WhatsApp Android : une faille critique permet de piéger les utilisateurs avec un simple fichier
🔐 WhatsApp Android : une faille critique permet l’installation discrète de fichiers piégés
Les équipes de Google Project Zero, spécialisées dans la découverte de vulnérabilités critiques, ont révélé l’existence d’une faille de sécurité majeure dans WhatsApp pour Android. Cette vulnérabilité permet à un attaquant de forcer le téléchargement automatique d’un fichier malveillant sur le smartphone d’une victime, sans que celle-ci n’ait besoin de cliquer ou d’ouvrir quoi que ce soit.
Face à l’absence de correctif complet déployé par Meta dans les délais impartis, Google a choisi de rendre publiques ses découvertes, afin d’alerter les utilisateurs et de faire pression sur l’éditeur.
Une faille exploitant les mécanismes de gestion des médias
Selon les explications fournies par Brendon Tiszka, chercheur chez Project Zéro, la vulnérabilité se situe dans la manière dont WhatsApp interagit avec le système de gestion des fichiers multimédias d’Android.
Le scénario d’attaque repose sur plusieurs étapes :
- L’attaquant crée un groupe WhatsApp
- Il y ajoute la victime, ainsi qu’au moins un contact légitime de celle-ci
- Ce contact est ensuite promu administrateur, afin de rassurer la cible
- Un fichier multimédia spécialement conçu est envoyé dans le groupe
Si la victime utilise les paramètres par défaut de WhatsApp ce qui est très fréquent le fichier est téléchargé automatiquement, sans interaction.
Un fichier stocké sans alerte dans MediaStore
Le média piégé est enregistré dans MediaStore, la base centrale d’Android qui référence images, vidéos et documents multimédias. À ce stade, la victime n’a toujours rien fait : ni ouverture du fichier, ni validation.Le simple fait :
- d’ouvrir la discussion de groupe
- ou d’ajouter l’expéditeur comme contact
suffit pour que tous les futurs médias du groupe soient également téléchargés automatiquement.
Project Zéro précise que, dans certaines conditions, un fichier soigneusement conçu peut sortir du cadre de MediaStore, permettant :
- l’exécution de code malveillant
- le vol de données personnelles
- ou l’installation d’autres charges malveillantes
Une divulgation publique après l’échec d’un correctif complet
Conformément aux règles de divulgation responsable, Google avait initialement informé Meta de la faille de manière confidentielle le 1er septembre 2025, laissant à l’éditeur un délai de 90 jours pour corriger le problème.
Meta a bien réagi, mais seulement partiellement :
- un correctif côté serveur a été déployé deux mois plus tard
- toutefois, la vulnérabilité n’a pas été entièrement colmatée
Faute de solution complète dans les délais, Project Zero a décidé de publier les détails techniques, une démarche visant à accélérer la mise en œuvre d’un correctif définitif, malgré le risque que la faille soit exploitée par des cybercriminels.
Comment se protéger immédiatement ?
En attendant une mise à jour complète de WhatsApp, plusieurs mesures de précaution sont vivement recommandées.
Désactiver les téléchargements automatiques
Dans WhatsApp :
- Ouvrez Paramètres
- Allez dans Stockage et données
- Dans Téléchargement automatique des médias, sélectionnez Jamais pour :
- images
- vidéos
- audio
- documents
Renforcer la sécurité des groupes
Pour les groupes WhatsApp (surtout les plus importants) :
- Ouvrez la discussion du groupe
- Appuyez sur le nom du groupe
- Accédez à Confidentialité avancée de la discussion
- Activez l’option de restriction
Cela empêche l’enregistrement automatique des médias dans la galerie, pour vous et pour les autres membres.