Meta a récemment corrigé une vulnérabilité critique dans WhatsApp. Celle-ci permettait à des attaquants d'installer discrètement des logiciels espions sur les appareils iOS et macOS sans aucune interaction de l'utilisateur.
Cette faille de WhatsApp (CVE-2025-55177,) était exploitée en parallèle d'une vulnérabilité au sein des OS d'Apple (CVE-2025-43300). Pour les hackers, l'objectif n'était pas de développer des attaques à grande échelle, mais plutôt de rester sous les radars pour des campagnes de surveillance très ciblées de moins de 200 personnes. WhatsApp a confirmé avoir détecté cette attaque plusieurs semaines avant sa divulgation publique et envoyé des notifications de menace aux utilisateurs affectés.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
Une attaque sophistiquée sans interaction utilisateur
La vulnérabilité résidait dans le processus de synchronisation d'appareils de WhatsApp, permettant aux attaquants de manipuler ce mécanisme en envoyant des URL arbitraires qui déclenchaient un traitement de contenu non autorisé sur l'appareil cible. Cette technique "zero-click" signifie qu'aucune action de la part de l'utilisateur n'était nécessaire : pas de lien à cliquer, pas de pièce jointe à ouvrir. Les attaquants pouvaient installer des logiciels malveillants simplement par l'envoi d'un message ou d'un fichier spécialement conçu.
Cette intrusion tirait parti des failles dans le framework Image I/O d'Apple, permettant à des images ou fichiers empoisonnés d'exécuter du code à distance. La faille WhatsApp servait de point d'entrée initial, tandis que la vulnérabilité Apple permettait la persistance, accordant potentiellement aux attaquants un contrôle complet de l'appareil, y compris l'accès aux messages, caméras et microphones.
La campagne d'attaque s'est étalée sur une période de 90 jours à partir de fin mai, ciblant des utilisateurs spécifiques. Selon Donncha O Cearbhaill, responsable du laboratoire de sécurité d'Amnesty International, il s'agissait d'une "campagne de logiciels espions avancée".
Un ciblage sélectif et des correctifs rapides
Les attaques semblent avoir été très sélectives, se concentrant sur des cibles jugées de grande valeur telles que des journalistes, des militants et des cadres dirigeants. Cette approche ciblée rappelle les méthodes utilisées dans des affaires antérieures, notamment le cas de NSO Group en 2019, où un tribunal américain avait ordonné à cette société de payer 167 millions de dollars à WhatsApp pour une attaque similaire ayant affecté plus de 1 400 utilisateurs via le spyware Pegasus.
Meta a réagi en déployant un correctif mondial au 30 août 2025, tout en recommandant aux utilisateurs d'activer les mises à jour automatiques. De son côté, Apple a corrigé sa vulnérabilité au niveau du système d'exploitation.
