Bombe de décompression

Pour les articles homonymes, voir Bombe.

Cet article est une ébauche concernant la sécurité informatique.

Vous pouvez partager vos connaissances en l’améliorant (comment ?) selon les recommandations des projets correspondants. Consultez la liste des tâches à accomplir en page de discussion.

Cet article ne cite pas suffisamment ses sources (janvier 2008).

Si vous disposez d'ouvrages ou d'articles de référence ou si vous connaissez des sites web de qualité traitant du thème abordé ici, merci de compléter l'article en donnant les références utiles à sa vérifiabilité et en les liant à la section « Notes et références ». En pratique : Quelles sources sont attendues ? Comment ajouter mes sources ?

Une bombe de décompression est un type de fichier malveillant qui consiste en un fichier compressé dont la décompression mobilise tellement de ressources qu'il peut faire geler le système. Elle peut aussi être utilisée pour occuper l'antivirus pendant qu'un virus plus traditionnel est introduit.

Il s'agit d'un simple fichier compressé, placé à un endroit quelconque du disque dur, d'une taille relativement légère (n'excédant pas une dizaine de mégaoctets), qui contient après décompression des données d'une taille beaucoup plus importante (plusieurs gigaoctets). Pour ce faire, on remplit intégralement, sur plusieurs gigaoctets, un fichier binaire d'une même donnée (0 ou 1). Ainsi, une fois compressé, il sera très léger.

Lors de l'importation ce fichier va être analysé par l'antivirus pour peu que celui-ci supporte l'analyse de fichiers compressés (ce qui est le cas pour pratiquement tous les antivirus depuis 2015). Pour cela, l'antivirus va devoir extraire les fichiers de l'archive dans une zone temporaire, afin de les analyser un par un. Là est la source du problème : lorsqu'on extrait ce fichier ce sont plusieurs gigaoctets de données qui doivent être extraits et copiés dans cette zone. Ce processus de décompression occupe toute la mémoire temporaire qui lui est dédiée et créé un déni de service (ou DoS) en accaparant toutes les ressources du processeur.

Certains antivirus sont cependant capables de reconnaître les bombes de décompression avant qu'elles ne soient décompressées.

Cette section est vide, insuffisamment détaillée ou incomplète. Votre aide est la bienvenue ! Comment faire ?

Une bombe complexe est un fichier compressé dont l'en-tête est incorrect.

Cette bombe est en fait constituée de plusieurs bombes identiques imbriquées les unes dans les autres. Certains formats de compression permettent de compresser un grand nombre de fois un même fichier dans une seule archive sans augmenter la taille finale de l'archive. On compressera donc plusieurs milliers voire millions de bombes simples dans un fichier compressé, et la taille de la bombe finale différera peu de celle d'une unique bombe simple. La taille des fichiers décompressés lors de l'explosion de la bombe peut alors atteindre plusieurs centaines de pétaoctets.

Un exemple de ce type de bombe est le fichier 42.zip, un fichier ZIP de 42 kilooctets, qui contient un fichier de 4,3 gigaoctets répété à 16⁵ exemplaires (par groupe de 16 sur 5 niveaux de profondeur), soit un total de 4,5 pétaoctets après décompression^[1].

Ce problème touchant tous les types de fichiers compressés, il est ainsi possible de créer des bombes à image (picture bomb : un seul pixel est répété sur une image de plusieurs millions de pixels de côté).

• Billion_laughs : attaque similaire visant les parseurs XML
• Compression de données : article détaillant le fonctionnement (normal) des logiciels de compression de données.
• Mail-bombing
• Bombe logique
• Fork bomb
• Castor affairé

• Portail de la sécurité informatique