C’est l’un des éditeurs de texte open source les plus populaires parmi les développeurs du monde entier.
Notepad++ vient de publier les conclusions d’une enquête de plusieurs mois sur une cyberattaque ayant permis de détourner son système de mise à jour entre juin et début décembre 2025.
Dans un article de blog publié sur son site officiel le 2 février 2026, le mainteneur principal du projet revient sur les dessous de cette opération, qui n’a pas exploité une faille dans le code du projet lui‑même, mais une faiblesse dans le mécanisme de mise à jour et l’infrastructure réseau qui l’acheminait.
Le principe de l’attaque de Notepad++
Concrètement, l’attaque reposait sur un détournement de trafic. Lorsque Notepad++ vérifie la disponibilité d’une mise à jour, un programme appelé WinGup contacte un serveur pour savoir s’il existe une nouvelle version, puis télécharge le programme d’installation.
Normalement, cette requête est envoyée vers le site officiel de Notepad++, mais dans cette attaque, les pirates sont parvenus à rediriger, pour certains utilisateurs, cette connexion vers un faux serveur sous leur contrôle.
Très difficile, dans ces conditions, pour l’utilisateur de détecter la moindre compromission : la fenêtre de mise à jour s’affiche normalement, mais renvoie en réalité vers une adresse de téléchargement pointant non pas vers la version légitime, mais plutôt vers un programme piégé.
Pour rendre cela possible, les attaquants ont profité du fait que le mécanisme de mise à jour de Notepad++ ne vérifiait pas assez strictement l’authenticité du fichier reçu, ce qui permettait à quiconque interceptait le trafic de remplacer l’URL de téléchargement par celle d’un exécutable malveillant.
Chronologie et conclusion de l’enquête de Notepad++
Pour remonter la chronologie de l’incident, Notepad++ a choisi de publier une partie de ses échanges avec l’hébergeur compromis. On y apprend que l’attaque a débuté en juin 2025 et que le serveur est resté sous le contrôle des assaillants jusqu’au 2 septembre, date à laquelle une opération de maintenance a mis fin à cet accès direct. Les pirates avaient toutefois récupéré des identifiants de certains services internes de l’hébergeur, ce qui leur a permis d’influencer une partie du trafic jusqu’au 2 décembre, moment où tous ces accès ont été révoqués.
Selon le rapport d’enquête, l’objectif n’était pas d’infecter tous les utilisateurs de Notepad++, mais de mener des attaques ciblées. Les chercheurs en sécurité ayant travaillé sur le dossier estiment que cette campagne a été conduite par un groupe APT probablement lié à l’État chinois.
Pour corriger le problème, Notepad++ a renforcé son mécanisme de mise à jour dans la version 8.8.9 : le programme vérifie désormais la signature du fichier ainsi que le certificat utilisé pour cette signature avant de lancer toute mise à jour, et interrompt la procédure en cas d’anomalie.
Pour les utilisateurs, la priorité est de mettre Notepad++ à jour vers la version la plus récente afin de bénéficier de ces protections, puis de supprimer l’ancien certificat s’il a été installé. L’éditeur présente ses excuses et assure qu’avec la migration d’infrastructure et le durcissement du système de mise à jour, l’incident est désormais contenu.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Toute l'actu tech en un clin d'œil
Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !
Pour ne rien manquer de l’actualité, suivez Numerama sur Google !