S3 1 To
S3 1 To
Connexion Premium
Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société
Déontologie Règles de modération Mentions légales et contact
Qui sommes nous ? Contact rédaction Contact site Forum
Flux RSS GitHub Discord

Notepad++ revient sur le piratage de son module de mise à jour, désormais sécurisé

Le 02 février à 11h34

Don Ho, principal mainteneur de l'éditeur de texte Notepad++, est revenu lundi sur le piratage survenu au niveau du composant en charge des mises à jour du logiciel, révélé en décembre dernier. Dans un billet de blog en forme de post-mortem, il affirme avoir changé d'hébergeur et mis en place les garanties techniques nécessaires à la prévention de tout nouvel incident.

Le piratage avait été confirmé le 9 décembre dernier, lors de la sortie de Notepad++ v8.8.9. Alerté par des signalements d'utilisateurs, puis par les vérifications opérées par certains experts en cybersécurité, Don Ho avait révélé la compromission du serveur chargé de distribuer les mises à jour du logiciel, via un composant interne baptisé WinGUp. Il expliquait alors :

« L'analyse des rapports a révélé une faille dans la manière dont le programme de mise à jour vérifie l'intégrité et l'authenticité du fichier de mise à jour téléchargé. Si un attaquant parvient à intercepter le trafic réseau entre le client du programme de mise à jour et l'infrastructure de mise à jour de Notepad++, il peut exploiter cette faille pour inciter le programme de mise à jour à télécharger et exécuter un fichier binaire indésirable (au lieu du fichier de mise à jour légitime de Notepad++). »

Dans son nouveau billet, Don Ho révèle que la faille a potentiellement exposé des données d'utilisateurs sur une période allant de juin à décembre 2025. « Selon l'analyse des experts en sécurité, l'attaque a impliqué une compromission de l'infrastructure permettant à des acteurs malveillants d'intercepter et de rediriger le trafic de mise à jour destiné à notepad-plus-plus.org », indique-t-il.

Les dernières versions de Notepad++ sont censées prémunir l'utilisateur de tout risque d'attaque au moyen du processus de mise à jour - capture d'écran Next

Il publie dans la foulée le message qui lui a été transmis par son ancien hébergeur, dans lequel ce dernier confirme que des événements suspects ont été enregistrés au niveau du fichier notepad-plus-plus.org/update/getDownloadUrl.php. L'hébergeur précise que le serveur en question a fait l'objet d'une mise à jour corrigeant la vulnérabilité exploitée le 2 septembre, mais que les attaquants ont vraisemblablement pu exploiter les accès dont ils disposaient jusqu'au 2 décembre, date à laquelle les services associés à Notepad++ ont été migrés vers un autre environnement.

Les analyses indépendantes pointent vers une attaque orchestrée « par un groupe parrainé par l'État chinois, ce qui expliquerait le ciblage très sélectif observé pendant la campagne », affirme Don Ho, qui présente ses excuses aux utilisateurs concernés. Et assure qu'on ne l'y prendra plus. Outre une migration vers un hébergeur aux pratiques « nettement renforcées », le composant WinGUp vérifie maintenant « à la fois le certificat et la signature du programme d'installation téléchargé » depuis la version 8.8.9 du logiciel.

« De plus, le fichier XML renvoyé par le serveur de mise à jour est désormais signé (XMLDSig), et la vérification du certificat et de la signature sera obligatoire à partir de la prochaine version 8.9.2, attendue dans environ un mois », conclut le développeur. La version 8.9.1 sortie le 26 janvier dernier intègre déjà quelques optimisations sur le volet sécurité.

En 2019, Don Ho s'était attiré les foudres de certains nationalistes chinois, qui avaient notamment spammé son dépôt Github. Ils réagissaient à la publication de la version 7.8.1 du logiciel, baptisée Free Uyghur (libérez les Ouïghours). « Les gens me diront encore une fois de ne pas mélanger la politique avec les logiciels/affaires. Cette décision aura sûrement une incidence sur la popularité de Notepad++ : parler de politique est exactement ce que les éditeurs et les sociétés commerciales essaient généralement d’éviter », écrivait alors le développeur.

Le 02 février à 11h34

Commentaires (30)

votre avatar
Merci pour la news, j'étais complétement passé à côté !
On est à l'abri nul part :(
votre avatar
Aucune info sur qui était le précédent hébergeur et qui est le nouveau ?

Edit: d'après le WHOIS, le nouveau serait "Aqua Ray"
votre avatar
votre avatar
Le développeur n'avait-il pas affiché dans les notes de version certaines positions ouvertement opposés à la politique chinoise?
votre avatar
bonne mémoire, bravo ! rien ne permet d'affirmer qu'il y a un lien mais ça mérite d'être rappelé, merci

edit : actu mise à jour avec un rappel de cet incident
votre avatar
Oui, si on lit https://notepad-plus-plus.org/news/ il n'y a pas que la Chine : il pourrait aussi s'attirer les foudres de hackers russes.
votre avatar
Il avait précédemment affiché des positions pro Ukraine, pro Palestine et certainement d'autres ...
votre avatar
Pro Ukraine oui, mais jamais envers la Palestine.
votre avatar
Globalement des positions alignées avec la pensée "comme il faut" des impérialistes étatsuniens dont il doit suivre les médias.

Toutefois il pourrait aussi avoir affaire aux hackers macronistes car une version était dédiée aux Gilets Jaunes.
votre avatar
Le piratage avait été confirmé le 9 décembre dernier, lors de la sortie de Notepad++ v8.8.9.
la faille a potentiellement exposé des données d'utilisateurs sur une période allant de juin à décembre 2025.
Je ne comprends pas trop. Je suis en 8.8.8, ai-je été concerné ou pas ?
votre avatar
Si tu as utilisé le système de mise à jour intégré entre juin et décembre 2025, alors il a pu télécharger et donc exécuter un programme d'installation modifié.
Sur https://community.notepad-plus-plus.org/topic/27212/autoupdater-and-connection-temp-sh, il est "uniquement" question de remontées d'informations sur la machine au moment de la mise à jour, mais tout n'a pas forcément été capturé, et rien ne dit que certains utilisateurs n'ont pas reçu un contenu plus malveillant (en fonction de leur IP, par exemple).
votre avatar
Si j'ai bien compris, à partir de la 8.8.8 il y a un fix à base de duct tape. Mais les devs recommandent la 8.9.1 url https://notepad-plus-plus.org/news/hijacked-incident-info-update/

Le payload serait un "a.txt". L'utilisation de curl.exe pour des calls vers temp.sh (https://temp[.]sh/upload) indiquerait une exposition. Ainsi que des requêtes de gup.exe autres que vers "notepad-plus-plus.org", "Github.com" et "release-assets.githubusercontent.com". Tu peux aussi check la validité de la signature numérique de gup.exe qui devrait être signée par GlobalSign.
Mais les deux articles lus mentionnent ne pas avoir tout à fait compris l'attaque.
votre avatar
Il manque une partie pour dire comment savoir si on a été touché, ou pas : ça aurait été apprécié ! 😉
On m'a dit que l'attaque avait été "ciblée", bien que je ne sache pas trop ce que ça veut dire. ^^'
votre avatar
Cet article mentionne des indicateurs de compromission tout à la fin : https://www.rapid7.com/blog/post/tr-chrysalis-backdoor-dive-into-lotus-blossoms-toolkit/

Ceci étant, à priori la Chine a visé des grosses boites telecom en Asie, ils ont ciblé précisément leur attaque, donc pas de panique, mais dans le doute mieux vaut vérifier !
votre avatar
Cas d'école de la sécurité en profondeur : penser tout transfert comme résistant à des couches sous-jacentes modifiant ce qui est échangé : vérification d'intégrité signée.

Afin d'être complet, la clé privée permettant l'authentification est tenue pour sa part hors des canaux de diffusion : séparation des responsabilités.
En effet, si cela n'est pas le cas, la compromission du circuit de distribution ne change rien au risque de permettre de distribuer du contenu arbitraire.
Je reste sur ma faim concernant cette partie dans l'article de blog.

Enfin, une plus grande maitrise sur l'infrastructure de distribution pourrait passer par de l'hébergement dédié, sans besoin de grande puissance pour ce cas d'usage.
votre avatar
J'aimerais bien une version Linux native de ce logiciel ...

Edit > Merci pour touts vos suggestions. Je précise que, même avec Wine, je ne cherche pas à faire tourner Notepas++ sous Linux, sauf si en natif (ce qui n'est pas le cas). Je vais voir pour vos suggestions ce soir.
votre avatar
Pourquoi ?
Tu veux toi aussi risquer d’être piraté (comme les utilisateurs de Windows) ?
[Mode Troll ON]
C'est pas juste, il n'y a que les utilisateurs de Windows qui risquent d’être piraté ! :D
[Mode Troll OFF]
votre avatar
Il y a Xemacs sous Linux avec un look bien austère pour faire encore plus dans le style Linux ou VI pour les vrais de vrais.
votre avatar
Vrais de vrai
Carte perforée 80 colonnes 72 caractères
Les 8 derniers utiles quand le bac de 2000 choit
votre avatar
Arf! Rien ne vaut nedit... ou son fork xnedit, hélas pas encore en remplacement de l'original dans les dépots Debian.
Austère et efficace, loin des IDE Eclipse avec le gouffre Java en prime désormais boostées à l'IA des développeurs juniors qui emmerdent le monde avec leur purge à ressources qui arrivent à écrouler les VM de développement.
votre avatar
Notepad++ est basé sur Scintilla.
Perso j'utilise SciTE qui est l'éditeur de texte de référence de Scintilla. C'est clairement pas aussi puissant que NPP, mais très léger, multi-plateforme et gère autant de langage que NPP, puisqu'ils sont basé sur le même moteur.
votre avatar
Perso, j'utilise Sublime Text, et le retour à NPP sur les PC préinstallés du boulot est difficile…
votre avatar
Mais non, la vrai alternative open source et cross-plateforme est NotepadNext :
NotepadNext
votre avatar
essaie notepad next
github.com GitHub

bon... déjà dit, j'avais pas lu tous les com...
votre avatar
mais comment savoir si on a été touché, existe il un cache de telechargement, dans ce cas on peut comparer le fichier de maj avec une signature type sha256 fournis par l'editeur
votre avatar
https://www.rapid7.com/blog/post/tr-chrysalis-backdoor-dive-into-lotus-blossoms-toolkit/ a une analyse détaillée, avec à la fin un certain nombre de fichiers susceptibles d'être lancés ou installés (mais il pourrait y avoir d'autres versions).

Il n'évoquent pas les commandes curl, mais il est question de l'installation d'un BluetoothService.exe (copié de BitDefender, mais qui charge une log.dll ici malveillante) qui se connecte à un serveur C2 qui permet le contrôle total de la machine.
votre avatar
Dans mon souvenir, ce n'est pas la première fois que npp se fait avoir sur ses mises à jour.
Au début, il ne signait pas, maintenant il ne vérifie pas tous les certificats...
Grrr
votre avatar
La vrai faille c'est windows qui ne gère pas correctement ses mises à jours de logiciels. Aucun autre OS ne laisse chaque logiciel gérer son propre processus de mise à jour.
Avec un gestionnaire de paquet ce n'est pas sans faille (on peut toujours avoir une chaîne de compilation infectée façon xz), par contre on ne peut pas cibler un utilisateur particulier : tout le monde est ciblé c'est bien visible !

Là un ".php" pour fournir l'URL à télécharger, c'est déjà simplement n'importe quoi...
votre avatar
en quoi c'est n'importe quoi en PHP ?
votre avatar
Un utilisateur a codé un script qui vérifie une potentielle compromission: github.com GitHub

Notepad++ revient sur le piratage de son module de mise à jour, désormais sécurisé

Fermer