Zombie ZIP : la faille qui permet aux malwares de se cacher dans les archives compressées
Une nouvelle technique d’obfuscation nommée « Zombie ZIP » met en lumière une vulnérabilité préoccupante : des malwares peuvent échapper à l’analyse des antivirus en se dissimulant à l’intérieur d’archives ZIP volontairement corrompues ou mal formées. Les premiers tests montrent un taux d’échec frappant des solutions de sécurité traditionnelles, avec près de 95 % des antivirus testés incapables de détecter l’attaque. Comprendre le mécanisme et anticiper les remèdes est désormais une priorité pour les équipes de sécurité.
Principe : comment un ZIP devient « zombie »
Structure d’un ZIP : un fichier ZIP contient, en en‑tête, des métadonnées décrivant son contenu (taille, méthode de compression, offsets, etc.). Les outils de sécurité s’appuient souvent sur ces informations pour analyser rapidement l’archive.
La ruse : Zombie ZIP modifie intentionnellement ces métadonnées de façon à rendre la décompression « normale » problématique. L’antivirus, confronté à des incohérences, peut classer l’archive comme corrompue et renoncer à l’extraire pour l’analyser.
Activation via loader : un petit loader (quelques lignes de code, comme démontré via un proof‑of‑concept sur GitHub) peut ensuite ignorer les champs frauduleux et extraire le contenu réel de l’archive sur la machine ciblée, déployant ainsi le malware.
Pourquoi la détection échoue
La plupart des antivirus modernes combinent signatures, heuristiques et sandboxing. Mais beaucoup rationalisent l’analyse des archives en s’appuyant sur l’en‑tête pour décider si l’extraction complète est nécessaire. Zombie ZIP exploite précisément cette optimisation : en rendant l’en‑tête incohérente, l’outil de sécurité se retrouve soit à rejeter l’analyse (signalant un fichier « corrompu »), soit à la contourner, laissant ainsi le malware passer entre les mailles du filet.
Les preuves expérimentales
Test massif : dans une série de tests reproduits publiquement, 66 programmes antivirus ont été soumis à une archive Zombie ZIP. Seuls deux d’entre eux ont détecté la menace.
Validité industrielle : le CERT l’a confirmé : la méthode est réaliste et exploitable, et n’exige pas des compétences techniques avancées pour la mise en œuvre.
Impacts potentiels
Vaste surface d’attaque : toute machine qui ouvre une archive ZIP (messagerie, téléchargements, partages réseau) est potentiellement exposée.
Contournement des protections périmétriques : les solutions de filtrage qui reposent sur l’analyse rapide des archives peuvent laisser passer des fichiers compromis jusqu’à l’utilisateur final.
Propagation facilitée : archives passées pour inoffensives peuvent être partagées par email, via des plateformes de partage ou intégrées à des installateurs, augmentant le rayon d’action des campagnes malveillantes.
Que peuvent faire les éditeurs d’antivirus ?
Le CERT et les chercheurs recommandent d’aller au‑delà d’une lecture stricte des métadonnées :
Ne pas se fier uniquement à l’en‑tête : implémenter des vérifications croisées permettant de déceler des incohérences structurelles.
Extraction sécurisée : envisager l’extraction en sandbox isolée systématique pour les archives douteuses, même si cela augmente la charge de traitement.
Analyse comportementale : compléter l’approche par une observation du comportement du contenu extrait dans un environnement contrôlé (sandbox dynamique) avant restitution à l’utilisateur.
Que peuvent faire les entreprises et les utilisateurs ?
Prudence sur les archives reçues : ne pas ouvrir automatiquement les ZIP reçus par email, surtout si l’expéditeur est inconnu ou si le message présente des caractéristiques suspectes.
Segmenter l’analyse des pièces jointes : pour les services mail d’entreprise, activer le sandboxing des pièces jointes et l’analyse approfondie des archives avant livraison.
Tenir les outils à jour : antivirus, clients mail, gestionnaires d’archives et systèmes d’exploitation doivent être mis à jour ; les correctifs futurs doivent être appliqués rapidement.
Former les utilisateurs : sensibiliser au risque des archives et aux signes d’une pièce jointe malveillante (fichiers double extension, expéditeurs douteux, demandes urgentes ou inattendues).
Techniques d’atténuation avancées
Durcissement des moteurs d’extraction : intégrer des parseurs plus tolérants aux incohérences mais capables de signaler des anomalies structurelles.
Approche multiengine : combiner plusieurs moteurs d’analyse avant délivrance du fichier à l’utilisateur pour réduire la probabilité d’évasion.
Surveillance post‑extraction : déployer des EDR (Endpoint Detection & Response) capables de repérer des comportements suspects même après qu’un fichier ait été extrait.
Le temps est compté — et l’attaque est simple
Le caractère inquiétant de Zombie ZIP tient à sa simplicité : un script minimal suffit à générer une archive exploitable. Les barrières techniques à l’entrée sont faibles, ce qui facilite la prolifération de la technique parmi des acteurs malveillants de tous niveaux. En attendant les mises à jour des éditeurs d’antivirus, la meilleure défense reste une combinaison de prudence opérationnelle, de sandboxing systématique côté serveur et d’une surveillance comportementale renforcée sur les endpoints.
Points de vigilance pour les décideurs IT
Auditer les flux d’archives transitant par votre messagerie et vos systèmes de dépôt de fichiers.
Exiger le sandboxing des pièces jointes pour les services critiques.
Tester vos solutions de sécurité face à une archive Zombie ZIP simulée pour mesurer la résilience réelle de votre chaîne de protection.
Zombie ZIP illustre une tendance : les attaquants cherchent désormais à exploiter les optimisations et raccourcis des dispositifs de sécurité eux‑mêmes. La course entre offense et défense continue ; la réponse passe par des architectures de détection plus profondes et par une hygiène numérique renforcée.
