Qu’est-ce qu’une bombe d’archive ?
Une bombe d’archive (aussi appelé « bombe de décompression » ou « zip bomb ») est un type de logiciel malveillant qui est conçu pour perturber l’action des scanneurs antivirus. Ces fichiers prennent généralement l’apparence de fichiers compressés inoffensifs, qui lorsqu’ils sont décompressés, pour être contrôlés, mobilisent tellement de ressources (de temps, d’espace disque ou de mémoire) qu’ils peuvent faire geler le système.
Les différents types de bombes d’archive
Bombe simple (ou bombe à données répétées) : Il s’agit d’un simple fichier compressé, d’une taille relativement légère (n’excédant pas une dizaine de mégaoctets), qui contient après décompression des données d’une taille beaucoup plus importante (plusieurs gigaoctets). Pour ce faire, on remplit intégralement, sur plusieurs gigaoctets, un fichier binaire d’une même donnée (0 ou 1). Ainsi, une fois compressé, il sera très léger. Lors de l’importation de ce fichier, celui-ci va être analysé par l’antivirus. Pour cela, l’antivirus va devoir extraire les fichiers de l’archive dans une zone temporaire, afin de les analyser un par un. Là est la source du problème : lorsqu’on extrait ce fichier ce sont plusieurs gigaoctets de données qui doivent être extraits et copiés dans cette zone. Ce processus de décompression occupe toute la mémoire temporaire qui lui est dédiée et crée un déni de service (ou DoS) en accaparant toutes les ressources du processeur.
Bombe simple à série de fichiers : Cette bombe est en fait plusieurs bombes identiques les unes dans les autres. Certains formats de compression permettent de compresser un grand nombre de fois un même fichier dans une seule archive sans augmenter la taille finale de l’archive. On compressera donc plusieurs milliers voire millions de bombes simples dans un fichier compressé, et la taille de la bombe finale différera peu de celle d’une unique bombe simple. La taille des fichiers décompressés lors de l’explosion de la bombe peut alors atteindre plusieurs centaines de pétaoctets.
Quels sont les risques ?
- Plantage du système.
- Plantage du logiciel antivirus, permettant ainsi à d’autres logiciels malveillants de pénétrer sur l’ordinateur infecté.
Comment se protéger ?
- Téléchargez des fichiers compressés (extensions .rar et .zip) uniquement à partir de sites Web de bonne réputation en lesquels vous avez confiance.
- Les bons antivirus sont capables de reconnaître les bombes de décompression avant qu’elles ne soient décompressées.