Une vulnérabilité critique récemment mise au jour remet en question la sécurité des utilisateurs de WhatsApp sur Android. En cause, un mécanisme de téléchargement automatique de fichiers multimédias qui peut être détourné à des fins malveillantes, sans la moindre interaction de la victime.
Le scénario repose sur le fonctionnement des discussions de groupe. Lorsqu’un utilisateur est ajouté à un groupe nouvellement créé, les fichiers envoyés peuvent être téléchargés automatiquement sur son appareil. Dans certaines conditions, un fichier spécialement conçu peut alors servir de porte d’entrée à une attaque, sans clic, sans ouverture et sans alerte visible.
Cette faille a été identifiée par les chercheurs de Google Project Zero, une équipe spécialisée dans la détection des vulnérabilités les plus sensibles affectant les logiciels largement utilisés. Selon leurs travaux, il s’agit d’une attaque dite zero click, un mode d’exploitation particulièrement redouté en cybersécurité, car il ne nécessite aucune action de la part de l’utilisateur ciblé.
L’exploitation de cette faille reste toutefois limitée à des attaques ciblées. L’attaquant doit disposer d’au moins un contact crédible de la victime afin de créer un groupe et d’y diffuser le fichier piégé. Cette contrainte réduit les risques d’attaques massives, mais n’élimine pas la menace pour les profils exposés, notamment les journalistes, responsables politiques, cadres dirigeants ou utilisateurs très connectés.
WhatsApp indique avoir procédé à des ajustements techniques côté serveur à la fin de l’année 2025. Néanmoins, selon les chercheurs, ces modifications ne suffisent pas à neutraliser totalement la vulnérabilité, laissant subsister un risque tant qu’un correctif plus complet n’a pas été déployé.
Dans l’attente d’une solution définitive, plusieurs mesures permettent de réduire l’exposition. La plus efficace consiste à désactiver le téléchargement automatique des photos, vidéos, documents et fichiers audio, afin d’empêcher l’enregistrement de contenus sans action volontaire. Il est également conseillé de limiter les personnes autorisées à ajouter un compte à des groupes, en restreignant cette possibilité aux seuls contacts de confiance.
Empêcher l’enregistrement automatique des médias dans la galerie du téléphone constitue une autre précaution utile. Cette mesure permet de confiner les fichiers à l’intérieur de l’application et d’éviter leur traitement par d’autres composants du système. Enfin, maintenir WhatsApp et Android à jour reste indispensable, les correctifs de sécurité étant souvent diffusés de manière progressive.
