombe XXL, qui obtient un ratio de compression record de 97 millions sans récursion, le chercheur propose également des fichiers plus petits pour les curieux qui souhaiteraient “voir ce que ça fait” – en particulier un fichier d'à peine 42 ko qui se transforme à 5,5 Go de données. Alors tout ça c'est bien… mais à quoi ça sert ? Il y a d'abord le défi intellectuel : si cela vous intéresse, le post de blog de David Fifield est truffé de détails, courbes, calculs qui permettent de mieux comprendre le fonctionnement des algorithmes de compression.

Lire également : le malware Agent Smith a installé de fausses applications sur 25 millions de smartphones !

Au passage, David Fifield met au jour une faille dans l'algorithme de compression Zip. D'ailleurs dans son article, l'auteur explique que des patchs commencent à être proposés sous Linux pour détecter ces techniques malicieuses (qui peuvent potentiellement paralyser des datacenters entiers) avant de tenter de les décompresser. Par ailleurs certains antivirus détectent déjà ces fichiers – tandis que d'autres font planter le système quand ils essaient de les analyser (en particulier l'auteur cite AhnLab-V3, ClamAV, DrWeb, Endgame, F-Secure, GData, K7AntiVirus, K7GW, MaxSecure, McAfee, McAfee-GW-Edition, Panda, Qihoo-360, Sophos ML, VBA32 – mais des correctifs devraient être prochainement proposés).

Source : Blog de David Fifield