WhatsApp - La faille qui transforme vos photos en malwares

Oh chouette, vous venez de recevoir une photo de chaton trop mignon sur WhatsApp ! Vite, il faut cliquer dessus pour l’ouvrir !! Après tout, qu’est-ce qui pourrait mal tourner ??

Ah non, mince alors, vous venez de lancer un cheval de Troie sur votre PC Windows et vos données commencent déjà à partir on ne sait où… Vos mots de passe, vos documents perso, vos conversations privées… tout ça pour un chaton. C’est con hein ?

En effet, une nouvelle faille de sécurité dans WhatsApp permet de transformer ce ‘minou-trop-mignon.jpg’ en ‘je-vais-usurper-ton-identité.exe’ sans que vous ne vous en rendiez compte. Ainsi, si vous utilisez WhatsApp sur Windows et qu’il vous arrive d’y ouvrir des pièces jointes, cette vulnérabilité vous concerne directement.

La faille en question, identifiée sous le doux nom de CVE-2025-30401, touche toutes donc les versions de WhatsApp Desktop pour Windows antérieures à la 2.2450.6. Il faut savoir que WhatsApp affiche les pièces jointes selon leur “MIME type” (une sorte de carte d’identité numérique qui indique s’il s’agit d’une image, d’un document ou d’un programme), mais au moment d’ouvrir le fichier, l’application se base uniquement sur l’extension… Du coup, un cybercriminel peut facilement créer un fichier exécutable malveillant (.exe), modifier ses métadonnées pour lui donner l’apparence d’une innocente image JPEG, et vous l’envoyer via WhatsApp. Vous, vous voyez une image de chat, vous cliquez, et BOUM, c’est en réalité un programme qui s’exécute sur votre machine.

Ce genre de manip et vieille comme le monde et ça m’étonne que Meta ait laissé passer un truc pareil, car une fois exécuté, ce type de programme malveillant peut faire à peu près n’importe quoi sur votre machine :

• Voler vos mots de passe stockés dans les navigateurs
• Installer des ransomwares qui chiffrent tous vos fichiers et vous demandent une rançon
• Accéder à vos comptes bancaires
• Récupérer vos conversations et documents privés
• Prendre le contrôle à distance de votre machine
• Utiliser votre compte WhatsApp pour propager l’attaque à vos contacts

Comment vérifier si vous êtes vulnérable ?

C’est assez simple. Ouvrez WhatsApp Desktop, cliquez sur les trois points verticaux (⋮) en haut à droite, puis sur “Paramètres” et enfin sur “Aide”. Le numéro de version est affiché en haut. Si c’est inférieur à 2.2450.6, vous êtes dans la sauce.

Alors comment se protéger ?

Première mesure, évidente mais cruciale, mettez à jour WhatsApp immédiatement. Passez par le Microsoft Store ou téléchargez la dernière version sur le site officiel.

Ensuite, prenez l’habitude de vérifier les extensions de fichiers avant d’ouvrir quoi que ce soit. Par défaut, Windows cache ces extensions, ce qui est une vraie plaie pour la sécurité. Pour les afficher :

• Ouvrez l’Explorateur de fichiers (Win+E)
• Cliquez sur l’onglet “Affichage”
• Cochez la case “Extensions de noms de fichiers”

Désormais, si quelqu’un vous envoie “mignon-chaton.jpg.exe”, vous verrez clairement le piège au lieu de voir simplement “mignon-chaton.jpg”.

Enfin, adoptez cette règle simple : si vous ne vous attendiez pas à recevoir un fichier, ou s’il y a quoi que ce soit de suspect, demandez confirmation à l’expéditeur par un autre canal (un coup de fil ou un SMS, par exemple) car même les comptes de vos proches peuvent être compromis.

Bref, faites ce qu’il faut car oui, vos données valent beaucoup plus que vos biens physiques et croyez-moi, une usurpation d’identité, c’est la dernière chose que vous voulez expérimenter.