Voilà une surprenante faille découverte dans WhatsApp et exploitée par de nombreux hackers malicieux. Spécifique aux appareils Android, la vulnérabilité a été révélée par le programme Project Zero, ce groupe d’experts en sécurité informatique employé par Google et chargé de débusquer les failles Zero Day (qui n’a pas encore été découverte ni fait l’objet d’un correctif, NDLR.).
Concrètement, il est ici question d’une “attaque” qui consiste en l’ajout d’une personne dans un groupe et d’y envoyer un fichier multimédia malveillant. Si l’utilisateur a activé l’option, l’application va automatiquement télécharger le fichier sur l’appareil, permettant l’intrusion des cybercriminels au sein de celui-ci.
Ce type d’incursion est particulièrement dangereux puisqu’il s’agit d’une attaque zero-click. Bien qu’il faille que le téléchargement automatique des médias soit activé sur l’appareil, l’utilisateur ne joue aucun rôle dans l’attaque et ne peut qu’assister, médusé, à ce qui se produit.
Il est toutefois important de savoir que l’attaque est ciblée. C’est-à-dire que l’attaquant doit au minimum connaître ou deviner le numéro de sa cible. Le risque est, certes, faible, mais il est bel et bien réel, puisque si l’attaquant a accès à une fuite de numéros WhatsApp, il peut très bien s’en servir pour les ajouter à des groupes et leur envoyer ledit fichier malveillant.
Le problème, c’est que Meta a apparemment poussé un changement de serveur le 11 novembre 2025, mais Google affirme que ce correctif est partiel et qu’il ne résout pas totalement la situation. Un patch complet est en cours de déploiement, d’où l’importance de mettre régulièrement WhatsApp à jour.
Comment s’en prémunir ?
Heureusement, il est possible de se protéger face à ce genre d’attaque avant que la mise à jour résolvant la faille n’arrive. Tout d’abord, le plus important reste d’empêcher tout inconnu de vous ajouter à un groupe. Cela se passe dans les paramètres de WhatsApp, onglet Confidentialité puis Groupes. Vous pourrez alors choisir entre Tout le monde ou Mes contacts.
L’autre réglage à modifier pour éviter toute autre surprise similaire est le téléchargement automatique des fichiers. Toujours dans les paramètres, allez dans l’onglet Stockage et données. Vous y trouverez le sous-menu Téléchargement automatique des médias. Vous pouvez alors choisir l’option “Jamais” pour les photos, audios, vidéos et documents.
🟣 Pour ne manquer aucune news sur le Journal du Geek, suivez-nous sur Google et sur notre canal WhatsApp. Et si vous nous adorez, on a une newsletter tous les matins.
