Fin août 2025 – WhatsApp a déployé une mise à jour d’urgence pour combler une vulnérabilité critique (CVE-2025-55177) qui permettait à des attaquants de compromettre un appareil sans aucune interaction de l’utilisateur. Cette faille, combinée à une vulnérabilité récente d’Apple (CVE-2025-43300), a été utilisée dans le cadre d’une campagne d’espionnage sophistiquée visant des personnes spécifiques. (turn0search0, turn0news17, turn0search7)
1. Une vulnérabilité dangereuse et complexe
Le problème identifié — insuffisance d’autorisation des messages de synchronisation pour les appareils liés — permettait à un attaquant non relié au compte cible de déclencher le traitement d’un contenu malveillant provenant d’une URL arbitraire. Aucune interaction n’était nécessaire pour exploiter cette faille. (turn0search0, turn0search7)
Ce comportement a potentiellement été utilisé en conjonction avec un bug Apple dans le framework ImageIO (CVE-2025-43300), permettant une exécution de code à distance (RCE) via une image truquée. (turn0search3, turn0search4, turn0search11)
2. Portée de l’attaque et victimes ciblées
WhatsApp a envoyé des notifications d’alerte à moins de 200 utilisateurs qu’il estime avoir été visés par cette attaque sur les 90 derniers jours, parmi lesquelles se trouvaient notamment des membres de la société civile. (turn0news17, turn0search4)
Amnesty International s’est engagé dans une enquête médico-légale pour identifier les victimes et comprendre l’étendue de cette campagne. (turn0news17)
3. Versions affectées et correctifs disponibles
| Application | Version vulnérable | Correctif disponible depuis |
|---|---|---|
| WhatsApp iOS | < 2.25.21.73 | 28 juillet 2025 |
| WhatsApp Business iOS | ≤ 2.25.21.78 | 4 août 2025 |
| WhatsApp Mac | ≤ 2.25.21.78 | 4 août 2025 |
WhatsApp recommande aux utilisateurs concernés d’effectuer une restauration usine du terminal, en plus de garder l’OS et l’application à jour, afin de se prémunir contre une éventuelle compromission persistante. (turn0search0, turn0search11)
4. Contexte stratégique et historique
Il s’agit d’une attaque zero-click, équivalente aux campagnes précédentes utilisant Pegasus par NSO Group en 2019, dans laquelle des appareils étaient infectés automatiquement via WhatsApp. (turn0search4, turn0news17, turn0news16)
Cette nouvelle faille démontre que les messageries chiffrées restent une cible de choix pour les acteurs sophistiqués, notamment vis-à-vis des défenseurs des droits humains. (turn0search3, turn0news17)
5. Recommandations pratiques
Mettre à jour immédiatement WhatsApp sur iOS et macOS.
Effectuer une restauration d’usine en cas d’alerte ou suspicion de compromission.
Maintenir l’OS constamment à jour, notamment sur les composants ImageIO.
Surveiller les comportements suspects : activité réseau anormale, messages ou fichiers générés automatiquement.
Sensibiliser les utilisateurs : même sans action de leur part, des menaces sophistiquées peuvent compromettre leurs appareils.
Conclusion
WhatsApp a react swiftly to patch a critical zero-click vulnerability (CVE-2025-55177) actively exploited in combination with an Apple zero-day. Cette alerte révèle une fois de plus la sophistication des campagnes malveillantes visant les plateformes chiffrées, sans nécessité d’action de la victime.
La rapidité de correction, la transparence sur l’impact réel et les recommandations claires sont des points positifs, mais cet incident souligne la nécessité d’une vigilance systématique face aux menaces émergentes, en particulier pour les personnes vulnérables.