WhatsApp a récemment corrigé une vulnérabilité de sécurité dans ses applications de messagerie pour iOS et macOS, que des acteurs malveillants auraient pu exploiter en lien avec une faille d’Apple récemment divulguée, lors d’attaques sophistiquées ciblées.
La vulnérabilité, référencée sous le nom CVE-2025-55177 (score CVSS : 8.0), concerne un cas d’autorisation insuffisante des messages de synchronisation des appareils liés. Les chercheurs internes de l’équipe de sécurité de WhatsApp ont été chargés de découvrir et de réévaluer ce bogue.
La société, appartenant à Meta, a déclaré que cette faille “aurait pu permettre à un utilisateur non concerné de déclencher le traitement de contenus à partir d’une URL arbitraire sur l’appareil d’une cible.”
Les versions concernées par cette vulnérabilité sont les suivantes :
- WhatsApp pour iOS avant la version 2.25.21.73
- WhatsApp Business pour iOS version 2.25.21.78
- WhatsApp pour Mac version 2.25.21.78
Il a également été évalué que cette faille pourrait être exploitée en association avec CVE-2025-43300, une vulnérabilité affectant iOS, iPadOS et macOS, dans le cadre d’une attaque sophistiquée visant des utilisateurs spécifiques.
CVE-2025-43300, récemment révélé par Apple, a été qualifié d’outil de piraterie dans le cadre d’une “attaque extrêmement sophistiquée contre des individus ciblés.”
La vulnérabilité en question est une faille d’écriture hors limites dans le framework ImageIO qui pourrait entraîner une corruption de la mémoire lors du traitement d’une image malveillante.
Donncha Ó Cearbhaill, responsable du laboratoire de sécurité d’Amnesty International, a indiqué que WhatsApp avait informé un nombre indéterminé d’individus pensant avoir été ciblés par une campagne de logiciels espions avancée au cours des 90 derniers jours utilisant CVE-2025-55177.
Dans l’alerte envoyée aux personnes ciblées, WhatsApp a recommandé de procéder à une réinitialisation complète de l’appareil et de maintenir à jour leur système d’exploitation ainsi que l’application WhatsApp pour une protection optimale. On ne sait pas actuellement qui, ou quel fournisseur de logiciels espions, est à l’origine de ces attaques.
Ó Cearbhaill a décrit cette paire de vulnérabilités comme une attaque à “zero-click”, signifiant qu’aucune interaction utilisateur, telle que cliquer sur un lien, n’est nécessaire pour compromettre leur appareil.
“Les premières indications montrent que l’attaque sur WhatsApp touche à la fois les utilisateurs d’iPhone et d’Android, des membres de la société civile parmi eux,” a précisé Ó Cearbhaill. “Les logiciels espions gouvernementaux continuent de représenter une menace pour les journalistes et les défenseurs des droits de l’homme.”
Bon à savoir
- Les vulnérabilités de type “zero-click” sont particulièrement inquiétantes car elles permettent aux attaquants d’accéder aux appareils sans l’intervention de l’utilisateur.
- Garder ses applications et systèmes d’exploitation à jour est essentiel pour se prémunir contre ce type de menace.
- Les utilisateurs doivent être vigilants par rapport aux messages inattendus et aux demandes d’accès à leurs informations personnelles.
En prenant en compte les implications de cette situation, il est crucial de s’interroger sur l’évolution des menaces auxquelles nous faisons face dans le monde numérique. La sécurité des données personnelles doit-elle devenir une priorité incontournable pour les entreprises et les utilisateurs ?
C’est vraiment inquiétant de voir à quel point nos appareils peuvent être vulnérables. L’importance de la sécurité numérique ne peut plus être ignorée, surtout pour protéger nos données personnelles.