WhatsApp a récemment corrigé une faille de sécurité exploitée pour déployer le logiciel espion Graphite de Paragon, ciblant notamment des journalistes. Un simple PDF envoyé dans un groupe WhatsApp a permis d’infecter les appareils des utilisateurs. Faisons le point sur cette menace.

Avant d’évoquer la vulnérabilité et les attaques associées, rappelons qui est l’éditeur Paragon. Fondée en 2019 par Ehud Barak, ancien Premier ministre israélien, et Ehud Schneorson, ex-commandant de l’Unité 8200, Paragon Solutions Ltd. a été acquise en décembre 2024 par le groupe américain AE Industrial Partners. Contrairement à son concurrent NSO Group, Paragon affirme vendre ses outils uniquement aux agences gouvernementales des pays démocratiques pour lutter contre la criminalité.

Une faille WhatsApp exploitée sans interaction des victimes

Des chercheurs du Citizen Lab de l’Université de Toronto ont révélé l’existence d’une vulnérabilité particulièrement dangereuse dans le service WhatsApp. Exploitée en tant que faille zero-day, cette faille de sécurité ne nécessite pas d’interaction de la part d’un utilisateur : il s’agit d’une attaque de type Zero Click.

Les utilisateurs n’ont aucune action à effectuer pour se protéger. Cette vulnérabilité a été patchée par les équipes de WhatsApp directement au niveau des serveurs du service de messagerie. Autrement dit, ce n’est pas une mise à jour de l’application qui va vous protéger.

Les chercheurs en sécurité expliquent que les attaques se sont déroulées en plusieurs étapes bien précises :

• Les attaquants ajoutaient leur cible à un groupe WhatsApp
• Un document PDF a été envoyé sur le groupe WhatsApp par les attaquants
• L’appareil de la victime reçoit le document PDF, le traite automatiquement (parse), ce qui a pour effet de déclencher l’exploitation de la vulnérabilité
• Le logiciel espion Graphite est alors déployé sur l’appareil de la victime
• Le logiciel malveillant échappe à la sandbox Android et se propage aux autres applications présentes sur l’appareil

Après avoir atténué l’exploit, WhatsApp a averti environ 90 utilisateurs Android dans plus de vingt pays, dont l’Italie, qui avaient été ciblés par ce spyware. Un outil de forensic comme BIGPRETZEL a notamment permis d’identifier des traces d’infection par le spyware Paragon.

“Le 31 janvier 2025, WhatsApp a envoyé des notifications à environ 90 comptes WhatsApp qui, selon elle, étaient ciblés par le logiciel espion de Paragon, dont des journalistes et des membres de la société civile.“, peut-on lire dans le rapport du Citizen Lab.

Une infrastructure liée à plusieurs gouvernements

Citizen Lab a également cartographié l’infrastructure de serveurs utilisés pour déployer Graphite et a trouvé des liens potentiels avec plusieurs gouvernements, dont l’Australie, le Canada, Chypre, le Danemark, Israël et Singapour.

Cette infrastructure comprenait des serveurs basés sur le cloud, probablement loués par Paragon et/ou ses clients, ainsi que des serveurs hébergés sur les sites de Paragon et de ses clients gouvernementaux.“, ont expliqué les chercheurs.

Ce même rapport met en avant que l’enquête menée par les chercheurs en sécurité ait permis d’identifier 150 certificats numériques associés à des dizaines d’adresses IP reliées à l’infrastructure de commande et de contrôle du spyware.

L’utilisation d’un logiciel espion comme Graphite pose de sérieuses questions en matière de cybersécurité et de protection des libertés individuelles. WhatsApp de son côté, réaffirme sa volonté de protéger ses utilisateurs et leur confidentialité : “Ceci est le dernier exemple en date de pourquoi les entreprises de logiciels espions doivent être tenues responsables de leurs actions illégales. WhatsApp continuera à protéger la capacité des personnes à communiquer en privé.“

Source