WhatsApp, la messagerie utilisée par des milliards de personnes à travers le monde, fait face à une faille de sécurité sérieuse. L'équipe Project Zero de Google a révélé publiquement ce problème après l'échec de Meta à le corriger dans les délais impartis.
Un chercheur en sécurité de chez Google vient de lever le voile sur une brèche importante affectant l'application Android de WhatsApp. Brendon Tiszka, membre de l'équipe Project Zero, a détaillé dans un rapport public comment des pirates informatiques peuvent exploiter le système de téléchargement automatique des médias pour infiltrer les appareils des victimes. Cela intervient alors que Meta n'a pas réussi à déployer une correction complète dans le délai standard de 90 jours accordé par le géant de Mountain View.
Une méthode d'attaque qui exploite les groupes de discussion WhatsApp
L'exploit repose sur un scénario précis mais redoutablement efficace. Un pirate doit d'abord créer un groupe de conversation et y ajouter sa cible ainsi qu'un contact de celle-ci. En nommant ce contact administrateur, l'attaquant peut ensuite diffuser un fichier média malveillant qui se télécharge automatiquement sur l'appareil de la victime, sans aucune action de sa part. Le fichier atterrit dans la base de données MediaStore et, s'il parvient à s'en échapper, peut exécuter du code nuisible de manière totalement invisible pour l'utilisateur.
Malgré la gravité potentielle de cette faille, plusieurs conditions doivent être réunies pour qu'une attaque réussisse. L'attaquant doit connaître ou deviner les numéros de téléphone de la victime et de son contact. Par ailleurs, le fichier malveillant doit suffisamment être sophistiqué pour accomplir des actions néfastes une fois dans le système. Les utilisateurs qui activent la confidentialité avancée des discussions ou désactivent le téléchargement automatique des médias sont par défaut protégés.
Meta peine à colmater la brèche de sécurité
Google a signalé cette vulnérabilité à Meta de manière confidentielle le 1ᵉʳ septembre 2025. Face à l'absence de correctif complet au 30 novembre, le protocole standard a conduit à la divulgation publique de l'information. Le 4 décembre, Brendon Tiszka a précisé que Meta avait déployé une correction partielle côté serveur, mais qu'une solution définitive restait en développement. Depuis cette date, aucune mise à jour n'a été communiquée sur le ticket, suggérant que le problème demeure toujours ouvert.
Seule la version Android de WhatsApp semble touchée par cette faille. Les utilisateurs peuvent néamoins se protéger en activant la confidentialité avancée dans les paramètres de groupe ou en désactivant complètement le téléchargement automatique des médias via les réglages de stockage et de données.
Source : Neowin
