WhatsApp a rapidement déployé une mise à jour d’urgence pour corriger une vulnérabilité critique de type “zero-day” qui permettait aux attaquants de pénétrer dans les appareils iOS et macOS sans interaction de l’utilisateur. Cette faille, identifiée sous le code CVE-2025-55177, était liée à un autre problème “zero-day” dans l’écosystème d’Apple, le CVE-2025-43300, et avait été exploitée dans le cadre de campagnes de logiciels espions ciblées. La vulnérabilité permettait des exploits sans clic, où du code malveillant pouvait être injecté simplement en envoyant un message ou une image spécialement conçus, contournant ainsi les mesures de sécurité traditionnelles. Ces attaques sont particulièrement dangereuses car elles ne nécessitent aucune action de la victime, ce qui en fait un outil privilégié pour les hackers soutenus par des États.
L’exploit a été découvert après des rapports de comportements inhabituels de l’application sur les appareils concernés, ce qui a poussé Meta, la société mère de WhatsApp, à réagir rapidement. Apple a également publié des mises à jour pour corriger la faille associée dans son framework ImageIO, soulignant la nature interconnectée de la sécurité des applications et des systèmes d’exploitation. Cet incident rappelle les opérations de logiciels espions précédentes visant les journalistes et les activistes, mettant en lumière la menace persistante des menaces persistantes avancées.
Le timing de la mise à jour de WhatsApp coïncide avec une surveillance accrue des plateformes de messagerie, comme en témoigne l’interdiction de WhatsApp sur les appareils officiels par la Chambre des représentants des États-Unis en raison de préoccupations de sécurité. Cela soulève des questions sur l’efficacité du chiffrement de bout en bout lorsque des “zero-days” peuvent le contourner au niveau de l’appareil. Les experts recommandent de mettre à jour immédiatement vers les dernières versions pour atténuer les risques.
Alors que les menaces cybernétiques continuent d’évoluer, des entreprises comme Meta renforcent les défenses des utilisateurs avec des fonctionnalités telles que des contrôles avancés de la confidentialité des discussions. Cependant, la persistance des “zero-days” souligne la nécessité d’une chasse proactive aux menaces et d’une coopération internationale pour contrer la prolifération des logiciels espions. Cette situation rappelle aux leaders technologiques que la sécurisation des applications de messagerie nécessite une vigilance à travers l’ensemble de l’écosystème.
