Plusieurs failles ont été révélées dans l’utilitaire. En attendant un correctif, les utilisateurs de la version française du logiciel s’exposent au piratage de leur PC.
Pas un palmarès de téléchargement où l’utilitaire n’arrive dans les premiers rangs. Mais WinZip, le très populaire outil de compression de fichiers, goûte dorénavant à une popularité d’un nouveau genre celle des logiciels victimes d’une faille de sécurité suffisamment sérieuse pour permettre à un pirate de prendre le contrôle d’un ordinateur mal protégé. Et les correctifs fournis par l’éditeur ne sont pour l’instant d’aucune utilité à ses clients français.
WinZip vient en effet de sortir aux États-Unis une version 9 SR1 (Service Release 1) de l’outil, prévue pour corriger des failles sérieuses. Tous les utilisateurs du logiciel, quelle que soit sa version (7, 8 ou 9), sont invités à mettre à jour leur logiciel. Sans cela, leur PC deviendra vulnérable. Un pirate pourra en effet profiter des failles dans WinZip pour prendre le contrôle de l’ordinateur ou y installer des logiciels malveillants, à l’insu de son propriétaire.
Une faille non « exploitée »
Selon l’éditeur, il n’existerait actuellement aucun programme permettant à un hacker de tirer profit de ces trous de sécurité. Mais, dans le cas d’un logiciel aussi populaire que WinZip, la publication d’un correctif pourrait pousser des pirates à développer rapidement un tel programme, qui leur permettrait de prendre la main sur des ordinateurs non mis à jour.
Aux États-Unis, la parade est simple, il suffit d’installer le SR1. Gratuitement. WinZip est en effet commercialisé comme un shareware : une fois téléchargé, il peut être utilisé sans frais pendant 21 jours ; pour en profiter au-delà, l’éditeur demande un paiment, de 29 dollars outre-Atlantique. Les utilisateurs payants recevront la mise à jour SR1, incluse d’office dans toutes les versions d’évaluation.
Mais la manoeuvre n’est valable que pour la version en langue anglaise de WinZip. En France, l’utilitaire n’est ainsi disponible qu’en version 8.1 SR2. WinZip 9 est toujours en attente de traduction. Et impossible de plaquer par-dessus la version française de l’utilitaire le correctif SR 1, qui n’a été prévu que pour le WinZip anglais.
Chez Avanquest, le distributeur du logiciel en France, on parle de la sortie d’une version traduite de WinZip « au pire début octobre ». Entre-temps, les utilisateurs français auront sur leur ordinateur un produit dont les défauts de sécurité ont été révélés, sans possibilité de les corriger.
[source – 01net.com] Ludovic Nachury