WhatsApp "zero-click " + iOS : l'opération qui remet les mobiles au centre du risque

Jean Langlois-Berthelot

Une attaque ciblée a exploité un zero-click WhatsApp et une faille ImageIO pour infiltrer iPhone et Mac

Début septembre, une campagne d’attaques ciblée a mis au jour une chaîne d’exploitation très gênante pour tout environnement pro où les smartphones servent de badge d’accès. D’un côté, un bug zero-click dans WhatsApp. De l’autre, une faille dans iOS/macOS au cœur du framework ImageIO. Ensemble, elles ont permis à des assaillants d’entrer sans clic et sans bruit sur des terminaux Apple, avec un nombre de victimes limité mais hautement sensible. Meta a publié des correctifs, Apple aussi. L’épisode mérite que les RSSI revoient leurs réflexes mobiles, immédiatement.

WhatsApp a corrigé une vulnérabilité référencée CVE-2025-55177, exploitée dans la nature. Elle touchait la logique de synchronisation des appareils liés, permettant de détourner l’authentification entre un iPhone et un Mac et d’accéder à du contenu, sans interaction de l’utilisateur. Dans le même temps, Apple a colmaté CVE-2025-43300, une écriture hors limites dans ImageIO déclenchée par le traitement d’une image piégée. Les deux maillons combinés ont servi à des opérations de type spyware, « très sophistiquées » selon Apple, qui parlent clairement de ciblage et non d’arrosage massif. 

Les chiffres sont volontairement modestes. Moins de 200 comptes touchés selon la presse espagnole, mais des profils très précis. Le genre de cible où quelques terminaux valent un coffre-fort. Meta a notifié les victimes, publié les versions corrigées de WhatsApp sur iOS et macOS et, cas rare, recommandé un effacement total des appareils contaminés. 

Un exploit zero-click annule d’un coup des années de sensibilisation au phishing.

L’utilisateur ne clique pas. Il ne voit rien. L’attaquant pivote par la chaîne multimédia et par la mécanique d’appareils liés, là où la surface est large et peu surveillée. Or, dans beaucoup d’organisations, WhatsApp s’est installé comme messagerie parallèle pour l’informel pro, les échanges de terrain, les astreintes. On peut le regretter, mais c’est un fait.

Ajoutez que les mobiles tiennent la MFA, les jetons de session, les accès O365/Workspace. Compromettre le terminal, c’est contourner le chiffrement de bout en bout en lisant à la source, siphonner des cookies, récupérer des tokens, ou simplement cartographier un environnement. Un détail qui change tout pour la gestion du risque : même une campagne « limitée » suffit à créer un incident majeur si la bonne personne est visée. 

Des priorités à prendre en compte

Mettre à niveau immédiatement. Côté WhatsApp iOS, basculer au minimum sur 2.25.21.73 (Business 2.25.21.78). Sur Mac, 2.25.21.78. Côté Apple, viser iOS/iPadOS 18.6.2 et les versions macOS correspondantes incluant le correctif ImageIO. Ces versions sont explicitement signalées comme bouchant des failles déjà exploitées. 

Assumer la mesure radicale pour les cas suspects. Suivre la recommandation de Meta : restauration d’usine des terminaux potentiellement touchés, avant réinscription MDM. Cela coûte du temps, mais c’est la seule garantie d’effacer un implant post-exploitation. 

Durcir la posture UEM/MDM. Bloquer l’accès conditionnel pour tout appareil dont la version iOS/macOS ou WhatsApp est en dessous du seuil. Désactiver les « appareils liés » non inventoriés et automatiser une revue hebdomadaire. Interdire les sauvegardes non chiffrées, imposer l’USB-restricted, et journaliser l’activité de partage de médias, souvent vecteur initial. Réduire la surface des aperçus d’image dans les apps sensibles.

Limiter la confiance dans les messageries grand public. Pour les équipes sensibles, migrer vers un canal d’entreprise avec journalisation, contrôle DLP et patching maîtrisé. À défaut, cloisonner via profil pro, empêcher le copier-coller hors conteneur, et interdire l’installation hors store.

Renforcer l’authentification. Aller au-delà du push MFA : clés FIDO2 et authentification conditionnelle par posture. Un mobile compromis doit perdre instantanément sa capacité à servir de facteur.

Observabilité mobile. Traiter l’EDR mobile comme l’EDR poste. Alertes sur plantages d’ImageIO, anomalies de liaison d’appareil, comportements réseau atypiques de WhatsApp Desktop. L’objectif n’est pas de tout voir, mais de voir vite.

Le vrai sujet derrière l’alerte

Cette affaire n’oppose pas chiffrement et sécurité. Elle oppose solidité du terminal et hygiène. Une messagerie E2EE reste solide tant que l’OS qui l’abrite tient. Quand une chaîne zero-click l’entame, la meilleure défense est procédurale : inventaire, patch, contrôle d’accès, et capacité à réagir en quelques heures. Surtout, elle rappelle que les « apps grand public » utilisées dans un contexte pro héritent de contraintes d’entreprise dès qu’elles manipulent des identités, des documents ou des secrets.

Dernier point, souvent ignoré : les campagnes « boutique » n’épargnent pas les PME dès lors qu’elles hébergent une donnée intéressante ou un fournisseur critique. Le tri se fait par valeur, pas par taille.

Jean Langlois-Berthelot, Christophe Gaie  (Services du Premier Ministre) et Didier Bazalgette (Ancien référent IA et Sciences Humaines et Sociales à l'Agence Innovation Défense)