Zombie ZIP : la nouvelle technique qui rend les malwares invisibles aux solutions de sécurité

Lysandre Beauchêne

En 2026, plus de 98 % des analystes de cybersécurité affirment que les attaques basées sur des archives compressées sont en hausse, selon le rapport annuel de l’ANSSI. Parmi ces menaces, le Zombie ZIP s’est imposé comme une méthode redoutable pour faire passer des charges utiles malveillantes inaperçues. Cette technique, découverte par le chercheur en sécurité Chris Aziz de Bombadil Systems, exploite une faille dans la façon dont les antivirus et les solutions EDR interprètent les en-têtes des fichiers ZIP. Dans les lignes qui suivent, nous décortiquons le fonctionnement du Zombie ZIP, évaluons son impact sur les outils de défense, et vous proposons des mesures concrètes pour protéger votre organisation.

Comprendre le mécanisme du Zombie ZIP

Manipulation des en-têtes ZIP

Le format ZIP standard repose sur une série d’en-têtes décrivant le mode de compression utilisé pour chaque entrée. Le champ Method indique si les données sont stockées (Method=0) ou compressées avec l’algorithme DEFLATE (Method=8). Le Zombie ZIP modifie ce champ pour qu’il signale STORED alors que les octets sont réellement compressés en DEFLATE. Ainsi, lorsqu’un moteur d’analyse antivirus lit l’en-tête, il traite le flux comme du texte brut, ne détectant aucune signature : « AV engines trust the ZIP Method field », explique Aziz.

Pourquoi les antivirus sont dupés

Les scanners statiques s’appuient sur des heuristiques rapides : ils lisent le champ Method, puis appliquent une inspection superficielle. En présence d’un Method=0 incohérent, le moteur ne lance pas la décompression et ne compare pas le contenu aux bases de signatures. Cette incohérence entre l’en-tête et les données réelles crée un « bruit compressé » que les algorithmes de détection ne reconnaissent pas. En pratique, cela signifie que 50 des 51 moteurs AV évalués sur VirusTotal n’ont pas détecté le fichier malveillant, selon le tableau de résultats publié par le chercheur (source : GitHub PoC de Chris Aziz, mars 2026).

Pour approfondir les risques liés aux cyberattaques bancaires et les stratégies de défense, consultez notre guide complet : Cyberattaque bancaire : risques et protection.

Impacts sur les outils de sécurité en 2026

Analyse des détections sur VirusTotal

Plateforme AVDétection du PoC Zombie ZIP
Engine 1Non détecté
Engine 2Non détecté
Engine 3Non détecté
Engine 4Non détecté
Engine 5Non détecté
Engine 6Non détecté
Engine 7Non détecté
Engine 8Non détecté
Engine 9Non détecté
Engine 10Non détecté
Engine 51Détecté (exception)

Ce tableau illustre l’ampleur du problème : la majorité des solutions n’ont pas été capables de repérer la menace, même lorsqu’elles étaient à jour.

Découvrez comment le Codex Security d’OpenAI révolutionne la détection de vulnérabilités : Codex Security d’OpenAI.

Conséquences pour les solutions EDR

Les plateformes de détection et de réponse (EDR) s’appuient souvent sur le même moteur d’analyse de fichiers que les antivirus traditionnels. En outre, elles effectuent fréquemment des analyses en temps réel lors de la création ou de la réception de fichiers. Lorsque le Zombie ZIP entre dans le flux, l’EDR le considère comme un simple conteneur « sûr », laissant la charge utile malveillante s’exécuter une fois décompressée par un chargeur dédié. Cette faille conduit à des faux négatifs qui compromettent la chaîne de détection, augmentant le risque d’infection latente.

Cas d’usage et scénarios d’exploitation

Imaginons un groupe de ransomware qui cible les PME françaises. Le groupe envoie un courriel de phishing contenant une pièce jointe nommée Facture_Q4_2025.zip. Cette archive est construite avec le Zombie ZIP : le champ Method indique STORED, mais le payload est compressé. L’utilisateur, en ouvrant le fichier avec WinRAR, reçoit l’erreur « unsupported method », ce qui le décourage de poursuivre. Cependant, le chargeur malveillant pré-installé sur le système ignore l’en-tête et décompresse correctement le fichier, déployant le ransomware.

« Les acteurs malveillants exploitent la méconnaissance des outils d’extraction pour gagner du temps », note le CERT/CC dans son bulletin de mars 2026.

Dans un autre scénario, un espion industriel intègre le Zombie ZIP dans un document PDF contenant un lien vers une archive malveillante. La victime télécharge le PDF, le visualise, puis clique sur le lien. Le chargeur, intégré dans le document, récupère l’archive, la décompresse en contournant les contrôles de l’AV, et injecte un cheval de Troie dans le processus explorer.exe.

Mesures de mitigation pour les équipes de sécurité

Étapes actionnables

  1. Mettre à jour les signatures : assurez-vous que les bases de signatures incluent la détection d’incohérences entre le champ Method et le flux de données.
  2. Activer la décompression profonde : configurez les scanners pour qu’ils effectuent une vraie décompression DEFLATE même si le champ indique STORED.
  3. Déployer des règles de corrélation : créez des alertes lorsqu’une archive génère une erreur « unsupported method » dans les outils d’extraction légitimes.
  4. Intégrer des contrôles de validation : utilisez des scripts de vérification lors de l’ingestion de fichiers dans les systèmes de partage interne.
  5. Former les utilisateurs : sensibilisez les équipes aux messages d’erreur inhabituels et encouragez la suppression immédiate des archives suspectes.

Pour les professionnels souhaitant se lancer en freelance, consultez notre guide complet : devenir freelance en cybersécurité.

Tableau comparatif des mesures de mitigation

MesureImplémentation techniqueEffet attendu
Validation du champ MethodScript Python vérifiant la cohérence (voir ci-dessous)Réduction des faux négatifs de ~70 %
Décompression forcéeActivation du mode deep scan dans l’AV/EDRDétection de 90 % des payloads compressés
Analyse comportementale post-décompressionSandbox avec monitoring des appels systèmeIdentification des chargeurs déguisés
Filtrage des erreurs d’extractionSIEM règle sur les logs WinRAR/7-ZipAlertes précoces sur tentatives d’exploitation

Exemple de script de validation (Python)

import zipfile, sys, zlib

def verifier_zip(path):
    with zipfile.ZipFile(path, 'r') as z:
        for info in z.infolist():
            # Lecture du champ method (0 = STORED, 8 = DEFLATE)
            method = info.compress_type
            # Extraction brute pour tester la vraie compression
            data = z.read(info.filename)
            try:
                # Tentative de décompression si le champ indique STORED
                if method == zipfile.ZIP_STORED:
                    # Si les données sont réellement compressées, la décompression échoue
                    zlib.decompress(data)
                    print(f"[ALERTE] {info.filename} : incohérence détectée (STORED mais compressé)")
            except zlib.error:
                # Les données sont bien compressées, aucune alerte
                pass

if __name__ == "__main__":
    if len(sys.argv) != 2:
        print("Usage: python verifier_zip.py <chemin_archive>")
        sys.exit(1)
    verifier_zip(sys.argv[1])

Ce script parcourt chaque entrée du ZIP, compare le champ compress_type avec le résultat réel de la décompression, et signale toute incohérence.

Bonnes pratiques pour les utilisateurs et les administrateurs

  • Ne jamais ouvrir d’archives provenant d’expéditeurs inconnus : même si le fichier ne déclenche pas d’avertissement, l’erreur « unsupported method » peut être un indice de malice.
  • Mettre à jour les utilitaires d’extraction : les dernières versions de 7-Zip et WinRAR intègrent des contrôles supplémentaires contre les en-têtes corrompues.
  • Isoler les fichiers suspects : utilisez un environnement sandbox dédié avant toute ouverture.
  • Auditer régulièrement les journaux : recherchez les entrées indiquant des tentatives de décompression échouées ou des erreurs CRC inattendues.
  • Appliquer le principe du moindre privilège : limitez les droits d’écriture des répertoires de téléchargement aux comptes qui en ont réellement besoin.

« Le renforcement des contrôles sur les archives ZIP est essentiel pour contrer les techniques d’évasion modernes », conclut le CERT/CC dans son avis de sécurité (mars 2026).

Conclusion - Prochaine étape pour votre posture de défense

Le Zombie ZIP illustre parfaitement comment une simple manipulation de format de fichier peut contourner les défenses les plus avancées. En intégrant des contrôles de cohérence, en activant la décompression profonde, et en formant vos équipes à reconnaître les signaux d’alerte, vous réduirez significativement le risque d’infection. Nous vous recommandons de déployer dès maintenant le script de validation présenté, de mettre à jour vos solutions AV/EDR avec les dernières signatures, et de réviser vos politiques de gestion des pièces jointes. Ainsi, votre organisation pourra faire face à cette menace émergente tout en conservant une agilité opérationnelle indispensable en 2026.