Le groupe Meta a annoncé avoir corrigé deux vulnérabilités affectant son application de messagerie WhatsApp sur iOS, Android et Windows. Dans un avis de sécurité publié début mai 2026, l’entreprise précise que ces failles, référencées CVE-2026-23866 et CVE-2026-23863, n’avaient pas été exploitées activement au moment de leur divulgation.
La première vulnérabilité (CVE-2026-23866) concerne les versions récentes de l’application mobile. Elle touche le traitement de certains messages enrichis intégrant des contenus issus de Instagram. Selon Meta, un défaut de validation permettait à un message spécialement conçu de déclencher le chargement de médias depuis une adresse contrôlée par un tiers. Un tel mécanisme pouvait conduire l’appareil à récupérer du contenu provenant d’une source non vérifiée, avec un risque d’injection de logiciel malveillant.
Une faille Windows basée sur un nom de fichier trompeur
La seconde vulnérabilité (CVE-2026-23863) affecte la version Windows de WhatsApp. Elle repose sur l’exploitation d’un caractère technique appelé « octet NUL », utilisé pour marquer la fin d’une chaîne de texte en informatique.
En l’absence de filtrage suffisant, un fichier pouvait afficher un nom inoffensif dans l’interface, tout en étant interprété différemment lors de son exécution. Un document présenté comme un PDF pouvait ainsi être traité comme un fichier exécutable. Meta indique que l’exploitation de cette faille nécessite une action de l’utilisateur.
Des vulnérabilités régulières dans l’écosystème Meta
Ces incidents s’inscrivent dans une série récurrente de failles affectant les applications du groupe, qui regroupe également Facebook et Instagram. En raison de leur large base d’utilisateurs, ces services constituent des cibles fréquentes pour les chercheurs en cybersécurité comme pour les acteurs malveillants.
Meta s’appuie notamment sur un programme de signalement de vulnérabilités (« bug bounty »), qui rémunère les chercheurs indépendants. L’entreprise publie ensuite des correctifs via des mises à jour et diffuse des avis de sécurité détaillant les risques et les versions concernées.
Dans le cas présent, les correctifs ont été déployés avant toute exploitation connue, selon Meta. L’éditeur recommande aux utilisateurs de mettre à jour leur application sans délai afin de bénéficier des protections intégrées aux versions récentes.
problème de méta
meta2
FX
Ands