Bugs, Mobile, Actualités

Un bug WhatsApp permet à des fichiers multimédias malveillants de se propager via les discussions de groupe

par Pieter Arntz | 27 janvier 2026
Logo de l'application WhatsApp sur l'écran d'un appareil.

WhatsApp traverse une période difficile. Certains utilisateurs affirment que c'est le cas depuis que Meta a racheté cette plateforme de messagerie autrefois très fiable. L'opinion des utilisateurs est passée de « messagerie par défaut fiable » à produit Meta nécessaire mais peu apprécié.

Les utilisateurs Privacy considèrent toujours WhatsApp comme l'une des plateformes de messagerie grand public les plus sécurisées, à condition d'en verrouiller les paramètres. Même dans ce cas, beaucoup restent méfiants à l'égard de l'écosystème plus large de Meta et souhaitent que tous leurs contacts passent à une plateforme plus sécurisée.

Revenons à l'actualité, qui ne fera que renforcer ce sentiment.

Le projet Zero de Google vient de révéler une vulnérabilité dans WhatsApp : un fichier multimédia malveillant envoyé dans un groupe de discussion nouvellement créé peut être automatiquement téléchargé et utilisé comme vecteur d'attaque.

Le bug affecte WhatsApp sur Android implique des téléchargements de fichiers multimédias sans clic dans les discussions de groupe. Vous pouvez être victime d'une attaque simplement en étant ajouté à un groupe et en recevant un fichier malveillant.

Selon Project Zero, cette attaque est plus susceptible d'être utilisée dans le cadre de campagnes ciblées, car l'attaquant doit connaître ou deviner au moins un contact. Bien que ciblée, elle est relativement facile à répéter une fois que l'attaquant dispose d'une liste de cibles potentielles.

Et pour couronner le tout, une préoccupation potentiellement encore plus grave pour la célèbre plateforme de messagerie, un groupe international de plaignants a poursuivi Meta Platforms en justice, alléguant que le propriétaire de WhatsApp peut stocker, analyser et accéder à pratiquement toutes les communications privées des utilisateurs, malgré chiffrement de WhatsApp chiffrement de bout en bout.

Comment sécuriser WhatsApp

Selon certaines informations, Meta aurait procédé à un changement de serveur le 11 novembre 2025, mais Google affirme que cela n'a résolu le problème que partiellement. Meta travaille donc à une solution complète.

Google recommande de désactiver le téléchargement automatique ou d'activerPrivacy Advanced de WhatsApp afin que les fichiers multimédias ne soient pas automatiquement téléchargés sur votre téléphone.

Et vous devrez maintenir WhatsApp à jour pour bénéficier des derniers correctifs, ce qui vaut pour toutes les applications et pour Android .

Désactiver le téléchargement automatique des fichiers multimédias

Objectif : garantir qu'aucune photo, vidéo, fichier audio ou document ne soit transféré vers l'appareil sans décision explicite.

  • Ouvrez WhatsApp sur votre Android .
  • Appuyez sur le menu à trois points dans le coin supérieur droit, puis appuyez sur Paramètres.
  • Accédez à Stockage et données (parfois intitulé Utilisation des données et du stockage).
  • Sous Téléchargement automatique des médias, vous verrez Lorsque vous utilisez les données mobiles, lorsque vous êtes connecté au Wi-Fi et en itinérance.
  • Pour chacune de ces trois entrées, appuyez dessus et décochez tous les types de médias : Photos, Audio, Vidéos, Documents. Appuyez ensuite sur OK.
  • Vérifiez que chaque catégorie affiche désormais une mention du type « Aucun média » en dessous.

Cela permet d'appliquer directement les recommandations du projet Zero visant à « désactiver le téléchargement automatique » afin que les fichiers malveillants ne puissent pas s'installer discrètement sur votre espace de stockage dès que vous êtes redirigé vers un groupe hostile.

Même si WhatsApp continue de télécharger certains contenus, vous pouvez l'empêcher de les transférer vers le stockage partagé où d'autres applications et composants système peuvent les voir.

  • Dans Paramètres, allez dans Chats.
  • Désactivez la visibilité des médias (ou une option similaire telle que « Afficher les médias dans la galerie »). Pour les discussions particulièrement sensibles, ouvrez la discussion, appuyez sur le nom du contact ou du groupe, recherchez « Visibilité des médias » et réglez-la sur « Non » pour ce fil de discussion.

WhatsApp est un bac à sable et devrait contenir la menace. Cela signifie que le fait de conserver les médias dans WhatsApp rend plus difficile le traitement d'un fichier malveillant par d'autres composants, potentiellement plus vulnérables.

Définissez qui peut vous ajouter à des groupes

La chaîne d'attaque nécessite que l'attaquant vous ajoute, vous et l'un de vos contacts, à un nouveau groupe. Réduire le nombre de personnes pouvant le faire diminue le risque.

  • Dans Paramètres, appuyez sur Privacy.
  • Appuyez sur Groupes.
  • Passez de « Tout le monde » à « Mes contacts » ou, idéalement, à « Mes contacts sauf… » et excluez tous les numéros auxquels vous ne faites pas entièrement confiance.
  • Si vous utilisez WhatsApp pour le travail, envisagez de limiter strictement l'adhésion au groupe aux contacts connus et aux administrateurs approuvés.

Configurez la vérification en deux étapes sur votre compte WhatsApp.

Lisez ce guide pour Android iOS savoir comment faire.

Nous ne nous contentons pas d'informer sur la sécurité des téléphones, nous la fournissons.

Les risques de cybersécurité ne devraient jamais se propager au-delà d'un titre. Éloignez les menaces de vos appareils mobiles en téléchargeant dès aujourd'hui Malwarebytes pour iOS et Malwarebytes pour Android.

À propos de l'auteur

Pieter Arntz

Pieter Arntz

Chercheur en intelligence malveillante

A été un Microsoft MVP dans le domaine de la sécurité des consommateurs pendant 12 années consécutives. Parle quatre langues. Sente l'acajou et les livres reliés en cuir.

DERNIERS ARTICLES

AI
Une main se tend pour saisir un astérisque d'un mot de passe écrit.

Les mots de passe générés par l'IA constituent un risque pour la sécurité.

Février 19, 2026

Les mots de passe générés par l'IA sont « hautement prévisibles » et ne sont pas véritablement aléatoires, ce qui les rend plus faciles à pirater pour les cybercriminels.

Actualités
Logo Tenga

Le fabricant de produits intimes Tenga a divulgué les données de ses clients

Février 19, 2026

Une attaque de phishing visant un employé de Tenga pourrait avoir exposé les données de clients américains. Les clients doivent être vigilants face aux tentatives de phishing ayant pour thème le chantage sexuel.

Violations de données
Logo Betterment

La violation des données de Betterment pourrait être plus grave que prévu

Février 18, 2026

Cette violation semble désormais beaucoup plus grave. Les données divulguées comprennent des informations personnelles et financières détaillées que les hameçonneurs pourraient utiliser.

Icône des contributeurs

Les contributeurs

Icône du centre des menaces

Centre des menaces

Icône Podcasts

Podcast

Icône de glossaire

Glossaire

Icône d'escroquerie

Escroqueries