Une faille 0-Click dans WhatsApp exploitée pour installer le logiciel espion Graphite

Posted On 25 Mar 2025

Tag: 0-Click, BIGPRETZEL, Graphite spy, Paragon, WhatsApp

Une faille critique dans WhatsApp a récemment été découverte et rapidement corrigée par les développeurs de l’application, propriété de la société Meta. Cette vulnérabilité, de type 0-Click, a permis à des cybercriminels d’installer à distance le logiciel espion Graphite, développé par la société israélienne Paragon, sans aucune interaction de la part des victimes.

La faille n’a pas été enregistrée sous un identifiant CVE (Common Vulnerabilities and Exposures), les développeurs ayant invoqué des politiques internes et les recommandations de MITRE pour justifier cette décision.

L’exploitation de cette vulnérabilité était d’une sophistication impressionnante. Les attaquants ajoutaient leurs victimes à un groupe WhatsApp avant de leur envoyer un fichier PDF malveillant. La vulnérabilité 0-Click permettait au document d’être automatiquement traité par le téléphone de la victime, déclenchant le téléchargement et l’installation du logiciel espion Graphite.

Une fois installé, le malware était capable de contourner les protections d’Android, accédant ainsi à d’autres applications, y compris des messageries chiffrées. Cette capacité à s’infiltrer profondément dans le système d’exploitation rendait l’attaque particulièrement difficile à détecter et à contrer.

Une menace discrète mais puissante

Le logiciel espion Graphite se distingue par son efficacité et sa discrétion. Les chercheurs en cybersécurité ont découvert un artefact baptisé BIGPRETZEL au sein des appareils compromis. Cet indicateur de compromission a permis de relier directement certaines attaques à la présence de Graphite. Cependant, l’absence de cet artefact sur un appareil n’exclut pas une infection, car le système de journalisation d’Android est notoirement instable et peu fiable. Cela signifie qu’un appareil pourrait être compromis sans laisser de traces évidentes, compliquant ainsi le travail de détection des spécialistes en cybersécurité.

Les chercheurs de Citizen Lab, un groupe de recherche spécialisé dans la cybersurveillance et la protection de la vie privée, ont approfondi l’enquête et mis au jour une infrastructure de serveurs contrôlée par Paragon comme je vous l’expliquais ici.

Service de Veille ZATAZ – 96% de satisfaction

Cette infrastructure est liée à des clients gouvernementaux de plusieurs pays, dont l’Australie, le Canada, Chypre, le Danemark, Israël et Singapour. L’analyse des certificats numériques utilisés par le logiciel espion a également permis de cartographier une série d’adresses IP servant à la gestion et au contrôle à distance du malware. Cette découverte suggère une implication directe de certains gouvernements dans l’utilisation de Graphite, ce qui soulève des questions éthiques et politiques sur l’usage d’outils de surveillance aussi intrusifs.

La méthode de diffusion de Graphite via une faille 0-Click dans WhatsApp présente plusieurs avantages stratégiques pour les attaquants. D’une part, elle permet une infection quasi instantanée sans nécessiter d’interaction de la part de la victime. D’autre part, le ciblage via une messagerie aussi populaire que WhatsApp offre une large surface d’attaque, augmentant le potentiel de collecte d’informations sensibles. Cette méthode de propagation est particulièrement dangereuse car elle contourne les mécanismes classiques de protection des smartphones et des applications.

Une faille non référencée qui interroge

Le choix des développeurs de WhatsApp de ne pas attribuer de CVE à cette vulnérabilité soulève des questions dans la communauté de la cybersécurité. Habituellement, l’attribution d’un identifiant CVE permet de référencer publiquement une faille, de faciliter sa correction par les développeurs de systèmes d’exploitation et d’améliorer la réponse globale face aux menaces similaires. En l’absence de CVE, il devient plus difficile pour les chercheurs en cybersécurité et les entreprises de sécurité informatique de suivre l’évolution de la menace et d’implémenter des protections adaptées.

Certains experts estiment que cette décision pourrait être motivée par des pressions politiques ou économiques. Paragon, la société à l’origine de Graphite, est connue pour fournir des outils de cybersurveillance à des agences gouvernementales. Le fait que la faille ait été utilisée pour propager un logiciel de cette nature suggère que des enjeux géopolitiques pourraient être à l’origine de cette discrétion inhabituelle. De plus, la collaboration présumée entre Paragon et certains gouvernements occidentaux complique davantage la situation, plaçant WhatsApp dans une position délicate sur le plan éthique et juridique.

Cette affaire illustre la montée en puissance de la cyberguerre à l’échelle internationale. L’implication présumée d’acteurs étatiques dans l’utilisation de Graphite et la sophistication de la campagne d’infection soulignent l’évolution rapide des capacités en matière d’espionnage informatique. Les cyberattaques ne sont plus seulement l’apanage des groupes criminels isolés ; elles sont devenues des outils stratégiques dans le cadre de conflits géopolitiques complexes.

Vous voulez suivre les dernières actualités sur la cybersécurité ? Pour rester informé sur les enjeux de cybersécurité, abonnez-vous à la newsletter de ZATAZ. Rejoignez également notre groupe WhatsApp et nos réseaux sociaux pour accéder à des informations exclusives, des alertes en temps réel et des conseils pratiques pour protéger vos données.

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.