WhatsApp patches vulnerability exploited in zero-day attacks

Vulnérabilité critique corrigée dans WhatsApp : Exploitation avancée

Une faille de sécurité dans WhatsApp pour iOS et macOS, désignée CVE-2025-55177, a été corrigée après avoir été exploitée dans des attaques de type “zero-day” sophistiquées. Cette vulnérabilité, qualifiée de “zero-click”, permettait à un utilisateur non autorisé de déclencher le traitement de contenu à partir d’une URL arbitraire sur l’appareil d’une cible.

Elle a été utilisée en conjonction avec une autre faille au niveau du système d’exploitation d’Apple (CVE-2025-43300), elle-même corrigée par des mises à jour d’urgence d’Apple. Ces attaques visaient des utilisateurs spécifiques, potentiellement dans le cadre de campagnes de logiciels espions avancés.

Points clés :

• Nature de la faille : “Zero-click” et “zero-day”, exploitée sans interaction de l’utilisateur.
• Mécanisme : Autorisation incomplète des messages de synchronisation des appareils connectés, permettant le traitement de contenu d’une URL arbitraire.
• Contexte d’exploitation : Combinée avec une vulnérabilité du système d’exploitation Apple (CVE-2025-43300).
• Victimes potentielles : Utilisateurs ciblés par des campagnes de logiciels espions sophistiqués.
• Impact passé : WhatsApp a déjà corrigé une autre faille “zero-day” en mars, exploitée pour installer le logiciel espion Graphite de Paragon.

Vulnérabilités :

• CVE-2025-55177 : Faute d’autorisation dans la synchronisation des messages d’appareils connectés sur WhatsApp.
• CVE-2025-43300 : Vulnérabilité au niveau du système d’exploitation d’Apple (mentionnée comme étant exploitée en combinaison avec CVE-2025-55177).

Recommandations :

• Les utilisateurs ayant pu être affectés sont invités à effectuer une réinitialisation d’usine de leur appareil.
• Il est crucial de maintenir le système d’exploitation et les logiciels de votre appareil à jour.

Source