Commentaires : Une "bombe Zip" au ratio de compression de 28 millions!

XDD ! Je suis pas le seul a a avoir bugger sur le ‘Littéralement’ doivent pas savoir ce que cela implique une explosion XDD

L’article est bidon parce qu’il est inutile à la fois pour les néophytes et pour les gens qui connaissent le sujet.
Ce qui est écrit est juste du sensationnalisme en s’extasiant sur des chiffres qui veulent rien dire hors-contexte.

Quand on clique sur la source, le 1er truc qu’il y a après le résumé, c’est un tableau qui compare ce nouveau type de “zipbomb” avec d’autres types, et OH LA LA MAIS C’EST INCROYABLE d’autres types de zipbomb ont un ratio de compression bien meilleur de 106 MILLIARDS, voire même un RATIO INFINI !

(EDIT : le formatage des listes passe pas terrible sur le site, c’est plus lisible côté forum : Une "bombe Zip" au ratio de compression de 28 millions ! )

Les trucs à savoir pour ceux qui connaissent pas le sujet :

  • Les zipbomb sont des fichiers ultra-compressés conçus spécialement pour avoir un gros ratio taille décompressée/taille compressée
  • Pour un utilisateur humain, il y a pas trop de risques à les décompresser, la plupart des programmes de décompressions peuvent facilement être interrompus quand l’utilisateur s’aperçoit que ça décompresse un truc qui sert à rien.
  • Ça peut servir en tant que malware, parce que les antivirus fouillent activement les fichiers téléchargés sur internet et reçu en PJ d’e-mails, et comme les fichiers sont souvent contenus dans des zips, l’antivirus est obligé d’analyser le contenu des zips pour être proactif est bloquer les menaces avant qu’elles attaquent le PC. Et du coup, en essayant d’ouvrir une “zipbomb” les antivirus se retrouvent souvent coincés, soit en saturant la RAM, soit en saturant le disque dur, ou juste en utilisant tout le CPU pendant 50 ans pour analyser un fichier fictif de plusieurs téraoctets. Pendant ce temps, le PC fait un peu la gueule.
  • Du coup, une fois que la technique à commencé à se répandre, les antivirus se sont mis à jour, et je pense que depuis le temps que c’est “connu”, ils doivent tous être capables de gérer ça sans tomber dans le piège.
  • Mais comme là il s’agit d’une nouvelle technique, certains antivirus pourraient se faire avoir. Mais comme il s’agit d’un article de recherche scientifique, et non pas d’une attaque trouvée dans la nature, le mot devrait se répandre rapidement et ils devraient tous être patchés rapidement, donc aucune raison de paniquer.

Les trucs intéressants pour ceux qui s’intéressent a ce qui se passe derrière les rideaux, en restant dans ce qui est compréhensible pour le commun des mortels :

  • L’algorithme DEFLATE (le plus répandu pour zipper, mais pas le seul, et loin d’être le meilleur) peut faire au mieux un ratio de 1032 (le lien n’explique pas pourquoi cette limite, je suppose que c’est pas vulgarisable).
  • Les zipbomb existantes dépassent cette limite en ayant plusieurs couches de compression (comme des poupées russes), du coup pour être efficace il faut espérer que le décompresseur va automatiquement décompresser toutes les couches à l’infini (les logiciels pour humain en général ne décompressent qu’une seule couche à la fois).
  • Ce nouveau type de zipbomb n’a qu’une seule couche de donnée, donc même si le décompresseur ne traite qu’une seule couche, la “bombe” sera efficace.
  • Pour faire ça, l’auteur explique comment est organisé un fichier ZIP : il y a des données compressées d’un côté, et une sorte d’annuaire à la fin qui indique la structure des fichiers et renvoie vers les données compressées. Donc pour pour faire la “bombe”, l’auteur modifie l’annuaire pour avoir plusieurs fichiers fictifs qui pointent sur le même bloc de données compressées : en rajoutant seulement 47 octets dans l’annuaire, il peut doubler la taille du zip, donc en modifiant à souhait l’annuaire, ça permet d’augmenter rapidement le ratio de compression.
  • Après cette explication sur l’annuaire, ça part dans des détails complexes pour optimiser ça au mieux, donc la vulgarisation peut s’arrêter là