Meta a corrigé deux vulnérabilités dans WhatsApp. Celles-ci affectent iOS, Android et Windows. L'une permettait à un message piégé de déclencher le chargement de contenu depuis une URL contrôlée par un attaquant. L'autre laissait un fichier se présenter comme un document inoffensif tout en s'exécutant comme un programme malveillant.
Meta a publié un avis de sécurité détaillant deux failles corrigées dans WhatsApp, référencées CVE-2026-23866 et CVE-2026-23863. Selon l'entreprise, aucune n'a été exploitée activement au moment de leur divulgation publique.
Deux mécanismes d'attaque distincts
La première faille, CVE-2026-23866, touche les versions iOS de la v2.25.8.0 à la v2.26.15.72, et Android de la v2.25.8.0 à la v2.26.7.10. Elle se situe au niveau du traitement des "messages enrichis par l'IA" intégrant des Reels d'Instagram. WhatsApp ne validait pas correctement ces messages. Cela permettait potentiellement à un contenu spécialement formaté de forcer l'application à charger des médias depuis une URL contrôlée par un tiers. Concrètement, à la réception d'un tel message, votre appareil aurait traité du contenu provenant d'une source non vérifiée et donc téléchargé un malware.
La seconde faille, CVE-2026-23863, concerne WhatsApp pour Windows dans les versions antérieures à la 2.3000.1032164386.258709. Elle exploite la gestion des noms de fichiers contenant des octets NUL. Un octet NUL est un caractère invisible, utilisé en informatique pour signaler la fin d'une chaîne de texte. Sans filtrage adéquat, un fichier pouvait afficher un nom trompeur dans l'interface de la messagerie. Il pouvait par exemple se présenter comme un PDF tout en étant traité comme un exécutable (.exe) au moment de son ouverture. Puisqu'elle nécessite une interaction de l'utilisateur pour être déclenchée, la faille est notée 6,5/10 (niveau "Medium") dans le référentiel CVSS 3.1, selon Facebook. En revanche cette pratique reste efficace pour des attaques couplées à de l'ingénierie sociale , par exemple si un faux service de support au téléphone vous demande d'ouvrir cette pièce jointe.
Ce type de scénario n'est pas nouveau sur le client Windows. Nous rapportions en avril 2025 une vulnérabilité similaire (CVE-2025-30401) avec un mécanisme comparable.
Pour CVE-2026-23866, la mise à jour est disponible via le Google Play Store ou l'App Store. Pour CVE-2026-23863, vérifiez que votre version de WhatsApp pour Windows soit au moins la 2.3000.1032164386.258709, via le Microsoft Store. WhatsApp recommande d'activer les mises à jour automatiques pour éviter ce type d'exposition.
