Une nouvelle faille critique affectant WhatsApp a été exploitée dans une campagne d’espionnage sophistiquée visant des utilisateurs d’iPhone et de Mac. Le géant Meta a corrigé la vulnérabilité, mais appelle les utilisateurs à mettre immédiatement leurs applications à jour.
Une faille critique dans la synchronisation des appareils
WhatsApp a récemment corrigé une vulnérabilité majeure, identifiée comme CVE-2025-55177, affectant la fonction de synchronisation des appareils liés sur iOS et macOS. Cette faille permettait à un utilisateur non autorisé de déclencher, sans interaction de la victime, le traitement d’un contenu malveillant à partir d’une URL externe sur le terminal visé. En d’autres termes, une simple réception de message pouvait suffire à infecter l’appareil.
Ce bug a été exploité en tandem avec une autre faille Apple, CVE-2025-43300, affectant le composant ImageIO, utilisé pour le traitement des images sur les systèmes Apple. Ce second bug, corrigé par Apple le 20 août 2025 via iOS 18.6.2 et ses équivalents sur iPad et Mac, permettait l’exécution de code à distance via une image corrompue.
Une attaque ciblée, discrète et très sophistiquée
Selon WhatsApp et des chercheurs en cybersécurité, les deux vulnérabilités ont été combinées dans une attaque zero-click, ne nécessitant aucune action de l’utilisateur. Cette campagne de cyberespionnage, détectée depuis fin mai 2025, aurait ciblé moins de 200 personnes, principalement des individus de haut profil tels que des journalistes, des militants, des diplomates ou encore des cadres dirigeants.
Donncha Ó Cearbhaill, expert de l’Amnesty International Security Lab, a confirmé que ces attaques visaient à introduire un logiciel espion sophistiqué sur les terminaux Apple, et potentiellement Android. Les appareils infectés permettaient aux attaquants d’accéder aux messages, aux médias et aux données personnelles, même chiffrées.
Meta et Apple avertissent, les agences s’en mêlent
Meta a envoyé des notifications personnalisées aux personnes ciblées, une pratique également courante chez Apple en cas de détection d’intrusions via logiciels espions. De son côté, la CISA (Cybersecurity and Infrastructure Security Agency) américaine a ajouté CVE-2025-55177 à son catalogue des vulnérabilités activement exploitées, imposant aux agences fédérales de corriger la faille avant le 23 septembre.
Des vulnérabilités très convoitées
Les failles dites “zero-click” sont particulièrement redoutées, car elles échappent à la vigilance des utilisateurs. Elles sont souvent utilisées par des groupes sponsorisés par des États, dans le cadre d’opérations d’espionnage ciblées à fort rendement.
Ce type d’exploit suscite un intérêt croissant sur le marché des failles zero-day. À titre d’exemple, une prime d’un million de dollars aurait récemment été offerte lors du concours Pwn2Own Ireland 2025 pour une faille sur WhatsApp.
Comment vous protéger
Bien que les attaques actuelles soient ciblées, les experts recommandent à tous les utilisateurs de :
- Mettre à jour immédiatement WhatsApp : Version 2.25.21.73 (iOS), 2.25.21.78 (Business iOS et Mac).
- Mettre à jour leur système Apple : iOS 18.6.2, macOS Sequoia 15.6.1, Sonoma 14.7.8 ou Ventura 13.7.8.
- Activer la vérification en deux étapes sur WhatsApp.
- Surveiller les appareils liés : Paramètres → Appareils liés.
- Utiliser le mode Isolement sur les appareils Apple pour les personnes à haut risque.
Même si vous n’êtes pas directement visé, ces mesures sont essentielles pour renforcer la sécurité de vos données dans un contexte où les menaces deviennent de plus en plus invisibles et sophistiquées.
Suivez-nous sur Google Actualités
