Cette faille de 7-Zip est bien plus grave qu’on veut nous le faire croire, faites la mise à jour du logiciel immédiatement
Un expert en cybersécurité explique pourquoi une faille de 7-Zip jugée mineure est en réalité dangereuse pour les utilisateurs. Heureusement, un correctif est disponible. N'attendez pas pour l'installer.
À un moment ou un autre, tous les logiciels présentent des vulnérabilités. Parfois dès leur lancement, souvent après une mise à jour. Quelle que soit son origine, le but est toujours de la combler via le déploiement d'un correctif.
Pour savoir à quel point il est urgent de le faire, les experts attribuent un score à chaque faille. Appelé CVSS (Common Vulnerability Scoring System), c'est une échelle allant de 0,1 à 10. Suivant la note, on parle de sévérité faible, moyenne, haute ou critique.
Un score CVSS bas ne signifie pas qu'il faut négliger la correction de la faille. Juste que s'il y en a une autre plus grave, c'est sur elle que les développeurs se pencheront en premier. Globalement, le système fonctionne, mais il arrive parfois que les spécialistes ne soient pas d'accord sur la note définie.
Le chercheur en cybersécurité Landon l'a fait savoir sur Seclists à propos de la faille CVE-2025-55188 découverte par ses soins dans le programme de compression de fichiers 7-Zip. Elle a reçu un score CVSS de 2,7 (faible sévérité), alors que selon lui, son exploitation par une personne mal intentionnée peut faire des ravages.
Mettez le logiciel 7-Zip à jour, cette faille peut avoir des conséquences désastreuses
Pour faire simple, la vulnérabilité permet à un attaquant de rediriger les fichiers présents dans archive 7-Zip où il veut lors de son extraction. Il peut par exemple placer un programme malveillant dans les fichiers système de Windows, ou remplacer l'un d'eux par un autre, accordant au pirate des accès qu'il ne devrait pas avoir. Cela nécessite de remplir certaines conditions, mais ça reste possible.
Sur Linux en revanche, il n'y a pas de garde-fou. Vous décompressez une archive que l'on vous a envoyé en pensant qu'elle est sans risque, et son contenu va se loger dans des endroits sensibles. Au pire, le pirate peut alors prendre le contrôle de votre machine, au mieux empêcher le fonctionnement d'un service.
En résumé, c'est le même genre de faille que celle découverte récemment dans WinRAR, autre célèbre logiciel de compression/décompression. Comme pour ce dernier, la dernière version de 7-Zip corrige heureusement le tir : installez la version 25.01 du programme et vous serez tranquille.
