Le célèbre éditeur de code open source Notepad++ a été au cœur d’une grave faille de sécurité. Son système de mise à jour a été compromis par des acteurs malveillants, suspectés d’être un groupe d’individus soutenu par l’État chinois.
L’attaque, qui a duré de juin à décembre 2025, n’a pas exploité une vulnérabilité dans le code de Notepad++ lui-même, mais a tiré parti d’une compromission au niveau de l’infrastructure de son ancien hébergeur.
Comment l’attaque a-t-elle été orchestrée ?
L’incident a débuté en juin 2025 par une compromission de l’hébergeur web partagé de Notepad++. Une faille au niveau de l’infrastructure a permis aux attaquants » d’intercepter et de rediriger le trafic de mise à jour destiné à notepad-plus-plus.org « .
L’opération était très ciblée, ne redirigeant que certains utilisateurs vers des serveurs contrôlés par les attaquants. Même après une maintenance du serveur en septembre 2025, qui a temporairement bloqué leur accès, les attaquants ont conservé des identifiants de services internes.
Cela leur a permis de continuer à détourner le trafic jusqu’au 2 décembre 2025. Les attaquants visaient spécifiquement les anciennes versions de Notepad++, dont les contrôles de vérification des mises à jour étaient insuffisants.
Quelles mesures de sécurité ont été mises en place ?
Le site de Notepad++ a été migré vers un nouvel hébergeur offrant des garanties de sécurité plus robustes. De son côté, l’ancien fournisseur a corrigé les vulnérabilités exploitées et renouvelé tous les identifiants qui auraient pu être compromis.
En ce qui concerne l’application, des améliorations ont été apportées. Depuis la version 8.8.9, l’utilitaire de mise à jour WinGup vérifie désormais le certificat et la signature de l’installeur téléchargé.
De plus, le fichier XML contenant les informations de mise à jour est maintenant signé (XMLDSig), une protection qui deviendra obligatoire avec la version 8.9.2.
Quelles sont les recommandations pour les utilisateurs ?
Bien que l’attaque ait été très sélective, le risque pour les utilisateurs affectés était élevé, avec la possibilité d’installer une version compromise de l’application. L’incident met en lumière la vulnérabilité des chaînes d’approvisionnement, même pour des projets open source réputés.
Le développeur a présenté ses excuses et recommande vivement de mettre à jour manuellement vers la version 8.9.1 ou ultérieure. Pour les administrateurs de serveurs utilisant le logiciel, il est également conseillé de changer les identifiants SSH, FTP/SFTP et MySQL par précaution.