WhatsApp corrige une faille ‘zero-click’ exploitée pour infiltrer les utilisateurs Apple avec des logiciels espions

WhatsApp a récemment comblé une vulnérabilité critique dans ses applications destinées aux iPhone et Mac, une faille qui a permis à des hackers de s’introduire de manière sournoise dans les appareils Apple sans que les utilisateurs ne réalisent la moindre interaction. Cette brèche de type « zero-click » représentait un danger majeur, étant donné qu’elle donnait accès à des individus malveillants à des données privées et sensibles sans avertissement préalable. Ce type d’attaque ciblait des utilisateurs bien précis, ce qui souligne la sophistication des campagnes de surveillance actuelles. Le correctif intervient quelques jours seulement après qu’Apple ait également sécurisé une faille complémentaire dans iOS et macOS, une double vulnérabilité utilisée conjointement par les attaquants.

Les mécanismes d’une attaque zero-click sur WhatsApp : comment la vulnérabilité a-t-elle été exploitée sur iOS et Mac ?

Les attaques zero-click sont redoutables par leur discrétion : aucune action de la victime n’est nécessaire pour déclencher la compromission. Dans le cas survenu avec WhatsApp sur iPhone et Mac, un enchaînement de failles dans l’application et le système d’exploitation permettait d’injecter un logiciel espion directement dans l’appareil. Cette méthode repose sur un exploit technique sophistiqué combinant une faille dans WhatsApp (identifiée comme CVE-2025-55177) et une autre récemment corrigée par Apple (CVE-2025-43300).

Concrètement, les attaquants pouvaient ajouter discrètement une cible à un groupe WhatsApp malveillant, puis lui envoyer un fichier PDF piégé. Ce document était traité automatiquement par le système de prévisualisation, déclenchant à son insu l’installation du spyware « Graphite », développé par Paragon, un acteur notoire sur le marché des outils de surveillance. Le processus se déroulait à l’insu total de la victime, sans aucune interaction nécessaire.

Liste des étapes clés de l’exploitation de la faille zero-click :

• Ajout silencieux de la cible à un groupe WhatsApp contrôlé par l’attaquant
• Envoi d’un fichier PDF malveillant déclenché automatiquement par la prévisualisation
• Execution d’un exploit combiné entre WhatsApp et iOS/macOS pour ouvrir une brèche
• Installation furtive du logiciel espion Graphite sur l’appareil de la victime
• Extraction silencieuse des données personnelles et des messages

Ce mode opératoire est particulièrement alarmant car il sacrifie tout contrôle de la victime sur sa propre sécurité numérique. En 2025, ce genre d’attaque n’est plus de la science-fiction mais une réalité confirmée par plusieurs incidents rendus publics par des chercheurs en sécurité et des organisations comme Amnesty International.

Impact et portée de l’attaque : des utilisateurs Apple ciblés sans signe d’alerte

L’enquête menée autour de cet incident a révélé que ce vecteur d’attaque était utilisé pour cibler des individus spécifiques, notamment des journalistes et des activistes, ce qui pose des questions éthiques conséquentes quant à l’usage du piratage à des fins de surveillance. Ces victimes se retrouvent exposées à la compromission totale de leurs communications privées, de leurs fichiers, et même de leurs positions géographiques.

Donncha Ó Cearbhaill, responsable du Security Lab à Amnesty International, a qualifié cette opération de campagne de surveillance « avancée » qui a duré environ trois mois, de la fin mai à la fin août. Durant cette période, moins de 200 notifications d’alerte ont été adressées par Meta aux utilisateurs concernés, un signal faible au regard de la gravité de la menace.

Pour les victimes, le principal problème était la transparence : aucun indice visible de l’infection, aucune pop-up ou alerte ne signalait la compromission de leur appareil. Le logiciel espion exploitait donc la totale confiance accordée à WhatsApp et à Apple pour surveiller discrètement leurs activités.

Conséquences concrètes de la compromission par le spyware Graphite :

• Accès non autorisé aux messages privés et aux conversations vocales
• Vol de données personnelles, incluant photos, contacts, et historiques
• Suivi en temps réel de la localisation de la cible
• Capacité à enregistrer les appels et capturer l’écran sans alerte
• Collecte silencieuse d’informations sensibles pour manipulations ou chantages

Responsabilités des plateformes et les enjeux autour de la sécurité des messageries instantanées

Le cas de cette faille zero-click met en lumière la pression constante exercée sur les développeurs de messageries instantanées comme WhatsApp pour conjuguer simplicité d’usage, richesse fonctionnelle et sécurité. Meta, propriétaire de WhatsApp, est confronté à un défi de taille : garantir le chiffrement end-to-end tout en contrant des attaques de plus en plus complexes et ciblées.

Le correctif rapide appliqué par WhatsApp démontre une réaction prompte mais soulève aussi des interrogations sur la capacité des grandes plateformes à détecter et neutraliser de tels exploits avant leur exploitation. De leur côté, Google et Apple travaillent continuellement à renforcer les couches de sécurité sur Android et iOS/macOS, respectivement, mais les cyberattaques évoluent tout aussi rapidement.

Liste des défis technologiques rencontrés par les applications de messagerie pour rester sûres :

• Maintenir un chiffrement bout-en-bout efficace sans compromettre la facilité d’utilisation
• Une surveillance proactive contre les vulnérabilités zero-day et zero-click
• Réagir rapidement aux incidents de sécurité en déployant des correctifs sans perturber les utilisateurs
• Équilibrer vie privée des utilisateurs et obligations légales en cas de demandes gouvernementales
• Communiquer avec transparence sur les incidents tout en évitant la panique

Ces défis indiquent que la sécurité numérique est un combat continu, où chaque maillon du système doit être renforcé pour prévenir des atteintes graves. Les utilisateurs, armés de connaissances sur les risques, restent une barrière essentielle face à ces menaces.

Les précédents et la perpétuation des logiciels espions dans l’écosystème Apple

Les attaques de spyware à travers WhatsApp ne sont pas isolées dans l’histoire récente. En 2019, NSO Group, une entreprise israélienne tristement célèbre pour son logiciel espion Pegasus, a été condamnée par la justice américaine à verser 167 millions de dollars à WhatsApp pour une campagne de piratage ciblant plus de 1 400 utilisateurs. Cette affaire avait mis en lumière l’ampleur des capacités des gouvernements et acteurs privés à pénétrer des systèmes sécurisés grâce à des failles zero-day.

Plus récemment, un autre logiciel espion nommé Graphite, employé dans l’attaque décrite, illustre la perpétuation de ces menaces même dans un contexte d’amélioration constante des protections sur iOS et macOS. Graphite a notamment servi dans une campagne visant des journalistes et des membres de la société civile en Italie début 2025, avant que le fournisseur Paragon soit contraint de désactiver ses outils dans ce pays face au manque de coopération gouvernementale.

Différences clés entre Pegasus et Graphite :

• Pegasus : logiciel espion largement médiatisé, développé par NSO Group, réputé pour ses attaques zero-day sur smartphones
• Graphite : spyware plus récent, commercialisé par Paragon, exploité principalement via WhatsApp avec une méthode zero-click
• Les deux permettent un accès complet aux données, appels, et localisation de la victime
• Employés dans des campagnes ciblées contre des activistes, journalistes, et opposants politiques
• Recherches et détections plus actives grâce aux ONG et institutions de sécurité informatique

Ces incidents démontrent que les appareils Apple, malgré leur réputation de sécurité, ne sont pas infaillibles. Ils restent des cibles privilégiées pour des acteurs sophistiqués tirant parti des failles zero-day et zero-click.

Mesures recommandées pour les utilisateurs Apple afin de se protéger face aux attaques zero-click sur WhatsApp

Face à la menace grandissante des logiciels espions utilisant des failles zero-click, il est crucial de mettre en œuvre des pratiques rigoureuses pour renforcer sa protection numérique. Même si les développeurs d’applications et les fabricants poursuivent leurs efforts, l’utilisateur tient une part importante dans la sécurité de ses données.

Voici une liste non exhaustive de conseils destinés aux utilisateurs Apple utilisant WhatsApp et autres plateformes de messagerie comme Signal ou Telegram :

• Mettre à jour régulièrement iOS, macOS, et WhatsApp : les correctifs de sécurité corrigent les vulnérabilités critiques, mieux vaut ne pas attendre pour les installer.
• Restreindre les permissions accordées aux applications : contrôler l’accès aux contacts, microphone, et localisation pour limiter les risques d’exploitation.
• Éviter d’ouvrir les fichiers ou liens suspects même si envoyés via des applications réputées : la prudence reste de mise, même si l’application semble sûre.
• Utiliser des alternatives chiffrées reconnues : Signal et Telegram offrent des protocoles robustes et des mises à jour fréquentes pour protéger la vie privée.
• Activer les fonctionnalités de sécurité intégrées : verrouillage par Face ID ou Touch ID, notifications de connexion, et authentification à deux facteurs.

Ces bonnes pratiques ne garantissent pas une immunité totale, mais réduisent considérablement le risque d’être victime d’un spyware sophistiqué, qu’il provienne de groupes comme NSO Group ou Paragon.

Questions fréquentes autour des failles zero-click sur WhatsApp et leurs impacts

• Qu’est-ce qu’une attaque zero-click ? C’est une attaque où l’attaquant réussit à infecter un appareil sans aucune interaction de la part de la victime, comme cliquer sur un lien ou ouvrir un fichier.
• WhatsApp est-il toujours sûr après cette faille ? Oui, après les correctifs déployés, WhatsApp a renforcé la sécurité, mais rester vigilant reste essentiel.
• Comment savoir si mon appareil a été compromis ? WhatsApp notifie les utilisateurs concernés, mais souvent, les signes sont invisibles. Des outils de sécurité peuvent aider à détecter une infection.
• Pegasus est-il lié à cette attaque ? Cette attaque concerne le spyware Graphite, mais Pegasus, développé par NSO Group, est un autre logiciel espion célèbre aux méthodes similaires.
• Que faire en cas de notification de compromission ? Mettre à jour immédiatement les applications, changer les mots de passe, et consulter un expert en sécurité digitale si possible.