La société Meta a lancé une alerte urgente à l’intention des utilisateurs de WhatsApp sur Windows, les appelant à actualiser l’application sans délai, après la découverte d’une faille de sécurité critique qui pourrait permettre à des pirates d’exécuter des logiciels malveillants sur les appareils ciblés.
La faille, identifiée sous le code CVE-2025-30401, est qualifiée de problème d’usurpation d’identité, permettant à des attaquants de l’exploiter en envoyant des fichiers malveillants aux utilisateurs, lesquels peuvent déclencher l’exécution de programmes dangereux simplement en ouvrant les pièces jointes dans l’application.
Une faille qui touche toutes les versions antérieures
Meta a précisé que cette vulnérabilité affectait toutes les versions de WhatsApp pour Windows antérieures à la version 2.2450.6. Le problème provenait d’une incompatibilité malveillamment conçue, susceptible de provoquer l’exécution de code arbitraire sur l’appareil au lieu d’afficher normalement le fichier joint.
La société a souligné dans un communiqué de sécurité récent l’importance d’effectuer la mise à jour immédiatement, assurant que la faille a été corrigée dans la nouvelle version. Elle n’a toutefois pas précisé si la faille avait déjà été exploitée par des acteurs malveillants.
WhatsApp : une cible fréquente
Cet incident rappelle plusieurs attaques similaires, notamment en juillet 2024, lorsque WhatsApp avait corrigé une faille exploitée dans le cadre de cyberattaques par « clic zéro », révélées par une enquête du Citizen Lab de l’université de Toronto.
À l’époque, le logiciel espion de la société israélienne Paragon avait été utilisé contre des dizaines de journalistes et d’activistes dans plus de 20 pays, principalement sur Android. Meta avait alors corrigé la faille à distance au niveau des serveurs, sans exiger de mise à jour côté utilisateur.
Les logiciels espions persistent.
Par ailleurs, des documents judiciaires américains révélés en décembre dernier ont montré que la société israélienne NSO Group avait utilisé des failles dans WhatsApp pour déployer le logiciel espion Pegasus sur plus de 1 400 appareils, en violation des lois américaines sur le piratage.
Les documents indiquent que la société avait procédé à une ingénierie inversée du code de WhatsApp, lui permettant de développer des outils personnalisés pour envoyer des messages infectés à l’insu des utilisateurs.
Ne remettez pas la mise à jour à plus tard.
Face à la répétition de ces menaces de cybersécurité, tous les utilisateurs de WhatsApp sur Windows sont vivement invités à vérifier qu’ils utilisent bien la version 2.2450.6 ou ultérieure, afin de protéger leurs données contre tout piratage potentiel.
Ne pas effectuer la mise à jour pourrait exposer les appareils à des attaques complexes pouvant être lancées sans aucune action de l’utilisateur… Cette fois-ci, la menace semble plus proche qu’on ne le pense.
