Site icon Top Geek Blog

Notepad++ piraté : des mises à jour trafiquées pendant des mois — avez‑vous été infecté(e) ?

Octave

Notepad++ : des serveurs compromis pendant des mois — quelles sont les conséquences pour les utilisateurs ?

La communauté qui gravite autour de Notepad++ a été secouée : pendant plusieurs mois, une partie des mises à jour diffusées vers certains utilisateurs a été interceptée et manipulée par des acteurs malveillants. L’éditeur, Don Ho, en a fait le récit et les investigations ont rapidement confirmé la gravité de l’incident. Revenons point par point sur ce qui s’est passé, qui a été visé, quels risques cela pose et surtout ce que vous devez vérifier si vous utilisez encore ce célèbre éditeur de texte.

Ce qui s’est réellement produit

Les faits, tels que rapportés par l’équipe de Notepad++, indiquent qu’un serveur d’hébergement — utilisé pour la distribution des mises à jour — a été compromis. L’exposition de ce serveur s’étendrait de juin jusqu’au 2 décembre 2025. Pendant cette période, les attaquants ont réussi à rediriger le trafic de certains utilisateurs vers des manifests de mise à jour contrôlés par eux. Résultat : à la place d’un paquet de mise à jour légitime, certaines machines téléchargeaient un exécutable modifié, potentiellement capable d’ouvrir un accès à distance au système infecté.

Le mécanisme employé n’était donc pas une simple usurpation de signature : l’attaque s’appuyait sur une compromission de l’infrastructure d’hébergement et sur l’exploitation des mécanismes de distribution. Les logs et les analyses ont permis d’identifier que la sélection des victimes n’était pas aléatoire, mais ciblée vers des organisations opérant en Asie de l’Est, ce qui oriente les soupçons vers un acteur étatique ou soutenu par un État.

Qui est visé et pourquoi ?

  • Les victimes identifiées appartenaient majoritairement à des organisations liées à l’Asie orientale.
  • La sélection ciblée laisse penser à une opération d’espionnage ou d’accès clandestin, visant des environnements professionnels plutôt que des installations domestiques au hasard.
  • Les indices recueillis (méthodologie, cibles) ont conduit plusieurs observateurs à évoquer la piste d’un groupe lié à l’État chinois, même si l’attribution absolue reste délicate sans preuve publique définitive.
    • Lire  Nos idées sont‑elles en chair et en os ? Le chercheur de DeepMind qui affirme que la pensée n’est pas un logiciel et va bouleverser l’IA

    Cette précision est importante : il ne s’agit pas d’une vaste campagne opportuniste visant tout utilisateur, mais d’une manœuvre réfléchie et sélective, souvent plus dangereuse car plus difficile à détecter.

    Quels risques concrets pour les machines infectées ?

    Les fichiers malveillants distribués pouvaient permettre l’exécution de code arbitraire sur la machine, y compris l’installation d’un accès à distance (Remote Access Trojan) capable de récupérer des frappes clavier, des fichiers, des identifiants ou de déployer d’autres charges malveillantes. Kevin Beaumont, chercheur en sécurité, a signalé que l’une des variantes observées pouvait fournir un accès à la saisie clavier, ce qui rend l’exfiltration d’identifiants particulièrement aisée.

  • Vol d’identifiants et d’informations sensibles.
  • Espionnage des activités (enregistrements de frappe, captures d’écran).
  • Accès persistant pouvant servir à infiltrer des réseaux internes via la machine compromise.

    • La portée exacte dépend évidemment des droits des comptes compromis et du contexte de chaque machine : un poste de recherche, un serveur de build ou une machine d’administration représentera davantage d’enjeux qu’un poste utilisateur lambda.

    Comment l’incident a-t‑il été neutralisé ?

    La compromission a été détectée et l’accès illicite a été coupé le 2 décembre 2025, selon l’hôte concerné. Depuis, plusieurs mesures correctives ont été prises : transfert des clients vers un nouveau serveur, correction des vulnérabilités détectées, rotation de tous les identifiants potentiellement exposés, et renforcement des mécanismes de contrôle pour les processus de mise à jour. Notepad++ recommande désormais, pour éviter tout risque, d’utiliser au minimum la version 8.8.9 en provenance du site officiel.

    Que doivent vérifier les utilisateurs immédiatement ?

  • Vérifier la version de Notepad++ installée et, si nécessaire, mettre à jour manuellement depuis le site officiel.
  • Contrôler la présence de processus suspects liés à l’updater : fichiers comme gup.exe, update.exe ou AutoUpdater.exe dans le dossier TEMP peuvent indiquer une activité malveillante.
  • Scanner la machine avec un antivirus/EDR à jour pour détecter toute présence d’un RAT ou de composants implantés.
  • Vérifier les logs réseau et comportementaux si vous administrez des postes d’entreprise, afin d’identifier des connexions sortantes anormales vers des serveurs inconnus.
  • Changer les mots de passe et clés SSH/FTP si ces services ont été utilisés sur l’hôte affecté, par précaution.
    • Lire  L’Italie sans stratégie cyber nationale : le chaos institutionnel qui met nos infrastructures en danger

    L’éditeur a clairement recommandé aux utilisateurs de télécharger directement la version minimale sûre depuis le site officiel et de ne pas faire confiance aux copies non officielles du logiciel qui circulent parfois sur des dépôts tiers.

    Leçon de fond : confiance et vérification dans la chaîne de distribution

    Cette affaire illustre un point critique de la sécurité logicielle : la chaîne de distribution (build, hébergement, signature et diffusion) est une cible stratégique. Même des logiciels largement utilisés et réputés peuvent être compromis si un maillon faible est exploité. Pour les organisations, la pratique conseillée est simple sur le principe mais exigeante en praxis : ne pas se reposer aveuglément sur les updates automatiques, contrôler les signatures des paquets (lorsque possible), maintenir des mécanismes de détection et de réponse en cas d’anomalie, et conserver des procédures de restauration et d’audit.

    Contexte historique et relations tendues

    Il est utile de rappeler que Notepad++ et son auteur ont déjà eu des démêlés avec des autorités ou des groupes en lien avec le gouvernement chinois, notamment à la suite de positions politiques prises par l’éditeur. Cela n’explique pas tout, mais ajoute une dimension contextuelle à la suspicion d’une origine étatique de l’attaque. Les attaques ciblées contre des projets open source ou logiciels à large diffusion ne sont pas nouvelles, mais elles montrent encore une fois combien la sécurité des infrastructures d’hébergement est cruciale.

    Mesures à moyen terme pour les équipes et les entreprises

  • Auditer la chaîne de mise à jour des logiciels critiques et considérer des mécanismes de signature et vérification indépendants.
  • Mettre en place un monitoring réseau orienté détection d’exfiltration et connexions vers IPs/sous‑domaines inconnus.
  • Éduquer les équipes sur les risques liés à des binaires tiers et adopter des politiques stricte de whitelisting lorsque possible.
    • Lire  Jouets IA : une faille monstrueuse a laissé 50 000 conversations d’enfants accessibles — la vérité qui fait froid dans le dos

    En l’état, la bonne nouvelle est que la compromission a été identifiée et neutralisée et que des mesures correctives ont été mises en place. Reste à chaque utilisateur et organisation de faire leur part : vérifier, mettre à jour à partir de sources officielles, auditer et, si besoin, procéder à des contrôles plus approfondis pour s’assurer qu’aucune porte dérobée n’a été laissée ouverte.

    Quitter la version mobile