Une photo innocente peut transformer votre téléphone en espion silencieux
Un message WhatsApp arrive. Une photo se télécharge toute seule, comme ça se produit des millions de fois par jour. Vous ne cliquez pas. Vous ne l’ouvrez pas. Vous ne faites rien. Et pourtant, votre téléphone est devenu un espion

Les attaques zero-click : quand notre quotidien numérique nous trahit
Un message WhatsApp arrive. Une photo se télécharge toute seule, comme ça se produit des millions de fois par jour. Vous ne cliquez pas. Vous ne l’ouvrez pas. Vous ne faites rien.
Et pourtant, votre téléphone est déjà compromis. Un espion dans votre poche.
Micro activé à distance. Messages lus en temps réel. Localisation suivie. Photos personnelles exfiltrées. Tout ça en silence. Sans notification. Sans alerte. Sans que vous voyiez quoi que ce soit.
Bienvenue dans le monde des attaques zero-click.
Ce n’est pas de la science-fiction. C’est 2025.
En 2025, des failles zero-click exploitées via des images malveillantes ont été confirmées sur iOS, macOS et certains appareils Samsung Android. Pas dans un rapport théorique. Pas dans un labo. Dans la vraie vie, sur de vrais téléphones, chez de vraies personnes.
Des spywares commerciaux ont été déployés en silence, touchant des journalistes, des militants des droits humains, des opposants politiques. Ces cas sont documentés par Amnesty International, par les chercheurs de Palo Alto Networks (Unit 42), confirmés par Meta et ajoutés au catalogue des failles activement exploitées de la CISA, l’agence américaine de cybersécurité.
Le cycle d’attaque est d’une simplicité terrifiante : identification de la cible, envoi furtif d’une image piégée, traitement automatique par l’application, exploitation de la faille, installation du spyware, vol massif de données. Zéro interaction de votre part.
On parle ici de moins de 200 cibles confirmées pour la campagne WhatsApp/Apple. C’est peu. Mais c’est exactement le problème : quand ça arrive, c’est invisible.

Comment une simple image devient une arme
WhatsApp télécharge et traite automatiquement les médias pour afficher les aperçus. C’est pratique. C’est rapide. Et c’est exactement là que le problème se situe.
Ce traitement repose sur des bibliothèques complexes de décodage d’images, comme ImageIO chez Apple ou libimagecodec.quram.so chez Samsung. Des briques logicielles que personne ne voit, mais que tout le monde utilise.
Une image truquée, souvent au format DNG (un format RAW utilisé en photographie), provoque une erreur critique dans ces bibliothèques : dépassement de tampon, écriture hors limites. Le code malveillant s’exécute. Et à partir de là, votre téléphone n’est plus le vôtre.
Les cas concrets de 2025 :
Sur Apple (iOS/macOS) : combinaison de deux failles - CVE-2025-55177 dans WhatsApp (autorisation incomplète des messages de synchronisation linked-device) et CVE-2025-43300 dans Apple ImageIO (corruption mémoire lors du traitement d’une image malveillante). Résultat : attaque zero-click confirmée par Meta et Amnesty International, ciblant des dizaines à des centaines de personnes.
Sur Samsung Android : CVE-2025-21042 dans la bibliothèque de traitement d’images Samsung. Le spyware LANDFALL (un outil de grade commercial ) a été livré via des fichiers DNG malformés envoyés par WhatsApp. Exploitation zero-click ou quasi zero-click. Cibles identifiées en Irak, Iran, Turquie, Maroc.
Ces vulnérabilités ont été activement exploitées avant d’être corrigées. Les patches existent désormais. Mais les attaques ont eu lieu.

Le vrai problème n’est pas technique. Il est sociétal.
On peut corriger une faille. On peut patcher un système. Mais on ne corrige pas une culture numérique avec une mise à jour.
Ces attaques révèlent quelque chose de plus profond sur notre rapport au numérique. Quelque chose qu’on refuse de voir.
La liberté d’expression recule en silence. Des journalistes ciblés. Des militants surveillés. Des opposants réduits au silence. Quand un simple message peut compromettre votre téléphone, la peur de parler librement s’installe. Ce n’est plus théorique, c’est documenté.
On a sacrifié la sécurité pour le confort. On veut des previews instantanés, du téléchargement automatique, de la fluidité partout. On a accepté, sans le savoir, une exposition massive. Chaque fonctionnalité « pratique » est une surface d’attaque de plus.
Les plus vulnérables sont les moins protégés. Dans les pays où WhatsApp domine; souvent ceux où les mises à jour arrivent le plus tard, où la littératie numérique est la plus faible; le risque est maximal.
Notre intimité dépend d’acteurs qu’on ne contrôle pas. Meta. Des bibliothèques parfois mal auditées. Des États ou des entreprises privées qui achètent ces outils sur étagère. Votre vie privée est entre les mains d’un écosystème que vous ne voyez même pas.
95 % des incidents de cybersécurité ont une origine humaine. Mais 95 % des discussions restent au niveau technique. Il y a là un problème de dissonance cognitive.
Ce que vous pouvez faire. Maintenant.
Je ne vais pas vous faire un cours de cybersécurité avancée. La première ligne de défense, c’est vous. Et ces gestes sont simples.
1. Désactivez le téléchargement automatique des médias. C’est le geste numéro un. Celui qui coupe le vecteur d’attaque à la racine. Sur Android : Paramètres WhatsApp → Stockage et données → Téléchargement automatique des médias → décochez les photos. Sur iPhone : même logique dans Réglages → WhatsApp → Données et stockage.
2. Mettez à jour WhatsApp et votre système. Systématiquement. Les correctifs de 2025 ont fermé ces failles précises. Mais seulement si vous les avez installés. Une mise à jour ignorée, c’est une porte laissée ouverte.
3. Pour les échanges sensibles, envisagez Signal. Open source, audits fréquents, code ouvert. Ce n’est pas une garantie absolue, aucun outil ne l’est, mais c’est un cran au-dessus en termes de transparence.
4. Surveillez les signaux inhabituels. Batterie qui se vide anormalement vite. Surchauffe inexplicable. Consommation de données qui explose. Applications inconnues. Votre téléphone vous parle parfois. Apprenez à l’écouter.

(source: https://www.online-tech-tips.com/)

(source: https://www.gadgets360.com/)
Au-delà des patches : une question de culture
En 2026, le vrai enjeu dépasse la technique. Ce n’est pas un problème d’ingénieurs. C’est un problème de société.
Exiger plus de transparence sur les composants logiciels qui traitent nos données. Soutenir les alternatives open source auditées. Pousser pour que NIS2 soit pleinement appliquée et renforcée en Europe. Ne plus accepter l’idée que notre sécurité numérique est une variable d’ajustement du confort.
Une photo qui arrive n’est plus anodine. Elle peut être une porte d’entrée vers votre intimité, votre liberté, votre sécurité personnelle.
Vous voulez en savoir plus? Je vous recommande mon livre Être en cybersécurité.

Désactivez le téléchargement automatique dès aujourd’hui.
Partagez cet article. Et posez-vous la question. Sérieusement : jusqu’où acceptons-nous de sacrifier notre vie privée pour du confort instantané ?
Christophe Mazzola
Sources
- CVE-2025-55177, WhatsApp Security Advisory (whatsapp.com/security/advisories/2025)
- CVE-2025-43300, Apple Security Update, macOS Sequoia 15.6.1 / iOS 18.6.2
- CVE-2025-21042, Samsung Security Maintenance Release, avril 2025
- Unit 42 / Palo Alto Networks, LANDFALL: New Commercial-Grade Android Spyware (novembre 2025)
- Amnesty International Security Lab, Confirmation des attaques ciblées WhatsApp/Apple
- CISA Known Exploited Vulnerabilities Catalog, CVE-2025-55177 & CVE-2025-21042
Questions fréquentes
Qu'est-ce qu'une attaque zero-click ?
Une attaque qui compromet votre téléphone sans aucune action de votre part : il suffit qu'une image piégée soit reçue et traitée automatiquement par une application comme WhatsApp pour que le code malveillant s'exécute.
Comment une simple image peut-elle pirater un téléphone ?
WhatsApp télécharge et décode automatiquement les médias pour en afficher l'aperçu. Une image truquée, souvent au format DNG, provoque une corruption mémoire (dépassement de tampon, écriture hors limites) dans les bibliothèques de décodage comme ImageIO chez Apple, ce qui permet d'exécuter du code malveillant.
Qui a été visé par ces attaques en 2025 ?
Des journalistes, des militants des droits humains et des opposants politiques, avec moins de 200 cibles confirmées pour la campagne WhatsApp/Apple. Pour le spyware LANDFALL sur Samsung, des cibles ont été identifiées en Irak, Iran, Turquie et au Maroc.
Comment me protéger maintenant ?
Désactivez le téléchargement automatique des médias dans WhatsApp, mettez systématiquement à jour l'application et votre système, privilégiez Signal pour les échanges sensibles et surveillez les signaux inhabituels (batterie, surchauffe, consommation de données).
Sources & méthodologie
- CVE-2025-55177, WhatsApp Security Advisory (whatsapp.com/security/advisories/2025)
- CVE-2025-43300, Apple Security Update, macOS Sequoia 15.6.1 / iOS 18.6.2
- CVE-2025-21042, Samsung Security Maintenance Release, avril 2025
- Unit 42 / Palo Alto Networks, LANDFALL: New Commercial-Grade Android Spyware (novembre 2025)
- Amnesty International Security Lab, Confirmation des attaques ciblées WhatsApp/Apple
- CISA Known Exploited Vulnerabilities Catalog, CVE-2025-55177 & CVE-2025-21042

Être en cybersécurité
Une feuille de route cyber en clair, pour tout le monde, pas seulement les experts.
