Pour Notepad++, les leçons de la compromission de son système de mise à jour continuent d’être tirées et donnent lieu à des séries d’améliorations. L’attaque sophistiquée aurait été l’œuvre d’un groupe soutenu par la Chine.
Ayant duré de juin à décembre 2025, la cyberattaque avait exploité une faille au niveau de l’infrastructure de l’ancien hébergeur pour intercepter et rediriger le trafic de mise à jour destiné à notepad-plus-plus.org. Elle a permis de distribuer un malware de type backdoor baptisé Chrysalis.
Un nouveau mécanisme de double verrouillage
Dans une version précédente de Notepad++, il a été introduit la vérification de la signature numérique de l’installateur téléchargé depuis GitHub, ce qui garantit que le fichier d’installation lui-même n’a pas été altéré.
Avec la version 8.9.2 de Notepad++, c’est l’ajout d’un processus de vérification du fichier XML renvoyé par le serveur de mise à jour. Ce fichier est désormais signé numériquement (XMLDSig), et sa signature est rigoureusement contrôlée.
Selon les développeurs, cette double validation ou double verrouillage (double-lock) rend le processus de mise à jour » robuste et effectivement inexploitable « , empêchant toute interception malveillante.
D’autres améliorations de sécurité incluses
Au-delà du double verrouillage, le composant de mise à jour automatique, WinGUp, a été considérablement renforcé.
La dépendance à la bibliothèque libcurl.dll a été supprimée pour éliminer les risques d’attaques par DLL sideloading. Deux options SSL non sécurisées de cURL ont été retirées, et l’exécution de la gestion des plugins est dorénavant restreinte aux programmes possédant le même certificat que WinGUp.
Par ailleurs, la version 8.9.2 de Notepad++ corrige une vulnérabilité référencée CVE-2026-25926. De type » Unsafe Search Path « , elle pouvait permettre l’exécution de code arbitraire dans certaines conditions, lors du lancement de l’Explorateur de fichiers de Windows.