Petite sonnette d’alarme pour 7-Zip, le logiciel de compression et de décompression Open Source qui voit des vulnérabilités embêtantes être exploitées. C’est d’autant plus problématique que 7-Zip fonctionne bien, tellement bien qu’on a tendance à oublier de le mettre à jour.
Imaginez-vous télécharger un fichier compressé. Vous double-cliquez dessus pour l’ouvrir et décidez de l’extraire dans « nouveau dossier(14) » comme il se doit. Vous lancez l’opération et… tout se passe comme prévu. Sauf que, sans que vous le sachiez, 7-Zip extrait des données cachées dans un sous sous répertoire vers un dossier différent que celui que vous avez décidé. Un fichier malicieux, opéré par un malandrin, peut ainsi aller se placer dans le répertoire de son choix.
On imagine assez facilement le problème. Un virus, un ransomware ou un logiciel d’espionnage peuvent ainsi se propager rapidement sur une ou plusieurs machines. Un simple fichier exécutable, posé sur le bureau, peut ensuite être cliqué par mégarde et lancer un tas d’opérations malveillantes.
Igor Pavlov, le développeur de 7-Zip a bien évidemment réagi et mis à jour l’application il y a longtemps. La version 25.01 actuelle comme la précédente étaient débarrassées du problème. Mais 7-Zip ne se met pas à jour tout seul et ne prévient pas de la sortie de chaque nouvelle version. La documentation officielle de ces vulnérabilités pose donc désormais un souci avec leur annonce il y a quelques jours. Il faut impérativement faire la mise à jour de Z-Zip vers la version 25.01 pour être certain d’être protégé. Les chances que des fichiers malicieux se propagent avec cette méthode sont à présent très élevées.
Merci à Antoine pour l’info.
| 2,5€ par mois | 5€ par mois | 10€ par mois | Le montant de votre choix |
Ça date du 3 août 2025…
Je pense que la plupart des gens ici sont au courant depuis le mois d’août et comme moi, ont fait la mise à jour.
Votre article m’a laissé croire à une urgence immédiate, ce n’est pas malin ! ;)
@PaulPote: Toutes les infos sont données dans le billet.
La faille date de début aout et, comme expliqué, elle n’a été révélée publiquement que très récemment (le 7 octobre pour être précis). Le logiciel est patché et, comme expliqué, il ne propose pas de mise à jour automatique, ce qui laisse plein de gens avec des versions problématiques.
La « plupart des gens » est une approximation au doigt mouillé qui peut laisser passer pas mal de monde entre les mailles du filet. Par exemple moi, qui n’en avait pas conscience jusqu’à ce matin. Des gens qui risquent de fait de se faire infecter. Je préfère largement protéger les « néophytes » d’un vrai danger que de protéger les « experts » d’une mauvaise lecture.
Bah moi je n’étais absolument pas au courant.
Merci Pierre.
@Pierre : la faille est plus ancienne (mais révélée le 8/08 – CVE‑2025‑55188), et 7-Zip a été patché juste avant (3/08) avec la version 25.01.
Clubic en a parlé le 13/08 : https://www.clubic.com/actualite-575865-attention-cette-faille-de-7-zip-peut-mettre-a-mal-votre-pc.html
@s@s: J’étais en vacances :D
@PaulPote:
En août j’étais en vacance, donc en mode déconnecté. Par conséquent, non, la plupart des gens ici ne sont au courant de cette faille. Bref, merci à Pierre pour le rappel:)
Perso, j’utilise Winrar sous Windows mais j’installe pour les autres 7-zip qui fait bien le job.
J’étais encore sur une version 23 et quelques donc mise à jour faite, merci.
@PaulPote:
Pareil, je n’avais pas vu passer cette info, parfois (souvent ?) la redondance a du bon :-)
Merci pour le rappel
Moi non plus!
Merci Pierre
@Jojol:
J’étais sur la version 19.
7zip fait clairement parti des tous premiers softs que j’installe sur un pc mais que je ne mets jamais à jour.
Tout comme Notepad++, c’est le genre de soft qui fait très bien son taff mais pour lequel on n’attends aucune nouvelle fonctionnalité donc on ne surveille pas les mises à jour.
Merci!
Pile dans la cible du billet.
J’étais en version 18 et pas du tout au courant, merci bcp Pierre.
Belle semaine à Toutes & Tous.
Arf, mon Synology utilise encore la version 16 pour DSM 7.2… et je doute que ça soit corrigé vu qu’il a plus de support…
Bonjour. Je n’étais pas non plus au courant de cette faille.
J’ai effectué la mise à jour. Merci de l’information.
Rien encore pour les distribs Ubuntu, cela ne devrait pas tarder
Scoop (https://scoop.sh/) est assez pratique pour ce genre de choses. Ca fait gestionnaire de paquets pour windows. Un petit script au démarrage et tout est mis à jour. On pourra toujours ergoter que le gestionnaire de paquets lui-même peut être attaqué 🤔
Merci Pierre !
Sous linux 7zip est mis à jour par le gestionnaire de paquet de la distribution (en tout cas sur OpenSuse).
J’ai vérifié, je suis bien en 25.01.
7-Zip (z) 25.01 (x64) : Copyright (c) 1999-2025 Igor Pavlov : 2025-08-03
64-bit locale=fr_FR.UTF-8 Threads:16 OPEN_MAX:1024, ASM
Mais moi aussi je ne mets à jour ma version sous Windows, donc ce soir….mise à jour.
J’ai fait suivre à mes collègues avec un lien vers ce billet.
Sous Linux on s’en tape. On ne peut pas copier des données sur / sans les droits root.
@Toto: Sous Windows non plus on ne peut plus, depuis longtemps, copier des données dans pas mal de répertoires sensibles sans droits admin ;-)
Reste que pas besoin de copier des données dans ces répertoires pour attaquer. De plus en plus de logiciels s’installent dans des répertoires non protégés. Sous Windows par ex, ça peut aller dans appdata ou localappdata. Pratique car l’installation ne demande pas de droits, mais au prix de la sécurité. Les programmes basés sur nodejs on largement participés à populariser cette pratique, et je ne les remercie pas.
idem, ma version date de 2022 et je ne regarde pas vraiment l’actualité logiciel ….
et je m’en sers régulièrement…par reflexe !
donc comme bcp pile dans la cible ^^
merci Pierre (et Antoine !)
De temps en temps, lancer la ligne de commande win + r, puis taper cmd, et tout en laissant appuyé shift + contrôle, appuyer sur entrée pour être en mode administrateur (ce qui vous évitera de devoir valider chaque mise à jour) >> taper winget upgrade –all
Et hop les mises a jour des logiciels se font , dont 7-zip ;)
Il y a 2 signe – devant all > –all
@TooFoo:
@TooFoo
Merci !!
Je ne connaissais pas cette possibilité sous windows !
En fait j’utilise plus linux et c’est un peu l’équivalent d’un apt up ou un zypper up !
Sur Ubuntu, c’est en cours d’investigation: https://ubuntu.com/security/CVE-2025-11001
Merci Pierre !
Merci Pierre , je n’avais pas vu non plus. (Ni la bureautique du boulot car nos versions sont toujours en 24.09). Je leur fait suivre au passage :-)
Merci je n’étais pas eu courant. C’est le genre d’app que je mets à jour via powershell. Sans être un pro, ca m’apprend à l’utiliser.
Merci, Pierre, comme la plupart des gens qui commentent ici, j’étais complètement passé à côté de l’info!
J’étais en version 24, MAJ faite!
@TooFoo: mais c’est génial, ce winget …
merci Pierre , j’étais en 22…
Merci pour l’info, perso j’utilise unigetui ( https://www.marticliment.com/unigetui/ ) qui va checker toute les MAJ régulièrement.