Qu'est-ce qu'une zip bombe?

Vous pourriez l'ouvrir par accident. Mais au moment où il commence à décompresser, le système de fichiers de votre ordinateur se bloque. Sauf qu'il n'y a pas de logiciels malveillants dans les archives zip, seulement des mathématiques.

Comment fonctionne la compression

Lorsque vous compressez un fichier dans une archive zip, votre ordinateur recherche des modèles dans les 1 et 0. Les pièces répétées sont stockées une fois. Ensuite, au lieu d'écrire la même chose encore et encore, l'archive pointe simplement vers la version originale. Il est brutalement efficace. C'est pourquoi les fichiers texte ont tendance à se rétrécir si bien. Quelques cordes répétées peuvent réduire les mégaoctets aux kilo-kilo-kilo-kilo-kilo-kilob.

Une zip bombe prend cette logique et la retourne contre l'ordinateur.

Au lieu de quelques blocs répétés, il comprend un bloc répété des millions de fois. Encore une fois, les données elle-même ne sont jamais copiées, mais la zip bombe la pointe encore et encore. Ensuite, il enveloppe cela à l'intérieur d'une autre archive. Puis encore. Puis encore.

Au moment où vous atteignez la couche extérieure, elle a l'air inoffensive. Le fichier est minuscule. Il transfère rapidement. Il n'y a rien d'inhabituel. Mais une fois qu'il commence à déballer, les références se déroulent. Chacun s'ouvre sur le suivant. Le résultat n'est pas un antiarchiving typique du zip car il devient une avalanche.

Le célèbre

La zip bombe la plus connue est appelée « quarante-deux points zip ». Il ne fait que quarante-deux kilo-kilo-kilobytes sur disque. À l'intérieur, il contient seize fichiers d'archives. Chacun de ceux-ci contient seize autres. Tous indiquent le même morceau de données de remplissage. En termes de programmation, cela s'appelle Recursion. Pensez à la récursivité mathématique comme une salle des miroirs. Un fichier en ouvre un autre. Ce fichier ouvre à nouveau le même fichier. Chaque couche suit le dernier. Rien de nouveau n'est ajouté. La structure continue de s'appeler, encore et encore, jusqu'à ce que le système soit à court d'espace pour garder une trace.

Si vous parvenez à le décompresser complètement, ce que la plupart des systèmes ne peuvent pas faire, le contenu s'étend à environ quatre millions de gigaoctets et demi. L'archive 42.zip n'a jamais été censée infecter quoi que ce soit. Son objectif est de planter les outils qui essaient de l'ouvrir.

Pourquoi ils existent encore

Les bombes zip sont toujours utilisées aujourd'hui, principalement dans des contextes techniques ou de recherche. Certains sont utilisés par les testeurs de sécurité pour repousser les limites du système. Certains apparaissent dans les travaux académiques pour explorer les cas de pointe en compression. Certains sont envoyés pendant les cyberattaques réelles, non pas comme l'attaque elle-même, mais comme une distraction.

Les bombes zippées modernes utilisent des astuces plus récentes. Certains combinent des formats d'archives. D'autres incluent des couches protégées par mot de passe qui confondent les scanners de base. Quelques-uns sont divisés sur plusieurs e-mails, seulement dangereux lorsqu'ils sont remontés.

Un de tel archiveconstruit en 2023, était dix mégaoctets sur disque. Lorsqu'il est complètement extrait, il a produit plus de cinq millions de gigaoctets de remplissage.

Même en ce moment, vous pouvez en faire un vous-même. Écrivez un script qui archive les fichiers. Zip un fichier. Puis zip le zip. Puis zippez ça. Répétez-le 100 fois. Le fichier extérieur semble toujours petit. Il envoie toujours rapidement par e-mail. Mais chaque couche approfondit la charge.

Pouvez-vous en détecter un?

La seule protection est la stratégie. Il n'y a pas de correction dans le fichier lui-même. L'archive n'est que des bits inoffensifs. La protection doit venir de l'extérieur.

Certains systèmes cessent de se décompresser après quelques couches. D'autres refusent d'extraire plus qu'une quantité spécifique de données. Quelques outils recherchent des références répétées au même bloc de mémoire.

Les outils antivirus ont également compris. Ils fixent des limites: à quelle profondeur ils vont scanner, à quel point ils vont déballer. Mais tous les systèmes ne sont pas protégés. Parfois, c'est un utilisateur curieux. Parfois, c'est automatisé. Tout ce qui essaie de le décompresser est entièrement la victime. Et cela fonctionne dans WSL ou dans Docker. La méthode est agnostique sur les systèmes d'exploitation.

Si vous écrivez l'automatisation, limitez la taille de la décompression. Si vous numérisez les téléchargements, plafonnez la profondeur. Si vous recevez des fichiers d'étrangers, ne faites pas confiance à la taille ou à la taille du fichier seul.

Légal? Techniquement

Les bombes zip sont ouvertes à l'intérieur des machines virtuelles, avec des interrupteurs de mise à mort et des capuchons de mémoire. Le test est toujours isolé. Le fichier ne fonctionne jamais sur un système en direct.

Une zip bombe n'est pas un code de pièce. Ce n'est pas un script ou un exécutable, donc ce n'est pas un exploit dans le sens habituel. C'est une bizarrerie de la façon dont les ordinateurs modernes fonctionnent qu'un simple fichier zip sans aucun exécutable peut faire de réels dégâts.

Il n'y a pas de loi contre l'envoi d'un fichier zip sans charge utile de virus. Mais cela ne signifie pas que c'est légal. Une zip bombe envoyée pour écraser l'ordinateur d'un collègue n'est pas une farce. C'est une sorte de sabotage. Les tribunaux ont tendance à se concentrer sur le résultat, pas sur le type de fichier.

Le véritable danger d'une zip bombe est qu'il demande au système de travailler plus dur que ce qu'il était censé en surchargeant son système de fichiers. Et la plupart des systèmes disent oui. C'est l'astuce et le piège.