Des logiciels malveillants sans clic Attaques sur les conversations de groupe sur WhatsApp: comment se protéger ?

Une fonction de WhatsApp jusqu'ici sous-estimée permet d'introduire des programmes malveillants sur le téléphone portable. Souvent, on ne remarque même pas l'attaque, c'est pourquoi il faut absolument être bien préparé.

Martin Abgottspon

02.02.2026, 20:40

02.02.2026, 21:18

Martin Abgottspon

Ce qui, au premier abord, ne semble être qu'un risque de sécurité théorique, devient un problème réel pour de plus en plus d'utilisateurs de Whatsapp. Concrètement, il s'agit d'une fonction standard qui permet à la messagerie de télécharger automatiquement des contenus. Une caractéristique de confort que les cybercriminels exploitent depuis peu de manière ciblée.

La méthode d'attaque a été découverte par l'équipe de sécurité de Google, Project Zero, comme le rapporte entre autres l'entreprise de sécurité informatique Malwarebytes. Le cœur du problème est que les pirates n'ont besoin que du numéro de téléphone d'une victime. Ensuite, ils ajoutent ce numéro à un groupe WhatsApp et y envoient un fichier manipulé.

Grâce aux paramètres par défaut de la messagerie, ce fichier est automatiquement téléchargé sur le smartphone. Contrairement aux attaques classiques de phishing, aucun clic n'est nécessaire. Le code malveillant se trouve donc déjà sur l'appareil, avant même que l'utilisateur ne doive cliquer sur quelque chose.

Le début d'une avalanche

Certes, le logiciel malveillant n'est pas exécuté immédiatement. Mais les chercheurs en sécurité mettent en garde contre le fait de sous-estimer cet obstacle. Dans de nombreux cas, il suffit d'une manipulation sociale ciblée, comme un appel ou un message, qui incite l'utilisateur à ouvrir le fichier. Une fois cela fait, le logiciel malveillant peut extraire des données sensibles, charger d'autres programmes ou compromettre complètement l'appareil.

La particularité de l'attaque réside moins dans sa sophistication technique que dans son invisibilité. Les scénarios de type "Zero-Click" sont considérés comme particulièrement critiques, car ils contournent les mécanismes de protection existants et la conscience de la sécurité des utilisateurs.

Désaccord sur la solution

Meta, la maison mère de WhatsApp, a déjà publié, selon ses propres dires, une mise à jour qui devrait corriger la faille. Google voit les choses de manière plus nuancée. Selon l'estimation de Project Zero, le patch ne s'adresse que partiellement au problème. Certains scénarios d'attaque restent possibles, raison pour laquelle Meta travaille apparemment à une solution plus poussée.

Cette divergence met en évidence un problème structurel de la sécurité informatique moderne : même après l'annonce d'une faille, on ne sait souvent pas si et quand elle sera complètement comblée, en particulier pour les applications comptant des milliards d'utilisateurs et des fonctions complexes.

Ce que les utilisateurs peuvent faire maintenant

Tant qu'il n'existe pas de solution technique complète clairement confirmée, la prévention reste cruciale. WhatsApp propose plusieurs paramètres qui permettent de réduire considérablement les risques.

Notice sur l'intelligence artificielle: cet article a été traduit de l'Allemand à l'aide de l'IA et adapté par notre rédaction.