Passer au contenu

Une “bombe zip” de 46 Mo atteint 4500 To après décompression

Un développeur a créé la plus grosse “zip bomb” jamais construite sans compression récursive.

Vous connaissez certainement le concept de “bombe zip”. Derrière cette dénomination plutôt explicite se cache un fichier compressé (le format le plus connu étant le .zip, d’où le nom) créé par un utilisateur malintentionné pour causer des dégâts à l’appareil ciblé. Aucun risque de détruire un périphérique physique, par exemple; mais dans le cadre d’un environnement professionnel, saturer ainsi un espace de stockage comme un serveur stratégique peut être lourd de conséquences en termes de productivité. Ces “zip bomb” se différencient des fichiers compressés classiques par la quantité de données gigantesque qu’ils embarquent. À la décompression, ces archives en apparence inoffensives vont potentiellement relarguer des centaines de milliers de GB de données sur sa cible, d’où leur nom de “bombe”.

Début juillet, le développeur David Fifield a réussi à créer une zip bomb d’un nouveau genre, avec pas moins de 4500 TB de données compressés dans un fichier Zip de… 46 MB. Soit un ratio de compression de 28.000.0000… À titre de comparaison, cela équivaudrait à faire entrer la Terre dans un cube de 34x34x34 mètres.

Il ne s’agit pas de la première fois qu’une telle quantité de données est entassée dans un fichier Zip : certaines bombes ont fait au moins aussi bien, comme la célèbre 42.zip avec ses 4,5PB (soit 4.500 TB, ou 4.500.000 GB).

Une zip bomb d’un nouveau genre

Ce qui rend le travail de Fifield intéressant, c’est la technique utilisée. Jusque là, toutes les énormes zip bombs comme 42.zip utilisaient tous une compression récursive à plusieurs niveaux. Dans le cas de 42.zip, il contient 16 autres fichiers .zip, contenant chacun 16 autres fichiers zip… le tout sur 5 étages, avec au bout de chaque chaîne un fichier de 4.3 GB.

Fifield, lui, a réussi à créer son énorme zip bomb sans compression récursive ! Cela lui confère quelques particularités : la plus évidente, c’est que le fichier entier peut être décompressé en un seul cycle et donc “exploser” d’un seul coup. L’auteur précise qu’une expansion encore supérieure est possible, grâce à des extensions 64-bit. Il explique également que son travail a été réalisé grâce à l’algorithme de compression le plus courant, nommé DEFLATE, et qu’il est donc compatible avec la majorité des parsers zip.

Mais une autre conséquence plus pernicieuse est qu’à l’heure actuelle, une bonne partie des antivirus ne détectent pas ce procédé. 01Net a testé le fichier sur le multi-antivirus en ligne VirusTotal, pour des résultats mitigés : une bonne partie des antivirus n’y ont vu que du feu. Mais d’après Fifield, la détection de ce type de bombe serait “facile” et ça ne serait donc qu’une question de temps avant que les antivirus l’intègrent tous.

On compte donc sur la bonne foi de chacun pour ne pas la faire décompresser à un utilisateur non averti : les dégâts pourraient être considérables..

🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.

Source : 01Net

21 commentaires
  1. Aucun risque ! Une fois le disque saturé, il ne va pas explosé. Et puis le zip ne va pas se décompresser en 2 secondes. Vu la quantité de données à écrire sur le disque, ça va prendre des heures. Il suffit donc de killer l’outil de décompression.

  2. aucun risque… au moment de la décompression tu te rend bien compte de ce qui se passe… et au pire tu satures temporairement ta machine qui n’aura plus l’espace nécessaire pour continuer l’opération.. clic droit supprimer.. vidage fichier temp au cas où…

  3. c’est bien l’idée que je m’en fait, je ne vois donc pas en quoi les antivirus devraient signaler ce genre d’archive…

  4. Le risque est surtout pour les sites Web qui peuvent accepter un zip en entrée. Genre un onedrive ou companie qui peuvent décompresser  un zip. C’est une porte ouverte au DOS en saturant la machine cloud

  5. encore faut il “cibler” la source. une attaque mal attentionné d’une entreprise tu laisse un shell / batch depuis un matériel ou un script et le process sera difficile à tuer. tu va saturer le disque et tu peu planter un production.

  6. Je vais être un peu critique, mais l’information est complète et bonne mais elle relève presque de la fake news, parce qu’elle omet un contexte essentiel, le danger représenté, c’es a direz ABSOLUMENT AUCUN (au pire un crash de l’ordinateur, voir de l’application de compression).
    Or mentionner que les antivirus ne marchent pas avec etc, c’est tout de même dire que c’est menaçant. Il serait bon de préciser le danger dont on parle.

    Merci pour la lecture.

  7. A moins que tes films de vacances comprennent que des 1 ou 0, tu attendra jamais ce taux. Après les films de vacances sont en général déjà compressé en sortie de ton appareil (et donc très peu recompressable).

  8. Il y a de gros dangers au contraire. Ce type d attaque cible des serveurs. Bcp de codes de communkcation dezippent des fichiers a la volee.
    Sur un ancien serveur windows (assee courant) la saturation du disqie entraine la fermeture des fichierd ouverts a l endroit ou etait le pointeur du fichier, souvent a 0. Votre fichier client est irremeiablement detruit car la place est prise par le dezip

  9. Sur un serveur, quand un fichier se dézip automatiquement, il vérifie la place à allouer sur le disque, si le fichier à allouer est trop important, il ne le copiera pas et vous avertira. Du moins c’est ce qu’il se passe sur mon serveur (Linux), il se passe la même chose avec Synology et Windows Serveur (faut juste le configurer / L’activer et pas être “fainéant”). Il n’y a aucun danger en soit. Le coups de parler virus et anti-virus, là par contre je ne vois pas, le virus, trojan, … sont partout, inutile de nous faire “peur” pour faire vendre cette fameuse mise à jour pour nous “protéger” soit disant … Ca me rappel “virus i love you” “virus Tchernobyl” “virus Melissa”

  10. Bonjour, 
    Tu dis qu’il n’y a aucun dégats, donc les personnes qui font ça n’ont toujours pas compris que ca ne servait à rien d’apres toi.

    En réalité une “Zip Bomb” peut faire planter un ordinateur en quelques secondes le temps de la decompression ! Essaye sur une V.M.et tu verras le genre de dégats que se peut causer. 
    Les dégats causés n’affecte en aucun cas des périfériques connectés tel que l’écran / souris ou autre…

    Merci à toi aussi et autre pour votre lecture.

  11. Les films de vacances, comme tous les fichiers numériques, ne contiennent bien entendu que des 0 et des 1… C’est la définition du numérique.
    La différence c’est les séquences redondantes. La compression zip fonctionne très bien sur les images simples avec de grands aplats de couleurs par exemple, parce qu’elle peut facilement factoriser cette grande surface colorer sans avoir besoin d’enregistrer la valeur de chaque pixel. C’est bcp moins efficace sur les images complexes, avec de nombreux détails impossibles à regrouper en une forme simple. C’est pour ça qu’on ne zip pas un fichier vidéo pour le compresser mais qu’on va plutôt utiliser un codec vidéo bien plus complexe et bien plus efficace. (en plus du fait qu’on ne peut pas lire un fichier zip “à la volé”, puisqu’il faut le décompresser entièrement pour ensuite pouvoir le lire).

  12. C’est pas forcément parce que ça sert à rien que t’as pas des gens qui iront taper un record (vu qu’au final atteindre un record est un accomplissement en soi).

Les commentaires sont fermés.

Mode