shutterstock 1559577011 JavaScript web application lines of code including Vue routes

L’auteur de Notepad++ affirme que les correctifs rendent le mécanisme de mise à jour « effectivement inexploitable »

Lucas Morel

Le renforcement a dû être effectué après qu’un acteur malveillant ait compromis les mises à jour avec une porte dérobée personnalisée.

Le mécanisme de mise à jour récemment compromis du célèbre éditeur de texte open source Notepad ++ a été renforcé et est désormais « effectivement inexploitable », déclare l’auteur de l’application.

Don Ho a fait cette déclaration cette semaine après la sortie de la version 8.9.2 de Notepad++, qui inclut une vérification par double verrouillage que tout téléchargement de l’outil à partir de ce moment est authentique. La dernière version vérifie le XML signé renvoyé par le serveur de mise à jour en plus de la première étape du renforcement de la version 8.8.9, publiée en décembre, qui vérifie l’authenticité du programme d’installation signé téléchargé depuis GitHub.

La mise à jour automatique de l’application a également été renforcée.

Ces actions ne sont pas infaillibles, admet Ho sur son blog, car il est possible d’exclure le programme de mise à jour automatique lors de l’installation de l’interface utilisateur, ou de déployer le programme d’installation avec une commande spécifique spécifiant que le programme de mise à jour ne doit pas être utilisé.

Un attaquant doit désormais compromettre à la fois l’infrastructure d’hébergement et les clés de signature, a-t-il expliqué, ajoutant que le programme de mise à jour valide désormais à la fois le manifeste et l’installateur, chacun avec des signatures cryptographiques indépendantes. Et toute incompatibilité, signature manquante ou anomalie de certificat entraîne l’abandon automatique de la mise à jour.

« Cette vérification à plusieurs niveaux rend la chaîne de mise à jour résiliente, même face à de futurs compromis au niveau de l’infrastructure », a-t-il conclu.

Une autre attaque contre la chaîne d’approvisionnement

L’une des raisons pour lesquelles la compromission est restée si longtemps indétectable est que seul un petit nombre de téléchargeurs – bien moins de 0,1 % – ont été spécifiquement ciblés par les attaquants, a déclaré Ho, et les attaquants ont été très prudents. « Leur objectif était l’espionnage à long terme », a-t-il noté, « alors ils ont agi discrètement et délibérément pour rester indétectables le plus longtemps possible ».

Compromettre le mécanisme de mise à jour d’une application est un moyen classique pour un acteur malveillant d’infiltrer des dizaines, des centaines ou des milliers d’organisations qui, à leur insu, utilisent ensuite la version piratée du logiciel. L’un des exemples les plus notoires est la compromission en 2019/2020 de l’infrastructure de mise à jour de la suite de surveillance réseau Orion de Solarwinds. Un autre exemple est l’attaque NotPetya de 2017 qui s’est propagée dans le monde entier après le piratage d’une application fiscale ukrainienne.

Le problème Notepad++ a commencé avec la découverte que l’infrastructure informatique hébergeant Notepad++ avait été compromise en juin 2025 et qu’une porte dérobée personnalisée avait été installée dans l’application. Dans cette attaque hautement ciblée, le trafic de certains utilisateurs a été redirigé de manière sélective vers des serveurs contrôlés par les attaquants par les mises à jour malveillantes. Les chercheurs de Rapid7 pensent qu’un groupe basé en Chine, baptisé Lotus Blossom, était à l’origine de l’attaque.

L’ancien fournisseur d’hébergement pense que le serveur d’hébergement partagé a été compromis de juin à septembre 2025. Cependant, même après avoir perdu l’accès au serveur, les attaquants ont conservé les informations d’identification des services internes jusqu’au 2 décembre 2025, permettant ainsi la redirection continue du trafic de mise à jour de Notepad++. Avec la sortie de Notepad++ version 8.8.9 et le renforcement de la sécurité, tout accès des attaquants a pris fin. La version 8.9.1 comportait encore plus d’améliorations de sécurité et la version 8.9.2 de cette semaine a institué le processus de double verrouillage.

Leçons apprises

« Les développeurs doivent anticiper des adversaires patients, sophistiqués et sélectifs », a déclaré Ho. L’infrastructure fait partie de votre surface d’attaque, a-t-il souligné ; même si votre code est sécurisé, un maillon faible dans l’hébergement, le DNS ou un réseau de diffusion de contenu (CDN) peut tout compromettre. « Une surveillance continue et une hygiène stricte des informations d’identification sont essentielles », a-t-il déclaré, et les développeurs d’applications doivent supposer qu’un compromis partiel est possible et concevoir les applications ainsi que leurs mécanismes de livraison et de mise à jour en cas d’échec.

Et en cas de compromis, a-t-il ajouté, une divulgation rapide, des explications techniques détaillées et des correctifs rapides aident les utilisateurs à comprendre la portée et à maintenir leur confiance dans le projet.

Les petits utilitaires comme Notepad++ se situent généralement en dehors des contrôles d’approvisionnement, d’inventaire et de gestion des risques tiers, a-t-il déclaré, c’est pourquoi ils sont omniprésents parmi les utilisateurs techniques et constituent des cibles précieuses pour les adversaires.

« La gestion des actifs et l’inventaire des logiciels constituent un problème perpétuel pour les entreprises, mais cet événement démontre pourquoi il est si important de comprendre tous les logiciels de votre environnement, quelle que soit leur taille », a-t-il déclaré.

Douglas McKee, directeur principal du renseignement sur les vulnérabilités chez Rapid7, a déclaré que l’incident de la chaîne d’approvisionnement Notepad++ souligne une évolution plus large dans la façon dont les acteurs de la menace envisagent la confiance et la persistance des logiciels. Bien que les mises à jour du mécanisme de distribution Notepad++ et la sortie de la version 8.9.2 avec une sécurité améliorée des mises à jour à double verrouillage aident à éliminer la vulnérabilité spécifique exploitée dans cette campagne, elles ne résolvent pas à elles seules le problème systémique du risque de la chaîne d’approvisionnement moderne.

« Ce que cet incident montre clairement, et ce que les organisations doivent internaliser, c’est que la sécurité de la chaîne d’approvisionnement ne peut pas se limiter au code source et aux systèmes de construction », a-t-il déclaré. « Les attaquants ont ciblé l’infrastructure d’hébergement et les flux de livraison des mises à jour en dehors du contrôle direct du projet. Ce n’est qu’en renforçant la validation des signatures et des certificats et en traitant l’infrastructure de mise à jour comme faisant partie de la surface d’attaque que les défenseurs pourront réduire de manière significative l’exposition. »

VulnérabilitésSécuritéCybercriminalitéDéveloppement de logicielsDéveloppeurs

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

Audience sitting and attentively listening to a speaker during a business conference. The image captures a professional atmosphere with engaged participants.
5 priorités clés pour votre agenda RSAC 2026
SpyCloud’s 2026 Identity Exposure Report Reveals Explosion of Non-Human Identity Theft
Le rapport 2026 sur l’exposition des identités de SpyCloud révèle une explosion du vol d’identité non humaine
A photograph of a row of Ethernet cables plugged into ports, with a warning sign illuminated above one of the ports.
Une vulnérabilité Telnet ouvre la porte à l’exécution de code à distance en tant que root