WhatsApp : Meta lance une alerte urgente après la découverte de deux failles critiques

La première faille, CVE-2026-23866, touche les versions iOS de la v2.25.8.0 à la v2.26.15.72 et Android de la v2.25.8.0 à la v2.26.7.10. Elle exploite une défaillance dans la validation des médias liés aux messages enrichis par l’IA intégrant des Reels Instagram. Sans interaction de l’utilisateur, la réception d’un message piégé suffisait à forcer l’application à charger du contenu depuis une URL contrôlée par un attaquant.

La seconde faille, CVE-2026-23863, concerne exclusivement WhatsApp pour Windows dans les versions antérieures à la 2.3000.1032164386.258709. Elle exploite une mauvaise gestion des noms de fichiers contenant des octets NUL. Un fichier malveillant pouvait ainsi se présenter sous l’apparence d’un PDF inoffensif dans l’interface, et s’exécuter comme un programme malveillant à l’ouverture. Elle est notée 6,5/10 sur le référentiel CVSS 3.1 et requiert une action de l’utilisateur, ce qui la rend particulièrement redoutable couplée à une attaque d’ingénierie sociale.

Meta a précisé qu’aucune exploitation active n’a été détectée à ce jour. Tous les utilisateurs sont invités à mettre à jour WhatsApp sans délai via le Google Play Store, l’App Store ou le Microsoft Store. L’activation des mises à jour automatiques est recommandée pour prévenir toute exposition future.

Une obligation de mise à jour

Ne pas appliquer les correctifs publiés par Meta pour les deux failles de WhatsApp expose les utilisateurs à des risques concrets et immédiats, avertissent les experts en cybersécurité.

Pour la faille CVE-2026-23866 (iOS et Android), l’absence de mise à jour laisse l’application vulnérable à une attaque dite zero-clic : un simple message reçu suffit à déclencher le chargement d’un contenu malveillant depuis un serveur contrôlé par l’attaquant. Aucune action de l’utilisateur n’est requise. L’appareil peut ainsi être infecté par un malware capable de dérober des données personnelles, des identifiants de connexion ou des documents stockés localement.

Pour la faille CVE-2026-23863 (WhatsApp Windows), le risque est différent mais tout aussi grave. Un fichier reçu dans l’application, masqué sous l’apparence d’un PDF inoffensif, s’exécute en réalité comme un programme malveillant à l’ouverture. Ce type d’attaque par usurpation d’extension de fichier est fréquemment couplé à une opération d’ingénierie sociale — un faux message de support, une fausse facture ou une pièce jointe urgente — pour piéger l’utilisateur.

Dans les deux cas, les conséquences potentielles vont du vol de données personnelles à la fraude bancaire, en passant par l’usurpation d’identité ou le déploiement d’un rançongiciel. L’ANSSI le rappelle régulièrement : la majorité des cyberattaques abouties exploitent des failles connues et non corrigées. La publication officielle d’un correctif constitue un signal d’alerte pour les cybercriminels : dans les heures et jours qui suivent, les tentatives d’exploitation des failles révélées augmentent de façon significative. Attendre, c’est offrir une fenêtre de tir aux attaquants.