Zip de la mort expliqué (2025) : Comment les bombes de décompression continuent d'endommager les systèmes et ce que vous pouvez faire

Ce qu'est réellement une bombe de décompression (Zip of Death)

A Code postal du décès-également connu sous le nom de bombe éclair ou bombe de décompression-est un fichier d'archive malveillant conçu pour exploiter le comportement fondamental des formats de compression. Lorsqu'un tel fichier est décompressé, il peut atteindre une taille énorme, submerger les ressources du système et provoquer l'arrêt de processus, voire de serveurs entiers. Ce qui rend cette attaque subtile et toujours d'actualité, c'est qu'elle abuse de la fonctionnalité légitimela décompression. Les systèmes modernes s'attendent à ce que les fichiers compressés soient inoffensifs, mais une bombe zip consomme discrètement de l'unité centrale, de la mémoire, du stockage ou de la capacité d'E/S lorsqu'elle est décompressée.

Contrairement aux logiciels malveillants qui exécutent du code ou volent des données, une "Zip of Death" est un logiciel qui n'a pas d'autre but que d'exécuter un code ou de voler des données. arme de déni de service intégré dans une archive. Son objectif n'est pas le vol direct mais épuisement des ressources et interruption des servicesLes systèmes d'information et de communication (TIC) sont des outils qui permettent de créer des ouvertures pour une exploitation ultérieure ou simplement de paralyser les flux de travail automatisés.

Ce qu'est réellement une bombe de décompression (Zip of Death)

Comment fonctionne Zip of Death : La mécanique technique

La classique "Zip of Death" (fermeture éclair de la mort) utilise les leviers suivants compression récursiveLes archives imbriquées compressent des ensembles de données de plus en plus volumineux dans des fichiers faussement petits. Un exemple historique célèbre est le fichier "42.zip" : environ 42 Ko en taille compressée, mais se décompressant en plus de 4,5 pétaoctets de données.

Cela est dû au fait que la conception du format ZIP autorise des références à des contenus volumineux qui ne sont matérialisés qu'au moment du décompactage. Le processus de décompression alloue de la mémoire et du disque pour toutes les données avant de redonner le contrôle à l'application appelante, de sorte que les systèmes qui n'imposent pas de limites se retrouvent rapidement à court de ressources.

Dans les environnements modernes - pipelines cloud, microservices, systèmes CI/CD - cette explosion des ressources peut mettre à mal non seulement un programme unique, mais aussi des clusters entiers, car les services échouent et redémarrent de manière répétée.

Incidents de sécurité réels en 2025 impliquant la manipulation de Zip ou d'archives

Bien que les attaques classiques à la bombe de décomposition soient difficiles à repérer dans la nature (car les attaquants les combinent souvent avec d'autres tactiques), 2025 a apporté à la Commission européenne des informations sur les attaques à la bombe de décomposition. plusieurs vulnérabilités et schémas d'exploitation à fort impact dans les contextes ZIP et de décompression:

CVE-2025-46730 : Traitement incorrect des données fortement compressées

Cette vulnérabilité, identifiée dans le MobSF (Mobile Security Framework), permet à un fichier de type zip-of-death d'épuiser l'espace disque du serveur parce que l'application ne vérifie pas la taille totale non compressée avant l'extraction. Un fichier ZIP de 12 à 15 Mo peut atteindre plusieurs gigaoctets lors de la décompression, ce qui entraîne un déni de service du serveur. Feedly

Les attaquants pourraient cibler les points d'extrémité de téléchargement de fichiers sans déclencher les signatures traditionnelles de logiciels malveillants, en utilisant simplement la décompression pour bloquer les services et perturber les flux de travail des tests de sécurité mobile.

Vulnérabilités de 7-Zip activement exploitées (CVE-2025-11001 & CVE-2025-0411)

Les bombes Zip sont devenues plus dangereuses en 2025, lorsque des attaquants ont exploité des failles dans des outils de décompression très répandus tels que 7-Zip. Les vulnérabilités répertoriées comme CVE-2025-11001 et CVE-2025-11002 impliquaient une mauvaise gestion des liens symboliques dans les fichiers ZIP, ce qui permettait aux archives falsifiées d'écrire des fichiers en dehors des répertoires prévus et d'exécuter potentiellement du code sur les systèmes Windows. Help Net Security

Un autre défaut connexe, CVE-2025-0411Le problème, c'est qu'il s'agit d'un contournement de la norme Mark-of-the-Web (MoTW) qui permet aux archives imbriquées d'échapper aux contrôles de sécurité de Windows lorsqu'elles sont extraites. NHS England Digital

Dans les deux cas, il s'agit d'une véritable tendance 2025 : combinant des abus de décompression avec des mécanismes de traversée de chemin et d'escalade des privilègesLa Zip of Death devient alors une menace plus sérieuse que l'épuisement traditionnel des ressources.

Pourquoi le code postal du décès est-il encore important en 2025 ?

De nombreux professionnels de la sécurité pensent que les bombes zip sont un vieux truc, détecté par les outils antivirus ou sans intérêt dans les environnements modernes de cloud computing. Mais comme le démontrent des incidents récents, le véritable danger réside dans l'endroit et la manière dont la décompression est invoquée. Les systèmes qui traitent automatiquement les archives - passerelles mail, exécutants CI/CD, processeurs d'objets cloud et gestionnaires de dépendances - manquent souvent de vérifications adéquates. Cela peut se traduire par :

Déni de service au fur et à mesure que les processeurs et la mémoire s'épuisent.
Interruptions en aval en cascade dans l'infrastructure distribuée.
Défaillance des outils d'analyse de la sécurité sous la charge des ressources, ce qui crée des angles morts. IA anormale
Exploitation des bogues d'analyse syntaxiquey compris la traversée de liens symboliques et l'utilisation abusive de chemins d'accès.

Ainsi, Zip of Death reste une menace pertinente pour les systèmes critiques et centrés sur l'automatisation.

Démonstration : A quoi ressemble une fermeture éclair de la mort

Exemple d'attaque 1 : Création d'un simple zip de la mort

Voici un exemple simple qui crée des archives imbriquées où chaque couche augmente exponentiellement la taille de décompression.

bash

`#Générer les données de base dd if=/dev/zero of=payload.bin bs=1M count=100

Compresser récursivementzip layer1.zip payload.bin

zip layer2.zip layer1.zip zip layer3.zip layer2.zip`

Cette dernière layer3.zip peut ne représenter que quelques kilo-octets, mais sa décompression naïve peut entraîner une consommation importante de disque et de mémoire.

Exemple d'attaque 2 : L'imbrication profonde pour contourner les contrôles superficiels

Les attaquants intègrent souvent des zips imbriqués à l'intérieur des répertoires afin d'échapper à de simples vérifications de la taille :

bash

mkdir nestedcp layer3.zip nested/ zip final.zip nested

Certains contrôles naïfs ne portent que sur final.zip taille comprimée, pas de potentiel de gonflement imbriqué.

Exemple d'attaque 3 : Déclenchement d'une bombe de décompression CI/CD

Dans les environnements CI :

yaml

`#Exemple d'extrait dans .gitlab-ci.yml before_script :

unzip artifact.zip -d /tmp/build`

Si artefact.zip est un Zip of Death, l'agent de construction peut se bloquer ou le pipeline peut se bloquer indéfiniment en raison de l'épuisement des ressources.

Exemple d'attaque 4 : abus de décompression de la passerelle de courrier électronique

Les produits de sécurité du courrier électronique décompressent souvent les pièces jointes pour en inspecter le contenu :

texte

Pièce jointe : promo.zip (75 KB)

Si la taille décompressée est importante, le moteur d'analyse peut chavirer, ce qui entraîne un retard ou un blocage de la distribution du courrier.

Exemple d'attaque 5 : Exploitation de la vulnérabilité de l'analyse ZIP (panne de PickleScan)

Un avis datant de 2025 a révélé comment des en-têtes ZIP malformés peuvent faire planter les outils d'analyse, non pas par épuisement des ressources, mais par des incohérences d'analyse (déclenchant des erreurs telles que BadZipFile). GitHub

python

with zipfile.ZipFile('malformed.zip') as z : z.open('weird_header')

Cela permet de contourner les contrôles de qualité et de perturber les systèmes de balayage automatisés.

Stratégies de défense contre le Zip de la mort

Pour atténuer les attaques de type "Zip of Death", il faut plusieurs contrôles qui se chevauchent parce que le problème de fond est d'ordre fonctionnel (la décompression elle-même), et non un bogue dans un seul programme.

Stratégie de défense 1 : Estimation de la taille avant décompression

Vérifier la taille totale non compressée attendue avant l'extraction.

python

import zipfile with zipfile.ZipFile("upload.zip") as z : total = sum(info.file_size for info in z.infolist())if total > 1_000_000_000 : # ~1GB raise Exception("Archive too large")

Cela permet d'éviter une expansion catastrophique.

Stratégie de défense 2 : Limiter la profondeur récursive

Suivre et limiter la profondeur des archives imbriquées.

python

def safe_extract(zf, depth=0) :

si la profondeur > 3 :

raise Exception("Trop d'archives imbriquées")

pour info dans zf.infolist() :

if info.filename.endswith('.zip') :

avec zf.open(info.filename) comme nested :

safe_extract(zipfile.ZipFile(nested), depth+1)

Stratégie de défense n° 3 : le "sandboxing" des ressources

Exécutez la décompression dans des noyaux isolés ou des conteneurs avec des quotas durs pour éviter d'affecter les services du système :

bash

docker run --memory=512m --cpus=1 unzip image.zip

Même si les archives tentent de consommer des ressources, le processus est limité.

Stratégie de défense 4 : Extraction en continu avec conditions d'abandon

Au lieu de procéder à une extraction complète, il convient de traiter les lectures fragmentées et d'interrompre le processus à un stade précoce :

python

if extracted_bytes > THRESHOLD : abort_extraction()

Cela permet d'arrêter rapidement les expansions incontrôlées.

Stratégie de défense n° 5 : mise à jour des bibliothèques et outils vulnérables

Apporter activement des correctifs aux vulnérabilités connues des bibliothèques de décompression comme celles de 7-Zip (par exemple, CVE-2025-11001 et CVE-2025-0411) afin d'éviter les exploits d'analyse qui combinent les bombes zip avec la traversée ou l'exécution de code. SecurityWeek

Tableau comparatif de la vulnérabilité de la ZIP 2025

Pour structurer le paysage actuel des menaces, voici un aperçu des risques liés aux ZIP en 2025 :

Catégorie de menace	Exemple	Impact
Bombe de décompression	Archives récursives classiques	Épuisement des ressources, DoS
Exploitation de l'analyse syntaxique	CVE-2025-46730	Outils d'écrasement / disque de remplissage
Défauts de l'analyseur ZIP	CVE-2025-11001	Écritures arbitraires dans les fichiers
MotW Bypass	CVE-2025-0411	Déjouer les contrôles de sécurité

Penligent.ai: Détection automatisée des risques liés aux archives

Les attaques de type "Zip of Death" et autres attaques d'archives similaires ne sont pas faciles à détecter par une simple analyse statique, car elles exploitent les éléments suivants sémantique du protocole et comportement en cours d'exécutionet pas seulement les signatures d'octets connues. C'est là que les plates-formes de pénétration automatisées modernes telles que Penligent.ai brillance.

Penligent.ai utilise un système de fuzzing intelligent piloté par l'IA et la génération de scénarios pour tester :

Points d'extrémité de téléchargement pour différentes tailles d'archives et structures imbriquées
Logique de décompression du backend pour l'application des ressources
Analyse d'archives avec des liens symboliques et des en-têtes spéciaux
Code de gestion des erreurs qui pourrait accepter silencieusement des entrées dangereuses

En simulant des schémas d'attaque réels tels que l'imbrication récursive ou les attaques par en-tête malformé, Penligent.ai aide les ingénieurs à détecter et à hiérarchiser les risques que les scanners traditionnels ne détectent pas.

Dans les environnements microservices ou cloud-native où le traitement des fichiers est effectué par de nombreux composants indépendants, ce type de test continu et automatisé est essentiel pour trouver les failles avant que les attaquants ne le fassent.

Tendances de l'attaque Zip avancée en 2025

Outre les bombes de décompression classiques, 2025 a vu une exploitation plus nuancée basée sur les ZIP:

Défauts d'analyse ZIP utilisés dans attaques combinées (épuisement des ressources + exécution du code)
Les extensions d'archives falsifiées par des homoglyphes contournent les filtres de sécurité
Exploitation d'archives imbriquées pour contourner les règles relatives à la "taille maximale des archives".
Abus de la gestion des liens symboliques pour traverser les répertoires

Ces modèles montrent que la vision simpliste des bombes zippées en tant que déclencheurs de DOS est dépassée. les failles logiques des attaques sur les ressources.

Considérations juridiques et éthiques

La création de bombes Zip n'est pas toujours illégale : les chercheurs en sécurité les utilisent souvent comme cas de test. Toutefois, leur distribution dans un but malveillant (perturbation ou accès non autorisé) peut être considérée comme un acte illégal. l'utilisation abusive d'ordinateurs et la législation sur les attaques terroristes (DoS)Il s'agit de la loi américaine CFAA ou de lois similaires dans d'autres juridictions. LegalClarity

Cela souligne l'importance de traiter la recherche défensive de manière responsable et de veiller à ce que les preuves de concept restent dans des environnements de laboratoire sécurisés.

Conclusion : Le zip de la mort n'est pas une donnée relative, c'est un risque persistant.

Même en 2025, dans un contexte de logiciels malveillants avancés et de menaces fondées sur l'IA, le Zip de la mort reste d'actualité car il exploite les éléments suivants une hypothèse fondamentale dans la conception des logiciels: que la décompression est sans danger.

L'automatisation moderne, des passerelles de courrier électronique aux pipelines en nuage, fait confiance aux fichiers compressés sans vérification adéquate. Lorsque ces hypothèses échouent, des services entiers peuvent être mis hors ligne.

En combinant des défenses proactives, en veillant à ce que les bibliothèques soient protégées contre les vulnérabilités d'analyse et en utilisant des outils tels que le Penligent.ai Pour les attaques simulées en continu, les équipes de sécurité peuvent arrêter les attaques de type "Zip of Death" avant qu'elles n'arrêtent leurs systèmes.

Essayez l'outil AI Pentest

Partager l'article :

Articles connexes

Changements - Soins de santé - Cyber-attaques - Mise à jour - Aujourd'hui

Change Healthcare Cyber Attack Update Today : Ce qui s'est passé, ce que cela signifie et ce que nous allons faire à partir de maintenant

Le point sur la cyberattaque de Change Healthcare aujourd'hui : Un aperçu de la crise en cours La cyberattaque de The Change Healthcare, qui a d'abord frappé le secteur de la santé, est en cours.

Bug Bounty d'Apple : Comment se qualifier pour obtenir les meilleures récompenses en 2025 et au-delà

Le programme Bug Bounty d'Apple est devenu l'un des programmes les plus gratifiants et les plus rigoureux sur le plan technique dans le domaine de la cybersécurité moderne. Pour se démarquer