Des chercheurs de Google Project Zero ont débusqué une faille critique sur WhatsApp. Dans la version Android de la messagerie, une vulnérabilité peut permettre à un pirate de forcer le téléchargement d’un média piégé sur le smartphone de sa victime. Meta ayant omis de déployer une mise à jour pour corriger intégralement la faille, les chercheurs ont pris la décision de divulguer publiquement leurs découvertes.
Des chercheurs de Project Zero, l’équipe d’élite de Google qui traque les vulnérabilités zero day, ont découvert une faille de sécurité dans le fonctionnement de WhatsApp. La brèche se situe dans la version Android de WhatsApp. Comme l’explique le chercheur Brendon Tiszka, la faille permet de forcer le téléchargement d’un fichier malveillant sur le smartphone d’un utilisateur.
Pour exploiter la vulnérabilité, l’attaquant doit d’abord créer un groupe WhatsApp. Sur ce groupe, il va ajouter sa victime avec son numéro de téléphone, et l’un des contacts de celle-ci. L’attaquant va ensuite promouvoir ce contact en administrateur du groupe. La manœuvre doit permettre d’endormir la méfiance de la cible. Le pirate doit connaître le numéro de la victime et celui d’au moins un de ses contacts. Pour obtenir ces informations, le cybercriminel n’a qu’à piocher dans les innombrables bases de données compromises qui pullulent sur le dark web.
L’attaquant envoie dans le groupe un fichier multimédia malveillant spécialement conçu pour exploiter la faille. Si la victime a laissé les téléchargements automatiques activés, le fichier est immédiatement téléchargé sur son appareil, sans clic ni ouverture. Il s’agit d’un réglage par défaut relativement fréquent.
Ce média est alors stocké dans la base de données MediaStore d’Android, le dépôt central sur lequel le système recense les photos, vidéos et autres médias. La victime n’a pas besoin d’interagir avec le fichier. Il suffit d’ajouter la personne à l’origine du document comme contact ou d’ouvrir le groupe une fois.Tous les messages futurs de ce groupe sont alors téléchargés automatiquement sur MediaStore.
Project Zero explique que si le média est suffisamment bien conçu, il peut parvenir à sortir du MediaStore pour exécuter du code ou mener d’autres actions malveillantes sur le smartphone. Il peut notamment orchestrer des vols de données.
A lire aussi : « Hé, je viens de trouver ta photo ! » – fuyez ce message WhatsApp, il menace de pirater votre compte
Quand Google met la pression sur Meta
Les experts ont choisi de divulguer la vulnérabilité car Meta n’a pas réussi à la corriger complètement dans le délai de 90 jours qui lui était accordé. Conformément aux pratiques du monde de la cybersécurité, Project Zero a en effet laissé l’opportunité à Meta de corriger le tir avant de dévoiler publiquement la vulnérabilité. L’équipe avait en effet prévenu Meta le 1er septembre 2025 en toute discrétion.
La faille a été dévoilée publiquement par Project Zero quelques mois plus tard. L’opération vise à mettre la pression sur Meta pour le pousser à corriger la vulnérabilité dans les plus brefs délais, tout en prenant le risque que des cybercriminels exploitent la découverte des chercheurs. Notez que le groupe de Mark Zuckerberg ne s’est néanmoins pas tourné les pouces. Deux mois après avoir pris connaissance de la vulnérabilité, Meta a déployé un correctif partiel côté serveur. Un correctif complet, qui colmate intégralement la faille, n’a pas encore été proposé par l’éditeur, au grand dam des chercheurs de Google.
A lire aussi : pourquoi vous ne devez surtout pas ouvrir ce mystérieux fichier ZIP sur WhatsApp
Gare aux téléchargements automatiques
Pour vous protéger, on vous recommande de désactiver les téléchargements automatiques sur WhatsApp. Pour cela, ouvrez WhatsApp, touchez les trois petits points en haut à droite puis Paramètres, et rendez-vous dans le menu Stockage et données. Dans la section Téléchargement automatique des médias, choisissez Jamais pour toutes les catégories (images, audio, vidéos, documents).
Enfin, on vous invite à prendre des mesures pour sécuriser les groupes sur WhatsApp, surtout les groupes conséquents avec énormément de contacts. Sur ces groupes, prenez des mesures de restriction. Ouvrez la discussion avec le groupe, et appuyez sur le nom de celui-ci en haut de l’écran. Une fois dans les infos du groupe, allez dans Confidentialité avancée de la discussion. Cochez l’option. Désormais, les membres du groupe ne pourront plus enregistrer automatiquement des médias dans la galerie de leur téléphone. Vous êtes donc protégé, tout comme les autres membres.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.