WhatsApp a émis une alerte critique concernant une vulnérabilité de type “zero-day” nouvellement identifiée, CVE-2025-55177, qui a été exploitée dans le cadre d’attaques sophistiquées sans interaction (zero-click) ciblant les utilisateurs de Mac et d’iOS. Cette vulnérabilité, combinée à une faille au niveau du système d’exploitation, CVE-2025-43300, suscite des inquiétudes quant à de possibles compromissions des appareils et des données des utilisateurs, y compris des messages sensibles.
La faille, découverte dans WhatsApp pour iOS et Mac, concerne une autorisation incomplète des messages de synchronisation des appareils liés. Cela a permis aux attaquants de déclencher le traitement de contenu à partir d’une URL arbitraire sur l’appareil cible sans interaction de l’utilisateur. La gravité de la situation s’est accrue lorsqu’il a été découvert que cette faille était exploitée en conjonction avec une vulnérabilité du cadre Apple ImageIO, qu’Apple avait déjà corrigée, confirmant son utilisation dans des attaques sophistiquées.
Le Security Lab d’Amnesty International enquête activement sur la situation, notant que les utilisateurs d’iPhone et d’Android, y compris les journalistes et les défenseurs des droits de l’homme, ont été affectés. La menace des logiciels espions gouvernementaux demeure une préoccupation majeure pour ces groupes.
WhatsApp et les experts en sécurité recommandent de mettre à jour les dernières versions des applications et des systèmes d’exploitation, ainsi que d’activer des fonctionnalités de sécurité renforcées pour atténuer les risques.
