La messagerie WhatsApp vient de corriger une vulnérabilité de sécurité affectant les applications WhatsApp pour iOS, WhatsApp pour Mac, ainsi que WhatsApp Business pour iOS.
Cette faille a été activement exploitée dans le cadre d'une campagne d'espionnage ciblée. Une attaque totalement invisible pour les victimes qui n'ont eu besoin de cliquer sur rien pour voir leur appareil compromis.
Une attaque zero-click sophistiquée
Le mode opératoire de l'attaque repose sur l'enchaînement de deux vulnérabilités distinctes. La première, référencée CVE-2025-55177, se situe directement dans WhatsApp. Elle permettait à un attaquant de forcer l'application à traiter du contenu provenant d'une URL arbitraire, contournant les mécanismes d'autorisation habituels.
Le véritable danger apparaît lorsque cette faille est combinée à une seconde vulnérabilité CVE-2025-43300 au niveau du système d'exploitation d'Apple. Cette seconde vulnérabilité, localisée dans le framework de traitement d'images ImageIO, pouvait être déclenchée par une image malveillante.
Un attaquant était alors en capacité d'utiliser la faille WhatsApp pour envoyer une image piégée qui exploitait ensuite la faille d'Apple pour exécuter du code et compromettre l'appareil. Le tout sans aucune interaction de l'utilisateur. Une attaque zero-click particulièrement prisée pour le déploiement de logiciels espions.
Des cibles précises et un mode opératoire discret
La campagne d'espionnage n'était pas une opération de masse. Les attaquants ont visé des profils bien spécifiques. Selon les informations communiquées, moins de 200 utilisateurs auraient reçu une notification de la part de WhatsApp les informant qu'ils avaient pu être ciblés. Parmi les victimes potentielles figurent des journalistes et des membres de la société civile.
L'opération se serait déroulée sur une période de 90 jours, soit depuis la fin du mois de mai 2025. Un laps de temps suffisant pour collecter une quantité massive de données sur les appareils infectés, y compris le contenu des messages.
Dans l'alerte envoyée aux personnes concernées, WhatsApp a précisé : « Nous avons effectué des modifications pour empêcher que cette attaque spécifique ne se produise via WhatsApp. Cependant, le système d'exploitation de votre appareil pourrait rester compromis par le logiciel malveillant ou être ciblé par d'autres moyens. »
Comment se protéger face à la menace
Face à une telle menace, la réactivité est la meilleure défense. Meta, la maison mère de WhatsApp, a déjà déployé les correctifs nécessaires. La première action à entreprendre est donc de vérifier que son application est à jour.
Les versions corrigées de WhatsApp sont les suivantes :
- WhatsApp pour iOS 2.25.21.73
- WhatsApp pour Mac 2.25.21.78
- WhatsApp Business pour iOS 2.25.21.78
Il est tout aussi fondamental d'installer la dernière mise à jour du système d'exploitation proposée par Apple, puisqu'elle comble la seconde faille CVE-2025-43300. La correction a fait l'objet d'une publication en urgence le 20 août avec les mises à jour iOS 18.6.2 et macOS 15.6.1. Apple avait alors souligné un rapport indiquant une « attaque extrêmement sophistiquée ».
Pour les personnes ayant reçu une notification ou qui craignent d'avoir été ciblées, WhatsApp recommande une mesure bien plus radicale... la réinitialisation d'usine complète de leur appareil.
En début d'année, WhatsApp avait dévoilé avoir stoppé une campagne impliquant le spyware Graphite commercialisé par Paragon Solutions.
