Une faille critique ne protège plus les utilisateurs de WhatsApp.
La faille concerne le fonctionnement de WhatsApp dans les discussions de groupe sur Android, où les fichiers multimédias envoyés peuvent être téléchargés automatiquement sur le téléphone d’un nouvel utilisateur ajouté à un groupe. WhatsApp a indiqué avoir procédé à des ajustements techniques côté serveur à la fin de l’année 2025, bien que les chercheurs estiment que ces changements ne corrigent pas entièrement le problème.
La faille identifiée concerne le fonctionnement de WhatsApp dans les discussions de groupe sur Android. Lorsqu’un utilisateur est intégré à un groupe nouvellement créé, les fichiers multimédias envoyés dans ce groupe peuvent être téléchargés automatiquement sur son téléphone. Dans certains cas, un fichier spécialement conçu peut alors servir de point d’entrée à une attaque, sans que la victime n’ait besoin de cliquer ou d’ouvrir le document.
Cette vulnérabilité a été signalée par Google Project Zero, un groupe de chercheurs en cybersécurité associé à Google, dont la mission est d’identifier les failles les plus critiques dans les logiciels largement utilisés. Selon leurs analyses, l’attaque repose sur un mécanisme dit zero click : aucune action n’est requise de l’utilisateur, le simple fait de recevoir un fichier malveillant pouvant suffire à compromettre l’appareil.
D’après les éléments publiés, l’exploitation de cette faille est principalement adaptée à des attaques ciblées. L’attaquant doit en effet connaître au moins un contact de la victime pour créer un groupe crédible et y envoyer le fichier malveillant. Bien que cette contrainte limite les attaques à grande échelle, elle n’en réduit pas le risque pour les profils exposés ou très connectés.
WhatsApp a indiqué avoir effectué des ajustements techniques côté serveur à la fin de l’année 2025. Cependant, les chercheurs estiment que ces changements ne corrigent pas entièrement le problème et qu’un correctif plus complet est nécessaire.
Voici les paramètres à ajuster pour réduire le risque. En attendant une correction définitive, plusieurs mesures peuvent limiter l’exposition. La principale consiste à désactiver le téléchargement automatique des photos, vidéos, documents et fichiers audio, afin d’éviter que rien ne soit enregistré sur l’appareil sans une action volontaire de l’utilisateur. Il est aussi recommandé de restreindre les personnes autorisées à ajouter un compte à des groupes, en réservant cette possibilité aux contacts de confiance.
Une autre précaution utile est d’empêcher l’enregistrement automatique des médias dans la galerie du téléphone, ce qui permet de contenir les fichiers à l’intérieur de l’application et d’éviter qu’ils ne soient traités par d’autres composants du système. Enfin, il est essentiel de maintenir WhatsApp et le système Android à jour, les correctifs de sécurité étant souvent déployés progressivement.
Cette faille rappelle que les fonctionnalités conçues pour le confort, telles que les téléchargements automatiques, peuvent également créer des points de vulnérabilité. Dans un contexte où les applications de messagerie sont centrales dans les échanges personnels et professionnels, la maîtrise des paramètres de confidentialité et de sécurité reste un enjeu clé pour les utilisateurs.
