Les avis de sécurité directement publiés par WhatsApp sont assez rares. Il n'y a par exemple rien eu à signaler l'année dernière. Ce ne sera pas le cas pour cette année avec un avis de sécurité pour une vulnérabilité CVE-2025-30401.
La faille d'usurpation d'identité affecte le client WhatsApp pour Windows et concerne la gestion des fichiers. Avec une pièce jointe, le problème se situe au niveau de l'affichage d'un fichier en fonction de son type MIME (Multipurpose Internet Mail Extensions), tandis que l'ouverture se base sur l'extension du nom de fichier.
« Une incompatibilité malveillante spécialement conçue aurait pu amener le destinataire à exécuter par inadvertance un code arbitraire, plutôt que d'afficher la pièce jointe lors de son ouverture dans WhatsApp », peut-on lire.
Pas d'exploitation active mentionnée
Un scénario imaginable est un attaquant qui truque un fichier exécutable (.exe) pour qu'il apparaisse comme une image ou un document. Quand la victime ouvre la pièce jointe dans WhatsApp en pensant lire une image ou un document, c'est un programme malveillant qui s'exécute.
Le problème est corrigé dans la version 2.24550.6 (ou plus) de WhatsApp pour Windows. Il y aura ainsi une meilleure vérification de la cohérence entre le type MIME et l'extension du fichier avant de l'ouvrir.
Il n'est pas fait mention d'une exploitation active de la vulnérabilité CVE-2025-30401 dans des attaques. Sachant que ce genre de bug de sécurité est largement susceptible d'intéresser des campagnes de cyberespionnage.
Un signalement externe
À noter que le signalement de la faille est attribué à un chercheur en sécurité tiers et par le biais du programme de Bug Bounty de Meta.
