La communauté Notepad + + a reçu cette semaine la confirmation d'un incident que beaucoup craignaient déjà : depuis plusieurs mois le trafic de mise à jour de l'éditeur a été enlevé et certains utilisateurs ont reçu des manifestes de mise à jour manipulés. Selon le développeur lui-même, le fait a profité d'une faiblesse dans les contrôles d'intégrité du système de mise à jour et a permis aux attaquants de rediriger sélectivement les requêtes vers des serveurs malveillants.
La source du problème, selon la recherche interne et la collaboration avec des experts externes, remonte à juin 2025, lorsqu'un hébergeur hébergeant l'infrastructure de mise à niveau a été engagé. Cette intrusion a fourni aux attaquants la capacité technique d'intercepter et de modifier les réponses de mise à jour uniquement pour certains utilisateurs; Ce n'était pas une distribution massive et aveugle, mais une campagne très sélective..
La façon concrète dont ils ont opéré était d'envoyer une mise à jour XML modifiée et des paquets qui semblaient légitimes au client de mise à jour de Notepad + (WinGup). Il était possible parce que les anciennes versions du système ne vérifiaient pas strictement la signature et les certificats des installateurs et le manifeste de mise à jour. Suite à l'incident, Notepad + + a publié des informations officielles sur ce qui s'est passé et les mesures prises: la note publique du projet contient le calendrier et les mesures prises.
Le vecteur technique n'était pas seulement une porte ouverte dans l'hébergement: quand en septembre le fournisseur a patché le noyau et le firmware, les attaquants ont temporairement perdu l'accès, mais pouvaient réentrer en utilisant des identifiants internes qui avaient déjà été exfiltrés et qui n'avaient pas été renouvelés, ce qui démontre l'importance de la rotation des identifiants après une intrusion. Cette condition a été maintenue jusqu'au 2 décembre 2025, lorsque le fournisseur a finalement détecté l'écart et coupé l'accès de l'agresseur.
L'attribution n'est pas quelque chose qui est annoncé à la légère, mais de nombreux chercheurs indépendants ont souligné que le comportement de l'adversaire - sélectivité, objectifs et sophistication - s'adapte aux tactiques vues dans les campagnes liées aux acteurs de l'État chinois. Cette conclusion, reproduite par plusieurs parties, est la seule Notepad + + citant dans son énoncé comme l'hypothèse la plus cohérente avec les faits observés.
Des chercheurs en sécurité comme Kevin Beaumont ont publiquement mis en garde contre les impacts dans au moins trois organisations et décrit les activités de reconnaissance manuelle dans les réseaux touchés après les infections initiales. Pour ceux qui veulent suivre le travail des spécialistes qui suivent ces types d'incidents, la page de Kevin Beaumont rassemble de nombreux threads et analyses utiles : kevinbeaumont.com. Les médias spécialisés ont également couvert l'affaire et fourni un résumé de la façon dont l'intrusion et la réponse se sont développées.
Notepad + + est un outil libre et open source avec des dizaines de millions d'utilisateurs sur Windows, ce qui rend tout problème dans votre chaîne de mise à jour impact potentiel au-delà de quelques machines. Précisément en raison de ce potentiel de portée, le projet a déplacé tous les clients vers un nouveau fournisseur d'hébergement avec des contrôles plus forts, des qualifications cassées qui pourraient être compromises et corrigés les vulnérabilités exploitées.
En termes techniques, le projet a déjà lancé la version 8.8.9, qui introduit des contrôles de certificat et des signatures sur les installateurs et applique la signature cryptographique à la mise à jour XML, ce qui réduit considérablement la possibilité qu'un acteur intermédiaire serve des paquets malveillants sans être détecté. En outre, Notepad + + a annoncé que dans la prochaine version 8.9.2 prévoit de forcer la vérification de la signature sur une base obligatoire, une mesure qui augmentera l'obstacle à de tels abus.
Cet incident est un rappel pratique des raisons pour lesquelles la protection de la chaîne d'approvisionnement des logiciels et les bonnes pratiques en matière de gestion de l'identité sont essentielles. Des organismes comme l'Agence américaine pour l'infrastructure et la cybersécurité. Les États-Unis (CISA) fournissent des guides pour sécuriser les chaînes d'approvisionnement et atténuer les risques de mises à jour compromises; il est utile de les examiner pour comprendre les contrôles supplémentaires qui peuvent être appliqués: CISA - Sécurité de la chaîne d'approvisionnement.
Si vous êtes un utilisateur de Notepad + +, la chose la plus importante est de mettre à jour la version qui corrige l'échec et de vérifier les identifiants affichés dans votre propre infrastructure. Notepad + + et les versions publiques recommandent, entre autres mesures, le renouvellement des mots de passe et des clés utilisés dans les services de déploiement et d'hébergement, l'examen et le nettoyage des comptes administratifs (p. ex. sur WordPress s'il est utilisé pour accueillir des mises à jour), et s'assurer que les plateformes critiques appliquent des mises à jour automatiques et vérifient les signatures numériques.
À un niveau plus large, il est recommandé que les gestionnaires de la TI adoptent la signature de code et mettent à jour les politiques de validation de tous les logiciels critiques et mettent en oeuvre la rotation des références et la surveillance continue de l'intégrité. La signature des paquets et la validation cryptographique sont des contrôles qui réduisent considérablement la possibilité qu'un intermédiaire ayant accès au transport de données puisse injecter des logiciels malveillants; les entreprises de certification expliquent en détail comment fonctionne la signature de code et pourquoi elle est essentielle: DigiCert - Signature de code.
Enfin, bien que Notepad + + prétende avoir cessé d'exercer une activité malveillante à la suite de rectification et de migration, le caractère sélectif de la campagne implique que certaines organisations spécifiques peuvent avoir fait l'objet d'un suivi plus poussé après l'engagement de leurs équipes. Si vous pensez que votre organisation a été parmi les personnes touchées, il est sage de procéder à un examen médico-légal des registres et des points finals, de rechercher des indicateurs de latéralité et, en cas de doute, de contacter les professionnels en réponse à des incidents afin d'évaluer la portée et la réparation.
La leçon pour tous est claire : les outils largement utilisés ne sont pas à l'abri des attaques ciblées, et le maintien de processus robustes de signature, de contrôle d'accès et de rotation des références est aussi important que la correction du logiciel. La page Notepad + + et la couverture médiatique spécialisée doivent être consultées afin de suivre les mises à jour officielles sur cette question. Ordinateur de brouillage lorsque les détails et le suivi de l'affaire ont été publiés.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...