Une fausse vulnérabilité dans 7-Zip sème la confusion sur X (Twitter)
Lundi dernier, un utilisateur de X, prétendument nommé @NSA_Employee39, a publié une alerte concernant une vulnérabilité supposée dans le logiciel d’archivage open-source 7-Zip. Cette annonce, rapidement partagée et commentée, s’est révélée être une fausse alerte, comme l’a confirmé Igor Pavlov, développeur principal de 7-Zip.
Publicités
Une prétendue faille inquiétante
Le compte @NSA_Employee39, qui revendiquait dévoiler des failles de sécurité inédites (appelées zero-days) pour marquer son arrivée sur X, a déclaré avoir découvert une faille ACE (arbitrary code execution) dans 7-Zip. Une telle vulnérabilité aurait permis à des attaquants d’exécuter des codes malveillants sur les ordinateurs des utilisateurs.
Pour prouver ses dires, l’utilisateur a partagé un extrait de code sur Pastebin, affirmant que ce code exploitait une archive .7z manipulée pour déclencher un débordement de mémoire dans une fonction LZMA de 7-Zip.
Rapidement démentie par des experts
Cependant, les professionnels de la cybersécurité ont rapidement douté de l’authenticité de cette prétendue vulnérabilité. Plusieurs experts, après avoir analysé le code, ont affirmé qu’il ne fonctionnait pas comme annoncé.
Igor Pavlov, le développeur de 7-Zip, a également pris la parole sur le forum officiel du logiciel. Il a qualifié cette annonce de « fake » et exprimé son incompréhension face à l’attitude de l’utilisateur. Pavlov a déclaré : « Il n’existe aucune vulnérabilité ACE dans 7-Zip ou LZMA. »
Pourquoi diffuser une fausse information ?
Ce type d’annonce, bien qu’erronée, peut semer la confusion et détourner l’attention des véritables menaces en cybersécurité. Les motivations derrière cette fausse alerte restent floues : recherche d’attention, tentative de désinformation ou simple plaisanterie mal intentionnée ?
Vigilance dans un contexte sensible
L’incident rappelle l’importance de vérifier les sources d’information, particulièrement dans le domaine de la sécurité informatique. Les fausses annonces peuvent non seulement créer un sentiment de panique mais aussi nuire à la crédibilité des alertes légitimes.
Bien que cette prétendue faille ait été démentie, il est toujours recommandé de maintenir ses logiciels à jour pour se protéger contre les véritables cybermenaces. La cybersécurité repose sur la prudence et l’utilisation de canaux d’information fiables.