WhatsApp est une cible privilégiée des pirates, et pour cause : la messagerie de Meta compte des millions d’utilisateurs à travers le monde. La firme de Mark Zuckerberg dévoile aujourd’hui qu’une faille zero-click majeure a été repérée sur iOS et macOS.
WhatsApp est la cible privilégiée des arnaqueurs, mais aujourd’hui on ne parle pas d’une bonne vieille escroquerie à l’ancienne : il s’agit bel et bien d’une vulnérabilité zero-click dans WhatsApp, très grave. Meta confirme que la faille CVE-2025-55177 « pourrait avoir été exploitée dans une attaque sophistiquée contre des utilisateurs spécifiquement ciblés ».
Les utilisateurs menacés par une faille WhatsApp, comment se protéger ?
Dans son avis de sécurité, Meta explique que la faille permettait à un utilisateur non autorisé de déclencher le traitement de contenu depuis une URL arbitraire sur l’appareil de la victime. L’utilisation de cette faille ne demandait donc aucune action de la victime, puisqu’on parle d’une vulnérabilité zero-click.
Pour les versions de la messagerie qui ont été touchées par la faille, on parle respectivement de 2.25.21.113 pour WhatsApp sur iOS, 2.25.21.178 pour WhatsApp Business sur iOS et 2.25.21.78 pour WhatsApp sur macOS.
L’équipe de sécurité de WhatsApp fait le lien avec une autre faille zero-click, cette fois-ci du côté d’Apple, corrigée la semaine dernière sous le nom CVE-2025-43300. Les deux failles ont donc pu être utilisées en même temps pour mener les attaques.
Selon Donncha Ó Cearbhaill, responsable du laboratoire de sécurité d’Amnesty International, il est possible que quelqu’un se cache derrière la vente de logiciels de surveillance dans le cadre de ces attaques très sophistiquées visant des personnes précises. Les logiciels de surveillance sont d’ordinaire destinés à la lutte contre les criminels, sauf que leur usage est souvent détourné pour viser des journalistes, des défenseurs des droits humains et toute autre personne jugée gênante.
WhatsApp n’hésite pas à proposer un million de dollars pour une faille zero-click, ce qui se justifie lorsque l’on connaît les enjeux. Amnesty International explique aussi que certains utilisateurs ont été prévenus qu’après cette campagne de type spyware : WhatsApp conseillait aux cibles de réinitialiser totalement leur appareil, mais aussi de garder à jour l’application et iOS.
La sécurité en ligne reste un enjeu majeur, et WhatsApp n’y échappe pas. Malheureusement, malgré de solides équipes et des millions d’utilisateurs, il n’est pas toujours facile de repérer les failles zero-click. Les moyens financiers déployés sont énormes pour éviter les catastrophes.
- Meta confirme une faille critique zéro-clic dans WhatsApp (CVE-2025-55177) touchant iOS et macOS. Elle permettait à un attaquant de déclencher du contenu malveillant sans action de la victime.
- Les versions concernées : 2.25.21.113 (iOS), 2.25.21.178 (WhatsApp Business sur iOS) et 2.25.21.78 (macOS). Cette faille a pu être combinée avec une vulnérabilité Apple (CVE-2025-43300).
- Amnesty International évoque une campagne de spyware visant journalistes et défenseurs des droits humains. WhatsApp recommande de réinitialiser les appareils et de mettre à jour les systèmes.
Source : The Register
Réagissez à cet article !