WhatsApp : une simple photo peut permettre de pirater votre téléphone
Vous recevez une image sur WhatsApp. Elle a l’air banale, parfois envoyée par un numéro inconnu, parfois par un contact qui “partage juste une photo”. Pourtant, dans de rares cas, ce simple fichier peut devenir une porte d’entrée vers votre smartphone, sans clic volontaire et parfois même sans ouverture de l’image.
Le point clé, c’est que le danger ne vient pas “des pixels”. Il vient du logiciel qui doit les décoder, et des failles qui peuvent se cacher dans cette étape. Des vulnérabilités documentées, comme CVE-2025-21042 exploitée sur certains Samsung via des fichiers DNG, ou l’ancienne CVE-2019-11932 liée à des GIF sur WhatsApp Android, ont montré que le scénario n’est pas de la science-fiction.
Le piège : ce n’est pas l’image, c’est le “lecteur” de l’image
Une photo classique (JPEG, PNG, GIF, DNG…) n’est pas un programme. Elle contient des données qui décrivent des couleurs, une résolution, parfois des métadonnées. En théorie, rien de tout ça ne devrait “lancer” quoi que ce soit.
Mais pour afficher une image, votre téléphone s’appuie sur des bibliothèques de décodage (des “codecs” ou des modules de parsing). C’est là que tout se joue. Si ces bibliothèques contiennent une erreur de programmation, une image spécialement fabriquée peut déclencher un comportement anormal : écriture hors limites, corruption mémoire, double libération, etc.
Dans un cas typique, l’attaquant ne “cache” pas un exécutable dans la photo au sens grand public. Il construit plutôt un fichier malformé qui force le logiciel à se tromper, puis utilise cette confusion pour exécuter du code arbitraire. C’est exactement ce que décrit la base NVD pour CVE-2019-11932, qui mentionne une vulnérabilité de type “double free” dans une bibliothèque de traitement de GIF utilisée notamment par WhatsApp.
Samsung Galaxy Note 10+
Samsung Galaxy Note 10 Lite
Pourquoi WhatsApp est un vecteur tentant
Une messagerie reçoit en continu des contenus venant de l’extérieur. Elle doit prévisualiser, générer des miniatures, indexer des médias, parfois même analyser un fichier avant que vous n’ayez touché l’écran. Ce confort d’usage crée une surface d’attaque : le traitement automatique se fait “en arrière-plan”, et c’est précisément ce que recherchent les attaques les plus discrètes.
Autrement dit, même si vous ne lancez pas volontairement une photo en plein écran, le téléphone peut déjà l’avoir manipulée pour afficher un aperçu ou préparer le contenu. Et si une faille se déclenche à ce moment-là, l’utilisateur n’a aucun signal clair de piratage.
Attaque “zero-click” : quand la réception suffit
On parle d’attaque zero-click lorsqu’aucune action explicite de la victime n’est nécessaire. Pas besoin de cliquer sur un lien, pas besoin d’accepter un téléchargement, parfois même pas besoin d’ouvrir la conversation. L’objectif est d’exploiter une étape automatique : réception, prévisualisation, génération de miniature, ou traitement par le système.
Ce type d’attaque est réputé rare, difficile à industrialiser et coûteux. Selon CSO Online, les zero-click s’appuient souvent sur des vulnérabilités “zero-day” (inconnues au moment de l’exploitation) et sont plutôt associées à des opérations ciblées, notamment d’espionnage. Une telle cyberattaque reste exceptionnelle pour le grand public.
Ce contexte compte, parce qu’il change la lecture du risque. Pour le grand public, l’idée “une photo et c’est fini” est un raccourci. En revanche, pour des cibles de valeur (journalistes, responsables politiques, profils sensibles), l’hypothèse devient crédible, surtout quand une faille est exploitée “dans la nature”.
À lire aussi
CVE-2025-21042 : le cas Samsung et les fichiers DNG
L’exemple le plus parlant et récent est CVE-2025-21042. Des analyses publiques, notamment chez Unit 42 (Palo Alto Networks), décrivent une chaîne d’exploitation visant des appareils Samsung Galaxy, avec livraison via des fichiers image DNG et usage dans une campagne de spyware baptisée LANDFALL.
Un organisme officiel, le Centre for Cybersecurity Belgium (CCB), a également publié une alerte évoquant une vulnérabilité critique (CVSS élevé) et un scénario d’exploitation via des fichiers envoyés notamment par WhatsApp. Ce type de logiciel malveillant peut s’installer de manière totalement invisible.
Ce qui frappe dans ce type d’affaire, c’est l’écosystème. L’attaque peut impliquer WhatsApp comme canal, mais la faiblesse se situe parfois au niveau d’une bibliothèque système ou d’un composant du constructeur. Résultat : mettre à jour uniquement l’application ne suffit pas toujours, car le correctif peut dépendre d’un patch de sécurité Android/Samsung.
Un point rassurant : le risque n’est pas permanent
Ces histoires donnent l’impression d’une menace “intemporelle”. En réalité, elles sont souvent liées à une fenêtre précise : la période entre l’exploitation et l’installation du correctif. Dans le cas de CVE-2025-21042, Unit 42 indique que la vulnérabilité a été corrigée après sa divulgation, et que l’enjeu se déplace alors vers la rapidité de déploiement des mises à jour sur les appareils concernés. Pour garantir votre sécurité, la réactivité est donc votre meilleure alliée.
C’est aussi pour ça que les recommandations restent parfois frustrantes : elles reviennent toujours à la même chose. Pourtant, ce sont bien les mises à jour qui ferment les portes.
CVE-2019-11932 : le précédent WhatsApp Android via GIF
Avant les DNG, un autre épisode a marqué les chercheurs : CVE-2019-11932. La NVD (NIST) explique qu’un GIF spécialement conçu pouvait mener à l’exécution de code ou à un déni de service via une vulnérabilité dans une bibliothèque GIF, avec WhatsApp Android parmi les logiciels impactés avant une version corrigée.
Trend Micro rappelait déjà à l’époque que le problème ne se limitait pas à une seule application, car la bibliothèque concernée pouvait être réutilisée ailleurs.
À lire aussi
Ce parallèle est utile : il montre que l’attaque “par image” n’est pas un mure, mais un cas d’école de la sécurité moderne. On ne pirate pas l’image, on pirate son interprétation.
Ce que ça change pour vous : les bons réflexes, sans paranoïa
Le premier réflexe, c’est de reprendre la main sur les automatismes. WhatsApp télécharge souvent les médias automatiquement, et c’est pratique… jusqu’au jour où un fichier ne devrait pas être traité sans contrôle. Désactiver le téléchargement automatique des médias (au moins sur le réseau mobile, et idéalement aussi sur le Wi-Fi) réduit l’exposition, car la chaîne “réception → traitement” devient moins immédiate.
Ensuite, il faut garder en tête que l’attaque la plus fréquente sur WhatsApp n’est pas la zero-click. Ce sont les compromissions par ingénierie sociale : usurpation de compte, codes de vérification volés, liens de phishing, faux supports techniques. Les attaques ultra-techniques existent, mais elles ne sont pas le quotidien de la majorité des utilisateurs.
Enfin, la règle la plus rentable reste la plus simple : mettre à jour le système et les applications. Les alertes officielles autour de CVE-2025-21042 insistent justement sur l’installation rapide des correctifs, parce que c’est ce qui coupe l’herbe sous le pied d’une exploitation déjà connue.
Alors, peut-on “prendre le contrôle” d’un téléphone avec une photo WhatsApp ?
Oui, dans des conditions particulières : une faille exploitable dans la chaîne de traitement d’image, un fichier construit pour déclencher précisément cette faille, et un appareil non corrigé. Dans ce scénario, la photo sert de véhicule, pas de baguette magique.
La bonne nouvelle, c’est que ces attaques sont difficiles, souvent réservées à des opérations ciblées, et surtout limitées dans le temps quand les mises à jour sont installées. C’est moins un appel à la panique qu’un rappel : sur smartphone, la cybersécurité se joue souvent dans les détails invisibles.
Retrouvez plus d’article sur le même thème ici.
