WhatsApp a résolu une vulnérabilité critique de type “zero-day” qui aurait été exploitée lors d’une cyberattaque sophistiquée. La faille, identifiée sous le code CVE-2025-55177, était liée à une autorisation incomplète des messages de synchronisation des appareils, permettant potentiellement à des utilisateurs non autorisés de traiter du contenu à partir d’URL arbitraires sur les appareils ciblés. Cette vulnérabilité, combinée à une faille au niveau du système d’exploitation d’Apple (CVE-2025-43300), pourrait avoir été utilisée dans des attaques ciblées. Apple a décrit son problème comme un défaut d’écriture “out-of-bounds”, pouvant entraîner une corruption de la mémoire lors du traitement de fichiers image malveillants. Ces vulnérabilités sont supposées faire partie d’une campagne de logiciels espions commerciaux, comme l’a confirmé le laboratoire de sécurité d’Amnesty International. De telles exploitations sont particulièrement préoccupantes car elles fonctionnent sans interaction de l’utilisateur, permettant aux logiciels espions d’accéder subrepticement aux caméras, microphones et données des appareils. Plus tôt cette année, le groupe NSO a été condamné à verser des dommages et intérêts importants après que son logiciel espion Pegasus ait été utilisé pour cibler de nombreux utilisateurs de WhatsApp. La faille de WhatsApp concerne les versions antérieures à la v2.25.21.73 sur iOS, la v2.25.21.78 sur WhatsApp Business pour iOS, et la v2.25.21.78 sur Mac.
WhatsApp a-t-il corrigé une faille de sécurité critique ?
