Malware : ce fichier Zip piégé de 49 Mo explose en un fichier de 4500 pétaoctets !

L’ingénieur David Fifield vient de créer un nouveau type de malware dit « bombe Zip ». Le concept, c’est qu’un fichier relativement léger se décompresse en une éruption particulièrement volumineuse de données qui paralyse le système et sature le stockage de l’ordinateur. Le hacker est ainsi parvenu à compresser 4500 pétaoctets dans un petit fichier de 49 Mo… pour mettre en évidence les failles de l’algorithme de compression. 

bombe de compression Zip

Un vieux type de malware refait parler de lui : les Zip Bombs ou bombes de compression. Il s’agit de faire en sorte qu’un fichier compressé se décompresse en une avalanche de données, paralysant le processeur, la RAM et saturant le disque dur avec des données arbitraires. Les Zip Bombs existent depuis au moins aussi longtemps que les algorithmes de compression des données. L’un des exemples les plus connus est sans conteste 42.zip un fichier ZIP de 42 kilooctets, qui contient un fichier de 4,3 gigaoctets répété à 165 récursions (par groupe de 16 sur 5 niveaux de profondeur), soit un total de 4,5 pétaoctets après décompression.

Malware : un chercheur remet les bombes de compression au goût du jour

Or, jusqu’ici, il s’agissait en fait de fichiers compressés récursivement. Autrement dit pour réellement provoquer une paralysie du système, il fallait que l’utilisateur choisisse une décompression elle aussi récursive dans son programme préféré. L’astuce du chercheur David Fifield, c’est d’avoir réussi à créer une telle bombe sans aucune récursion. Cela signifie que la décompression se fait en une seule opération – ce qui est potentiellement plus efficace pour paralyser le système sur lequel le fichier se trouve.

A côté de cette bombe XXL, qui obtient un ratio de compression record de 97 millions sans récursion, le chercheur propose également des fichiers plus petits pour les curieux qui souhaiteraient « voir ce que ça fait » – en particulier un fichier d’à peine 42 ko qui se transforme à 5,5 Go de données. Alors tout ça c’est bien… mais à quoi ça sert ? Il y a d’abord le défi intellectuel : si cela vous intéresse, le post de blog de David Fifield est truffé de détails, courbes, calculs qui permettent de mieux comprendre le fonctionnement des algorithmes de compression.

Lire également : le malware Agent Smith a installé de fausses applications sur 25 millions de smartphones !

Au passage, David Fifield met au jour une faille dans l’algorithme de compression Zip. D’ailleurs dans son article, l’auteur explique que des patchs commencent à être proposés sous Linux pour détecter ces techniques malicieuses (qui peuvent potentiellement paralyser des datacenters entiers) avant de tenter de les décompresser. Par ailleurs certains antivirus détectent déjà ces fichiers – tandis que d’autres font planter le système quand ils essaient de les analyser (en particulier l’auteur cite AhnLab-V3, ClamAV, DrWeb, Endgame, F-Secure, GData, K7AntiVirus, K7GW, MaxSecure, McAfee, McAfee-GW-Edition, Panda, Qihoo-360, Sophos ML, VBA32 – mais des correctifs devraient être prochainement proposés).

Source : Blog de David Fifield 

Réagissez à cet article !
Abonnez-vous gratuitement à la newsletter
Chaque semaine, le meilleur de Phonandroid dans votre boite mail !
Demandez nos derniers articles !
Firefox corrige une deuxième faille zero-day en 2 jours

Firefox vient de publier une nouvelle mise à jour, 48 heures environ après celle qui corrigeait une première faille zero-day. Le navigateur passe en version 67.0.4 qui corrige une deuxième vulnérabilité. Celle-ci est directement liée à la première. Un chercheur en sécurité du…

Voici 50 mots de passe que vous ne devriez jamais utiliser

Les mots de passe restent la modalité de sécurité la plus utilisée sur internet – malgré l’émergence d’alternatives. Or, à chaque nouvelle fuite de données, on se rend compte qu’un nombre inquiétant d’internautes négligent leurs mots de passe. Ainsi on…

Dell : une faille de sécurité permet de pirater ses PC à distance

Un chercheur en sécurité a identifié une faille de sécurité qui touche les PC Dell et plus précisément l’application SupportAssist qui est installée par défaut sur toutes les machines du constructeur. Avec cette faille, les ordinateurs portables et de bureau…