Actualités

Eleve

Eleve

Retourner aux actualités

Zero-click sur WhatsApp : ton iPhone compromis sans un seul geste

Mattéo

Mattéo

Ingénieur en CyberSécurité

Tu ne cliques pas.
Tu n’ouvres même pas la pièce jointe.
Et pourtant, ton iPhone, Mac ou iPad est déjà compromis.

Bienvenue dans le monde des failles “zero-click” ces attaques qui ne nécessitent aucune interaction de ta part.



📸 Le scénario est simple… et réel.

Un attaquant t’envoie une image DNG piégée via WhatsApp.
Tu ne fais rien. L’app la reçoit.
Et à cet instant, ton appareil est déjà sous contrôle distant.


🔍 Deux failles enchaînées pour un effet dévastateur :

  1. CVE-2025-55177 – Faille logique dans la vérification des messages entrants
    L’attaquant se fait passer pour un appareil de confiance.

  2. CVE-2025-43300 – Failles dans la librairie de traitement des fichiers DNG (photos)
    Le fichier image malformé déclenche un buffer overflow, permettant l’exécution de code arbitraire.

Le tout sans que tu cliques. Sans que tu interagisses.
Il suffit que ton appareil soit connecté et que WhatsApp tourne.



🎯 Ce que l’attaquant peut faire :

  • Accès complet à tes fichiers, ta caméra, ton micro, ta localisation

  • Lecture en temps réel de tes messages

  • Surveillance sans alerte, sans trace visible

  • Contrôle persistant même après redémarrage si payload bien conçu


💣 Un PoC (preuve de concept) circule déjà :

  • Génération de l’image piégée

  • Envoi silencieux via WhatsApp Web

  • Aucun message visible

  • Appareil compromis dans la foulée


🧠 Mon analyse :

Ce type de faille est le pire scénario :
Tu ne peux ni t’en protéger par ton comportement,
ni la repérer à l’œil nu.

Zero-click = attaque parfaite si elle est bien exécutée.

Elle vise ton inertie. Ta confiance dans une app.
Et surtout, ton absence de réaction.



🛡️ Que faire immédiatement ?

  • Mets à jour iOS, WhatsApp et macOS sans délai

  • Désactive les aperçus automatiques si possible

  • Utilise des OS cloisonnés (type iOS durci, GrapheneOS) si ton profil est à risque

  • Ne stocke aucune donnée sensible sur l’appareil principal (identifiants, accès crypto, docs pro…)

  • Cloisonne WhatsApp dans un environnement isolé (VM, 2e tel, Sandboxed OS)


Tant qu’une application peut recevoir des données de l’extérieur,
elle peut devenir une backdoor.
Même sans action de ta part.

Optinet Security

Zero-click sur WhatsApp : ton iPhone compromis sans un seul geste