CVE-2025-55177 : Vulnérabilité dans les clients de messagerie WhatsApp iOS et macOS exploitée pour des attaques zero-click
Fin août, Apple a publié en urgence une mise à jour pour corriger CVE-2025-43300, une faille critique de type out-of-bounds write dans iOS, iPadOS et macOS. Mais l’histoire ne s’arrête pas là. Des chercheurs en sécurité ont désormais découvert un autre problème sérieux : une vulnérabilité zero-day dans WhatsApp affectant ses clients iOS et macOS. Cette faille, corrigée depuis par WhatsApp, a été exploitée en combinaison avec la faille au niveau du système d’Apple dans une chaîne d’exploitation sophistiquée visant à déployer des logiciels espions dans le cadre d’une campagne hautement ciblée.
Cette récente découverte illustre la dépendance croissante des acteurs de menace avancés aux exploits zero-day. Les attaquants combinent de plus en plus plusieurs vulnérabilités pour contourner les dispositifs de sécurité et compromettre des appareils à grande échelle. Au cours des quatre dernières années, le volume d’exploitation de zero-days a montré une augmentation constante, avec seulement de faibles fluctuations annuelles. En 2024, le Threat Analysis Group de Google a documenté 75 vulnérabilités zero-day activement exploitées dans la nature, un signal clair que le problème s’accélère. En 2025, les zero-days restent la méthode principale de compromission initiale, représentant environ un tiers de toutes les tentatives d’intrusion.
Inscrivez-vous sur la plateforme SOC Prime pour accéder au marché mondial comprenant plus de 600 000 règles et requêtes de détection créées par des ingénieurs spécialisés, mises à jour quotidiennement et enrichies avec des renseignements sur les menaces pour anticiper et se défendre contre les menaces existantes et émergentes. Toutes les règles peuvent être utilisées sur de nombreuses plateformes SIEM, EDR et Data Lake et sont alignées avec MITRE ATT&CK®. De plus, chaque règle est enrichie avec des liens CTI, des chronologies d’attaque, des configurations d’audit, des recommandations de triage et des métadonnées détaillées.
Les ingénieurs en sécurité peuvent accéder instantanément à la vaste collection de règles Sigma basées sur le comportement sous le tag “CVE” en cliquant sur le bouton Explorer les détections ci-dessous.
Les ingénieurs en sécurité peuvent également utiliser Uncoder AI, un IDE et copilote pour l’ingénierie de détection, désormais enrichi d’un nouveau mode Chat Bot AI et du support des outils MCP. Avec Uncoder, les défenseurs peuvent instantanément convertir les IOC en requêtes de chasse personnalisées, créer du code de détection à partir de rapports de menaces bruts, générer des diagrammes de flux d’attaque, activer la prédiction des tags ATT&CK, optimiser les requêtes via l’IA et traduire le contenu de détection sur plusieurs plateformes.
Analyse de CVE-2025-55177
WhatsApp a déployé des mises à jour de sécurité pour corriger une faille nouvellement révélée, suivie sous la référence CVE-2025-55177, activement exploitée dans la nature pour des attaques ciblées. La vulnérabilité provient d’un contrôle d’autorisation insuffisant dans les messages de synchronisation des appareils liés. L’exploitation de cette faille permet à un attaquant distant de forcer le traitement de contenu malveillant depuis une URL arbitraire sur l’appareil de la victime, sans aucune action requise de sa part.
Les chercheurs en sécurité alertent que CVE-2025-55177 n’a pas été exploitée seule. Elle a été combinée avec une vulnérabilité au niveau du système Apple (CVE-2025-43300) dans le cadre d’une campagne sophistiquée visant à déployer des logiciels espions. WhatsApp a confirmé qu’environ 200 personnes ont été ciblées au cours des trois derniers mois, représentant une opération hautement sélective et avancée.
L’avis du fournisseur indique que CVE-2025-55177 affecte plusieurs versions de WhatsApp et WhatsApp Business, y compris WhatsApp pour iOS avant la v2.25.21.73, WhatsApp Business pour iOS avant la v2.25.21.78 et WhatsApp pour Mac avant la v2.25.21.78.
Dans les alertes envoyées aux utilisateurs affectés, WhatsApp a recommandé des actions urgentes, notamment une réinitialisation complète de l’appareil aux paramètres d’usine, ainsi que la mise à jour de l’application WhatsApp et du système d’exploitation sous-jacent vers les dernières versions.
Les experts en sécurité ont souligné que cette chaîne d’exploitation fonctionnait comme une « attaque zéro-clic », une catégorie d’exploit ne nécessitant aucune interaction de l’utilisateur. Ce type d’attaque représente l’une des formes les plus dangereuses d’exploitation, car elle peut compromettre un appareil de manière silencieuse et persistante. En s’appuyant sur l’ensemble des produits SOC Prime soutenu par l’IA et l’expertise en cybersécurité, les équipes de sécurité disposent de technologies prêtes pour l’entreprise, capables de renforcer significativement la posture de cybersécurité de l’organisation.