Une simple invitation dans un groupe peut suffire à compromettre un smartphone. Une vulnérabilité affectant WhatsApp sur Android permet à des pirates d’infiltrer un appareil sans la moindre action de la victime. Repérée par les experts en cybersécurité de Google, cette faille inquiète par sa discrétion et son efficacité. Et le correctif déjà déployé ne réglerait pas totalement le problème.
Une attaque zero-click redoutable via un simple groupe WhatsApp
La vulnérabilité a été découverte par l’équipe Project Zero de Google, spécialisée dans l’identification des failles dites zero day, exploitées avant la diffusion d’un correctif complet.
Le mode opératoire est simple et particulièrement efficace. Un attaquant ajoute sa cible à un groupe WhatsApp, puis envoie dans la conversation un fichier multimédia malveillant. Si l’option de téléchargement automatique des médias est activée sur le smartphone Android, le fichier se télécharge immédiatement, sans que l’utilisateur n’ait besoin d’intervenir.
Cette technique appartient à la catégorie des attaques zero-click. La victime n’a rien à faire : elle n’a pas besoin d’ouvrir le message ni de cliquer sur le fichier. Le simple fait d’être ajoutée au groupe suffit à déclencher le téléchargement et potentiellement l’intrusion.
Une menace ciblée mais bien réelle en cas de fuite de numéros
L’attaque ne peut pas être totalement aléatoire. Le pirate doit connaître ou deviner le numéro de téléphone de sa cible pour l’ajouter à un groupe. Le risque est donc ciblé.
Le danger augmente fortement en cas de fuite massive de numéros WhatsApp. Avec une base de données compromise, un cybercriminel peut automatiser l’ajout de nombreuses victimes à des groupes frauduleux et diffuser des fichiers infectés à grande échelle.
Certaines catégories d’utilisateurs sont plus exposées, notamment les journalistes, les dirigeants d’entreprise, les personnalités publiques ou les militants.
Un correctif partiel déployé par Meta, un patch complet en attente
Meta aurait mis en place une modification côté serveur le 11 novembre 2025 afin de limiter l’exploitation de la faille. Selon Google, cette mesure ne corrige le problème que partiellement.
Un correctif complet est en cours de déploiement. D’ici là, installer la dernière version de WhatsApp reste indispensable, chaque mise à jour pouvant renforcer la sécurité de l’application.
Les réglages à activer immédiatement pour se protéger
Il est possible de réduire fortement le risque grâce à quelques paramètres simples.
Première mesure : empêcher les inconnus de vous ajouter à un groupe.
Dans WhatsApp, ouvrez Paramètres > Confidentialité > Groupes et sélectionnez “Mes contacts” au lieu de “Tout le monde”. Ainsi, seules les personnes enregistrées dans votre carnet d’adresses pourront vous inviter.
Deuxième mesure essentielle : désactiver le téléchargement automatique des médias.
Rendez-vous dans Paramètres > Stockage et données > Téléchargement automatique des médias. Pour les photos, vidéos, documents et fichiers audio, choisissez l’option “Jamais”. Les fichiers ne seront plus téléchargés sans votre accord explicite.
Une simple invitation peut aujourd’hui suffire à compromettre un smartphone Android. Quelques réglages bien choisis permettent déjà de réduire considérablement l’exposition à cette faille particulièrement discrète.
Je m’appelle Samuel Le Goff. À 38 ans, je suis l’actualité du numérique depuis plus de 14 ans. Aujourd’hui, je m’intéresse particulièrement aux smartphones et aux usages concrets de l’intelligence artificielle, que je traite à travers des contenus clairs et accessibles sur Menow.fr.
