Une vulnérabilité critique de WhatsApp a permis des attaques sans interaction utilisateur. Meta confirme l’exploitation, Amnesty alerte : journalistes et ONG ciblés.
Rejoignez-nous sur les réseaux sociaux
Aucun spam – Désinscription en un clic – Vie privée respectée
Retour de la cyber attaque sans clic de souris ! Une vulnérabilité critique de WhatsApp pour iOS et macOS, identifiée comme CVE‑2025‑55177, a été activement exploitée en conjonction avec une faille d’iOS (CVE‑2025‑43300) pour mener des attaques zero‑click. Meta a confirmé des cyberattaques réelles. Amnesty International signale plusieurs alertes envoyées à des cibles potentielles, notamment des journalistes et des membres de la société civile. L’exploitation permettait de forcer WhatsApp à charger des données à partir d’URL arbitraires sur l’appareil, sans interaction. Les failles ont été corrigées fin juillet et début août 2025. Les experts recommandent la réinitialisation des appareils et une mise à jour immédiate. Une fois de plus, le logiciel espion gouvernemental est dans le viseur, sans attribution claire à ce jour.
Un scénario invisible : la vulnérabilité zero-click
Le 28 juillet 2025, WhatsApp publiait discrètement une mise à jour de sécurité pour ses utilisateurs iOS. Derrière ce correctif, une vulnérabilité critique dormait dans les lignes de code. CVE‑2025‑55177 permettait à un attaquant distant de manipuler WhatsApp afin qu’il charge du contenu depuis une URL arbitraire stockée sur l’appareil de la cible. Le danger en soi était déjà notable. Mais combinée à une autre faille (CVE‑2025‑43300) propre à iOS, la menace s’est transformée en une attaque sans clic : aucune interaction de l’utilisateur n’était nécessaire pour que le malware s’active.
La combinaison des deux failles a permis une exploitation silencieuse. Une simple ouverture automatique, un processus en arrière‑plan, suffisait à compromettre un appareil. Aucun lien à cliquer, aucun fichier à ouvrir. Les attaques de ce type, dites zero‑click, sont parmi les plus redoutées : elles sont invisibles, instantanées, souvent indétectables.
⏳ Jusqu’où tolérerez-vous d’être piraté ?
CTI ZATAZ – Scannez les menaces vous concernant avant qu’il ne soit trop tard.
Confidentiel. Instantané. Sécurisé. Zéro intermédiaire. 100 % Made in France.
Des cibles bien choisies, une attribution floue
Meta, maison‑mère de WhatsApp, a confirmé que la vulnérabilité avait été utilisée lors d’attaques réelles. L’entreprise a envoyé des notifications à certains utilisateurs ciblés, comme le prévoit sa politique de transparence. Amnesty International, qui suit régulièrement l’usage des logiciels espions contre les acteurs de la société civile, a confirmé avoir identifié plusieurs victimes potentielles. Parmi elles, des journalistes, des chercheurs et des membres d’organisations non gouvernementales.
La nature des cibles laisse peu de doute : il s’agit d’une campagne de surveillance avancée. Et bien que l’origine exacte de l’attaque n’ait pas encore été révélée, les analystes convergent vers une piste familière : l’usage de spyware commercial, probablement d’origine étatique. Ces outils, souvent vendus à des gouvernements sous couvert de sécurité nationale, sont régulièrement détournés à des fins de surveillance illégitime.
Les campagnes précédentes ont montré que les logiciels espion comme Pegasus ou Predator utilisent exactement ce type de vulnérabilités : zero‑click, multi‑plateformes, orientées interception. Rien ne permet d’affirmer que l’un de ces noms est impliqué ici, mais la logique, elle, ne change pas.
Correctifs déployés, mais la prudence reste de mise
WhatsApp a rapidement comblé la faille. La version 2.25.21.73 pour iOS, déployée le 28 juillet, intègre le correctif principal. WhatsApp Business, quant à lui, a reçu une mise à jour le 4 août (version 2.25.21.78), tout comme l’application macOS. Ces correctifs sont essentiels, mais ne suffisent pas à effacer les conséquences d’une compromission.
Les experts en sécurité recommandent aux utilisateurs concernés — ou suspectant avoir été ciblés — d’effectuer une réinitialisation complète de leur appareil aux paramètres d’usine. Cette mesure radicale est souvent la seule capable de déloger un spyware implanté profondément dans le système.
La vulnérabilité n’a été exploitée qu’en conjonction avec des versions spécifiques d’iOS, et les appareils mis à jour seraient désormais protégés. Mais l’incident rappelle la complexité croissante de la menace : ce ne sont plus des failles isolées, mais des chaînes de vulnérabilités interconnectées, conçues pour frapper vite et rester invisibles. Et surtout, la question fondamentale demeure : quelle structure est derrière cette attaque ciblée ? Et combien d’autres failles attendent, silencieusement, dans le code ?
L’exploitation de CVE‑2025‑55177 n’est pas qu’une alerte technique. C’est une démonstration de force. Elle prouve que, même dans les applications les plus surveillées, des failles critiques subsistent. Et qu’elles sont activement exploitées par des entités capables, organisées, et patientes.
Si les correctifs sont essentiels, ils n’empêchent pas les dégâts. La confiance dans la technologie repose sur un équilibre fragile, que chaque vulnérabilité zero‑click érode un peu plus. Et pendant que les patchs se diffusent, les attaquants, eux, peaufinent déjà leur prochaine méthode.
Rejoignez-nous sur les réseaux sociaux
Aucun spam – Désinscription en un clic – Vie privée respectée
