WhatsApp corrige une faille Zero-Click ciblant les utilisateurs d’iOS et de macOS : CVE-2025-55177
WhatsApp a corrigé une faille de sécurité critique présente dans ses applications pour iOS et macOS. Cette faille, de type zero-click, est déjà exploitée dans le cadre d'attaques ciblées. Faisons le point.
Une attaque basée sur des failles WhatsApp et iOS
Vendredi dernier, Meta a publié un nouveau bulletin de sécurité pour révéler l'existence d'une faille de sécurité zero-day et de type "zero-click", c'est-à-dire ne nécessitant aucune interaction de la part de l'utilisateur. Selon WhatsApp, cette vulnérabilité associée à la référence CVE-2025-55177 est liée à une mauvaise gestion des autorisations lors de la synchronisation des appareils.
Dans le bulletin de sécurité de WhatsApp, nous apprenons que "une autorisation incomplète des messages de synchronisation des appareils liés dans WhatsApp [...] aurait pu permettre à un utilisateur non lié de déclencher le traitement du contenu d’une URL arbitraire sur l’appareil de la cible."
Cependant, cette vulnérabilité dans WhatsApp semble fait partie d'une chaîne d'exploitation plus complexe. WhatsApp précise que la faille a été exploitée conjointement avec une vulnérabilité présente dans le système d'exploitation d'Apple, associée à la référence CVE-2025-43300. En août 2025, Apple avait justement publié des correctifs pour patcher cette vulnérabilité, en précisant qu'elle avait été exploitée dans une attaque extrêmement sophistiquée.
Les versions affectées par la CVE-2025-55177 sont les suivantes :
- WhatsApp pour iOS avant la version 2.25.21.73
- WhatsApp Business pour iOS avant la version 2.25.21.78
- WhatsApp pour Mac avant la version 2.25.21.78
Vous devez donc installer les versions mentionnées ci-dessus pour être protégé de cette vulnérabilité.
Des utilisateurs ciblés et des recommandations drastiques
WhatsApp a confirmé l'existence des attaques, sans fournir de détails. Sur X, Donncha Ó Cearbhaill, responsable du Security Lab d'Amnesty International, a confirmé que WhatsApp a commencé à notifier les utilisateurs potentiellement visés par cette campagne de cyberespionnage.
L'alerte envoyée aux victimes au cours des 90 derniers jours précise : "Nous avons apporté des modifications pour empêcher que cette attaque spécifique ne se produise via WhatsApp. Cependant, le système d'exploitation de votre appareil pourrait rester compromis par le logiciel malveillant ou être ciblé par d'autres moyens."
L'appareil des victimes pourrait être infecté par un logiciel malveillant ! En réaction, WhatsApp recommande aux personnes concernées d'effectuer une réinitialisation d'usine de leur appareil, en plus d'effectuer les dernières mises à jour.
