Suite à ma réponse. Si je peux lister le contenu d'un fichier ZIP protégé par mot de passe, vérifier les types de fichiers de chaque fichier stocké et même le remplacer par un autre, sans réellement connaître le mot de passe, alors les fichiers ZIP doivent-ils toujours être traités comme sécurisés?
Ceci est complètement non sécurisé en termes d'ingénierie sociale / influence etc.
Je peux détourner (intercepter) le fichier de quelqu'un d'autre (fichier ZIP protégé par mot de passe) et je peux remplacer l'un des fichiers qu'il contient, par mon seul (faux, virus) sans connaître le mot de passe. Le fichier remplacé restera non chiffré, non protégé par mot de passe dans le ZIP, mais les autres fichiers ne seront pas modifiés.
Si une victime décompresse une archive protégée par mot de passe, le programme d'extraction ne demandera le mot de passe qu'une seule fois, pas à chaque fois pour chaque fichier. Ainsi, l'utilisateur final ne verra pas la différence - si le programme ne demande pas de mot de passe, parce qu'il le connaît déjà (fichier d'origine) ou parce que le fichier extrait n'a pas besoin d'un mot de passe (fichier modifié par moi). De cette façon, je peux injecter quelque chose de vraiment mauvais dans un fichier ZIP protégé par mot de passe, sans connaître son mot de passe et compter sur le récepteur en supposant que le fichier n'est pas modifié.
Est-ce que je manque quelque chose ou est-ce vraiment faux? Que dire des conditions de sécurité d'une solution, si le mot de passe n'est pas obligatoire pour introduire toute modification dans un fichier protégé par mot de passe?