Attaque sans clic sur les appareils Apple via WhatsApp

La dernière vulnérabilité touchant les appareils Apple via WhatsApp fait froid dans le dos. On parle d’un exploit zero-click capable d’infecter un iPhone, un iPad ou un Mac sans la moindre action de l’utilisateur. Ce type d’attaque, particulièrement sournois, met en cause la sécurité mobile à un niveau rarement vu chez Apple.

Vulnérabilité zero-click sur WhatsApp : une brèche qui ne pardonne pas

Quelqu’un envoie un simple message texte, et le tour est joué : l’appareil est contaminé sans clic, sans alerte, rien. La faille, identifiée sous la référence CVE-2025-55177, découle d’une mauvaise gestion de l’autorisation lors de la synchronisation automatique sur iOS et macOS. Profiter de cette porte dérobée, c’est autoriser l’exécution de code malveillant, menant à l’installation silencieuse de spyware, à la mode Pegasus du NSO Group.

Les versions touchées incluent WhatsApp pour iOS avant 2.25.21.73, WhatsApp Business pour iOS avant 2.25.21.78, et WhatsApp Mac jusqu’à 2.25.21.78. Même des systèmes récents comme iOS 18 et macOS 15 sont concernés si les mises à jour ne sont pas appliquées.

Zéro intermédiaire, zéro-clic : comment l’attaque s’infiltre sur l’iPhone et l’iPad

Le scénario est connu : un fichier ou une URL falsifiée transite par WhatsApp. Le système d’Apple traite le contenu pour la synchronisation, déclenchant automatiquement la faille dans la bibliothèque Image I/O. Résultat : du code est injecté, et c’est l’ouverture à tout ce que redoutent les experts en sécurité mobile.

Aucune interaction requise, l’utilisateur n’a aucune chance de voir le coup venir. La complexité de cette attaque la classe parmi les plus dangereuses, à l’image des opérations Pegasus, où une simple réception de message permettait la surveillance à grande échelle sans aucun signe d’infection apparente.

WhatsApp, Apple et les failles de sécurité mobile : la réaction en urgence

WhatsApp a mis en ligne des mises à jour en urgence. Même stratégie du côté d’Apple, qui a renforcé iOS et iPadOS 18.6.2, ainsi que macOS 15.6.1. Les utilisateurs négligents risquent gros : la faille a selon Amnesty International déjà servi à des attaques, avec envoi de message texte malveillant et alertes pour certains comptes contaminés.

Dans la foulée, Meta recommande l’installation immédiate de tous les patchs de sécurité. Si un appareil Apple affiche des comportements louches après la réception d’un message WhatsApp inattendu, un reset usine s’impose, suivie d’une restauration manuelle et d’une vérification des applications tierces.

Zero-Day et sécurité mobile en 2025 : une veille essentielle

Aujourd’hui, la menace des zero-day n’épargne aucun environnement, même Apple, souvent vanté pour sa sécurité. L’affaire WhatsApp rappelle que la surface d’attaque grandit, avec en première ligne les apps grand public. Ne pas appliquer les correctifs, c’est s’exposer à des outils dignes de groupes comme NSO Group, pour qui la surveillance ne connaît aucune limite éthique.

Ce genre d’exploit n’est pas de la science-fiction. Les professionnels de l’IT le savent : chaque retard dans la mise à jour, chaque version obsolète sur le parc mobile, c’est une fenêtre ouverte pour les attaquants. Une politique claire de gestion des correctifs est un minimum syndical pour limiter les dégâts.

Ce que révèle l’attaque WhatsApp sur la stratégie des cybercriminels

Les acteurs malveillants exploitent des chaînes d’attaque sophistiquées : d’un message texte anodin à la prise de contrôle totale de l’iPhone ou du Mac, il n’y a qu’un pas. Le marché du spyware, poussé par les innovations du NSO Group ou d’autres, raffine ses outils chaque année, en espérant passer sous le radar d’Apple ou de WhatsApp.

La sophistication de ces zero-click attaque force à revoir le triptyque « confiance–contrôle–correction » en place dans les DSI. Le risque ne concerne plus seulement les profils à haut risque ; il touche n’importe qui, n’importe quand. La sécurité mobile ne s’improvise pas, même dans un environnement Apple réputé sûr.