Un bug dans WhatsApp pour Windows peut être exploité pour exécuter du code malveillant par toute personne suffisamment habile pour persuader un utilisateur d’ouvrir une pièce jointe piégée – et, en toute honnêteté, cela ne demande pas beaucoup d’habileté pour y parvenir.
Cette faille de spoofing, référencée sous le nom CVE-2025-30401, affecte toutes les versions de WhatsApp Desktop pour Windows antérieures à la version 2.2450.6, et provient d’un bug dans la façon dont l’application gère les pièces jointes.
Plus précisément, WhatsApp affiche les pièces jointes en se basant sur leur type MIME – les métadonnées censées indiquer le type de fichier – mais lorsqu’un utilisateur ouvre le fichier, l’application le traite en fonction de son extension de nom de fichier. Cela signifie qu’un élément déguisé en image inoffensive avec le bon type MIME mais se terminant par .exe pourrait être exécuté comme un programme si l’utilisateur clique dessus.
« Une discordance malicieusement conçue pourrait amener le destinataire à exécuter involontairement du code arbitraire plutôt que de visualiser la pièce jointe lors de l’ouverture manuelle de celle-ci dans WhatsApp », a expliqué Meta, la société mère de WhatsApp, dans son avis de sécurité.
Bien que WhatsApp soit toujours une cible attrayante pour les malfaiteurs, ce bug particulier nécessite une interaction de l’utilisateur – la victime doit ouvrir manuellement la pièce jointe malveillante pour que le programme s’exécute.
Mais cela ne serait pas trop difficile, car de nombreux utilisateurs ont tendance à cliquer sur n’importe quoi – et même un internaute averti pourrait être enclin à ouvrir une pièce jointe envoyée par quelqu’un qu’il ne connaît pas mais qui appartient à son groupe WhatsApp de surveillance de quartier. Un programme exécuté de cette manière peut toutefois rencontrer d’autres défenses sur votre système.
Pour être en sécurité, assurez-vous d’utiliser une version de WhatsApp pour Windows supérieure à 2.2450.6.
Il n’est pas encore clair si cette faille est activement exploitée – l’avis de sécurité ne précise pas si la vulnérabilité est exploitée dans la nature.
Contactez Nous