Meta a averti les utilisateurs de Windows de mettre à jour l’application de messagerie WhatsApp vers la dernière version pour corriger une vulnérabilité qui peut permettre aux attaquants d’exécuter du code malveillant sur leurs appareils.
Décrite comme un problème d’usurpation d’identité et identifiée comme CVE-2025-30401, cette faille de sécurité peut être exploitée par des attaquants en envoyant des fichiers malicieusement conçus avec des types de fichiers modifiés à des cibles potentielles.
Meta indique que la vulnérabilité a affecté toutes les versions de WhatsApp et a été corrigée avec la sortie de WhatsApp 2.2450.6.
« Un problème d’usurpation d’identité dans WhatsApp pour Windows antérieur à la version 2.2450.6 affichait les pièces jointes en fonction de leur type MIME, mais sélectionnait le gestionnaire d’ouverture de fichier en fonction de l’extension de nom de fichier de la pièce jointe », a expliqué WhatsApp dans un avis publié mardi.
« Une incompatibilité malicieusement conçue aurait pu amener le destinataire à exécuter par inadvertance du code arbitraire plutôt que de voir la pièce jointe lors de l’ouverture manuelle de la pièce jointe dans WhatsApp. »
Meta dit qu’un chercheur externe a trouvé et signalé la faille via une soumission de Méta Bug Bounty. La société n’a pas encore communiqué si CVE-2025-30401 a été exploité à l’état sauvage.
En juillet 2024, WhatsApp a résolu un problème légèrement similaire qui permettait d’exécuter des pièces jointes Python et PHP sans avertissement lorsque les destinataires les ouvraient sur des appareils Windows avec Python installé.
Souvent la cible d’attaques de logiciels espions
Plus récemment, à la suite de rapports de chercheurs en sécurité du Citizen Lab de l’Université de Toronto, WhatsApp a également corrigé une vulnérabilité de sécurité zéro clic et jour zéro qui a été exploitée pour installer le logiciel espion Graphite de Paragon.
La société a déclaré que le vecteur d’attaque avait été résolu à la fin de l’année dernière « sans avoir besoin d’un correctif côté client » et a décidé de ne pas attribuer d’identifiant CVE après « avoir examiné les directives CVE publiées par MITRE et [ses] propres politiques internes. »
Le 31 janvier, après avoir atténué le problème de sécurité côté serveur, WhatsApp a alerté environ 90 utilisateurs Android de plus de deux douzaines de pays, y compris des journalistes et des militants italiens qui ont été ciblés par des attaques de logiciels espions Paragon utilisant l’exploit zero-click.
En décembre dernier, un juge fédéral américain a également statué que le fabricant israélien de logiciels espions NSO Group avait utilisé WhatsApp zero-days pour déployer des logiciels espions Pegasus sur au moins 1 400 appareils, violant ainsi les lois américaines sur le piratage.
Des documents judiciaires ont révélé que NSO aurait déployé des logiciels espions Pegasus dans des attaques sans clic qui exploitaient les vulnérabilités de WhatsApp à l’aide de plusieurs exploits zero-day. Les documents indiquaient également que les développeurs du fabricant de logiciels espions avaient inversé le code de WhatsApp pour créer des outils qui envoyaient des messages malveillants qui installaient des logiciels espions, violant les lois fédérales et étatiques.