WhatsApp corrige un bug de spyware ‘zero-click’ sur les appareils Apple

WhatsApp a corrigé une faille de sécurité critique dans ses applications iOS et Mac que des hackers exploitaient dans une campagne de spyware furtive, sans que les utilisateurs aient jamais cliqué sur un lien ou ouvert un fichier.

La plateforme de messagerie appartenant à Meta a déclaré que la vulnérabilité — suivie sous le nom de CVE-2025-55177 — était associée à une autre vulnérabilité (CVE-2025-43300) dans le logiciel d’Apple que la société a corrigée la semaine dernière. Ensemble, elles ont créé ce que les experts en sécurité appellent un exploit « zero-click » — un hack qui permettait aux hackers de pénétrer dans les iPhones et les Macs sans aucune action requise de l’utilisateur.

« L’autorisation incomplète des messages de synchronisation de dispositifs liés dans WhatsApp [..] aurait pu permettre à un utilisateur non lié de déclencher le traitement de contenu à partir d’une URL arbitraire sur le dispositif d’une cible », a écrit WhatsApp dans un avis de sécurité vendredi.

« Nous estimons que cette vulnérabilité, en combinaison avec une vulnérabilité au niveau du système d’exploitation sur les plateformes Apple (CVE-2025-43300), a pu être exploitée dans une attaque sophistiquée contre des utilisateurs ciblés spécifiques. »

Cette faille zero-click a affecté WhatsApp pour iOS avant la version 2.25.21.73, WhatsApp Business pour iOS v2.25.21.78, et WhatsApp pour Mac v2.25.21.78.

Plus tôt ce mois-ci, Apple a déployé des mises à jour d’urgence pour corriger la faille zero-day CVE-2025-43300, notant qu’elle avait déjà été exploitée dans une « attaque extrêmement sophistiquée. »

Bien que les deux entreprises doivent identifier publiquement qui se cache derrière les attaques, Donncha Ó Cearbhaill (le responsable du Security Lab chez Amnesty International) a déclaré que WhatsApp avait récemment alerté certains utilisateurs qui avaient été touchés par une « campagne de spyware avancée » qui a duré environ 90 jours. Cette campagne a touché moins de 200 personnes dans le monde, y compris des membres de la société civile.

Table des matières

• Réponse de WhatsApp
• Que devez-vous faire ?

Réponse de WhatsApp

« Nous avons apporté des modifications pour empêcher cette attaque spécifique de se produire via WhatsApp. Cependant, le système d’exploitation de votre appareil pourrait rester compromis par le malware ou être ciblé de d’autres manières », indiquent les alertes de WhatsApp.

Donncha Ó Cearbhaill a décrit que la campagne était conçue pour pénétrer à distance dans les iPhones et les Macs, sans que les victimes reçoivent des signes d’avertissement que leurs appareils étaient compromis, tout en donnant aux attaquants accès à des messages privés et à des données sensibles.

« Également important : la vulnérabilité d’Apple se trouvait dans une bibliothèque d’images centrale, ciblant éventuellement d’autres applications en plus de WhatsApp », a ajouté Donncha Ó Cearbhaill.

Ce n’est pas la première fois que WhatsApp est utilisé comme canal de livraison pour des spyware de niveau gouvernemental. En 2019, la société a poursuivi le fournisseur israélien de spyware NSO Group après que son malware Pegasus a infiltré plus de 1 400 dispositifs, y compris des journalistes et des activistes. Plus récemment, WhatsApp a déclaré qu’il avait perturbé une autre campagne ciblant des groupes de la société civile en Italie.

Les experts en sécurité mettent en garde que ces attaques montrent le pouvoir croissant de l’industrie de la surveillance. En exploitant des vulnérabilités auparavant inconnues, les attaquants peuvent infiltrer même les dispositifs les plus à jour. Contrairement aux tentatives de phishing, les exploits zero-click ne dépendent pas des actions de l’utilisateur, ce qui les rend presque impossibles à prévenir et à défendre.

Que devez-vous faire ?

Pour les utilisateurs quotidiens de WhatsApp, le risque est extrêmement faible. Cependant, il est crucial de mettre à jour vos applications et votre système d’exploitation dès que possible.

Pour les journalistes, les activistes et d’autres personnes dans des domaines sensibles, les experts en sécurité recommandent également d’activer le mode Lockdown d’Apple ou le mode de protection avancée d’Android pour une couche de défense supplémentaire. Alors que les fabricants de spyware chassent constamment les faiblesses, garder les dispositifs corrigés et à jour est la meilleure ligne de défense une fois que des correctifs sont disponibles.