Une récente campagne de piratage a ciblé des utilisateurs spécifiques via une combinaison de failles sur iOS, macOS et WhatsApp. Apple et Meta ont réagi rapidement en corrigeant ces vulnérabilités, mais les détails de l’attaque soulignent l’importance de maintenir ses appareils à jour.

WhatsApp Icone Logo

Une attaque combinée via iOS, macOS et WhatsApp

Apple a récemment corrigé une faille de sécurité (qui a pour identifiant CVE-2025-43300) de type zero-day sur iOS 18.6.2 et macOS 15.6.1, qui a été exploitée dans une attaque très sophistiquée contre des utilisateurs. De nouvelles informations révèlent que cette campagne utilisait également une vulnérabilité dans WhatsApp (CVE-2025-55177), désormais corrigée par Meta.

Ensemble, ces failles permettaient à un attaquant d’envoyer un message malveillant via WhatsApp pour compromettre un appareil et accéder à ses données, y compris les messages.

Meta a confirmé cette menace en indiquant :

Notre enquête indique qu’un message malveillant vous a peut-être été envoyé via WhatsApp et combiné à d’autres vulnérabilités du système d’exploitation de votre appareil afin de compromettre celui-ci et les données qu’il contient, y compris les messages.

Bien que nous ne sachions pas avec certitude si votre appareil a été compromis, nous tenons à vous en informer par mesure de précaution afin que vous puissiez prendre les mesures nécessaires pour sécuriser votre appareil et vos informations.

Nous avons apporté des modifications afin d’empêcher cette attaque spécifique de se produire via WhatsApp. Cependant, le système d’exploitation de votre appareil pourrait rester compromis par le logiciel malveillant ou être ciblé d’autres manières.

Pour vous protéger au mieux, nous vous recommandons de réinitialiser complètement votre appareil. Nous vous recommandons également vivement de maintenir vos appareils à jour avec la dernière version du système d’exploitation et de vous assurer que votre application WhatsApp est à jour.

Par précaution, WhatsApp a notifié moins de 200 utilisateurs potentiellement visés.

Une menace contenue, mais une vigilance nécessaire

Donncha Ó Cearbhaill, responsable du Security Lab d’Amnesty International, a relayé sur X (ex-Twitter) que Meta contactait les utilisateurs potentiellement touchés. Bien que les cibles semblent être des individus spécifiques, le risque d’attaques opportunistes augmente maintenant que les détails des failles sont publics.

Apple et Meta ont tous deux déployé des correctifs pour ces vulnérabilités. Même pour les utilisateurs non ciblés, vérifier que ses appareils et applications sont à jour reste crucial. Les hackers pourraient tenter d’exploiter des systèmes qui ne sont pas à jour maintenant que les failles sont connues. Pour l’instant, l’identité des responsables de l’attaque et l’ampleur exacte des victimes demeurent incertaines.