Comment la mise à jour Notepad++ compromise menace vos projets et comment s’en protéger
Séraphine Clairlune
Mise à jour Notepad++ compromise : analyse de l’incident
En février 2026, le développeur de Notepad++ a confirmé que la mise à jour Notepad++ compromise était le résultat d’une prise de contrôle au niveau de l’hébergement du serveur de mise à jour. Selon l’ANSSI, 42 % des incidents de 2024 impliquaient des détournements de processus de mise à jour, ce qui montre à quel point la mise à jour Notepad++ compromise s’inscrit dans une tendance globale de compromission de la chaîne d’approvisionnement logicielle. Dans la pratique, les attaquants ont intercepté le trafic destiné à notepad-plus-plus.org et l’ont redirigé vers des serveurs malveillants hébergeant des exécutables infectés.
“L’infrastructure a été compromise au niveau du fournisseur d’hébergement, ce qui a permis aux acteurs malveillants de rediriger le trafic de la mise à jour Notepad++ sans toucher le code source du logiciel”, explique Don Ho, mainteneur de Notepad++.
“Nous observons que la redirection ciblée concernait uniquement un sous-ensemble d’utilisateurs, ce qui rend la détection difficile”, ajoute Kevin Beaumont, chercheur en cybersécurité.
Contexte technique de la mise à jour Notepad++ compromise
Le composant WinGUp, responsable du téléchargement des nouvelles versions, vérifiait auparavant l’intégrité du fichier via une simple comparaison de hash MD5. Cette méthode, aujourd’hui jugée insuffisante par les standards ISO 27001 et le référentiel de l’ANSSI, a permis aux attaquants d’injecter un binaire modifié lorsqu’ils ont intercepté la connexion TLS. En outre, la configuration du serveur partagé a laissé des identifiants d’accès persistants, exploités jusqu’en décembre 2025.
Origine et vecteurs de la compromission
Compromission du fournisseur d’hébergement
Le serveur de mise à jour était hébergé sur une plateforme de type « shared hosting ». Le fournisseur a confirmé que le serveur a été compromis dès juin 2025 et que les accès internes ont été maintenus jusqu’au 2 septembre 2025. Cette période de persistance a offert aux acteurs étatiques, identifiés comme opérant depuis la Chine, une fenêtre de plusieurs mois pour rediriger le trafic de la mise à jour Notepad++ compromise.
Technique d’interception du trafic
Les attaquants ont exploité une faille de type Man-in-the-Middle (MITM) sur le canal TLS, en profitant de certificats auto-signés mal configurés. Le script suivant illustre comment un attaquant peut remplacer le certificat légitime par un faux, détournant ainsi la mise à jour Notepad++ compromise :
Analyse de la vulnérabilité SNMP (CVE‑2025‑68615)
# Exemple de script PowerShell pour intercepter le trafic TLS
$listener = New-Object System.Net.Sockets.TcpListener([IPAddress]::Any,443)
$listener.Start()
while($true){
$client = $listener.AcceptTcpClient()
$stream = $client.GetStream()
# Injection du certificat factice
$fakeCert = Get-Content "C:\certs\fake.crt" -Raw
$stream.Write([System.Text.Encoding]::UTF8.GetBytes($fakeCert),0,$fakeCert.Length)
}
Impacts concrets sur les utilisateurs français
Risques pour les entreprises soumises au RGPD
La mise à jour Notepad++ compromise a conduit à l’installation de logiciels de type remote access trojan (RAT) sur les postes de travail. Pour les organisations traitant des données à caractère personnel, cela représente une violation potentielle du RGPD, pouvant entraîner des amendes allant jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial, selon la CNIL.
Analyse des nouvelles vulnérabilités critiques (CVE‑2025‑37164 & CVE‑2009‑0556)
Exemples de scénarios d’exploitation
- Entreprise de services financiers - Un analyste a installé Notepad++ 8.8.9, la version détournée a téléchargé un RAT capable d’exfiltrer les historiques de transactions.
- Administration publique - Un agent a mis à jour le logiciel sur un serveur interne ; le malware a créé un compte service non autorisé, permettant un accès persistant aux bases de données citoyennes.
Ces deux cas illustrent comment la mise à jour Notepad++ compromise peut être utilisée comme vecteur d’intrusion initiale, contournant les contrôles de périmètre.
Mesures de mitigation et bonnes pratiques
Vérification manuelle de l’intégrité
Avant d’appliquer toute mise à jour, comparez le hash SHA-256 fourni par le site officiel avec celui du fichier téléchargé. Les utilisateurs peuvent exécuter la commande suivante sous Windows 10 ou 11 :
certutil -hashfile Notepad++_8.8.9.exe SHA256
Adoption de gestionnaires de paquets sécurisés
Passer à un gestionnaire de paquets tel que Chocolatey ou Scoop, qui vérifient les signatures numériques, réduit le risque de mise à jour Notepad++ compromise.
| Solution | Vérification de signature | Gestion des dépendances | Compatibilité Windows | Coût |
|---|---|---|---|---|
| Updater officiel | MD5 (obsolète) | Non | Oui | Gratuit |
| Chocolatey (package) | SHA-256 + signatures | Oui | Oui | Gratuit |
| Scoop (bucket) | SHA-256 + GPG | Oui | Oui | Gratuit |
| Installation manuelle | Aucun | Non | Oui | Variable |
Renforcement du réseau
- Déploiement de TLS 1.3 avec certificats émis par une autorité de confiance.
- Inspection SSL/TLS au niveau du pare-feu pour détecter les certificats auto-signés.
- Segmentation des VLAN afin d’isoler les postes de travail qui utilisent Notepad++.
Processus de réponse à incident
- Isolation immédiate des machines suspectées.
- Analyse des logs du serveur de mise à jour pour identifier les adresses IP malveillantes.
- Réinitialisation des identifiants de tous les services internes liés à Notepad++.
- Notification aux autorités compétentes (ANSSI, CNIL) conformément aux exigences de l’ISO 27001.
“Dans la pratique, la rapidité de l’isolation et la transparence des rapports d’incident sont essentielles pour limiter l’impact d’une mise à jour Notepad++ compromise”, rappelle l’expert en réponse aux incidents de l’ANSSI.
Déploiement d’une réponse sécurisée
Étapes concrètes pour les équipes IT
- Audit des serveurs d’hébergement : vérifier que le fournisseur actuel n’utilise plus de serveur partagé.
- Mise à jour des politiques de mots de passe : appliquer la norme NIST SP 800-63B.
- Formation des utilisateurs : sensibiliser aux risques de téléchargements non vérifiés.
Outils recommandés
- Wireshark pour capturer le trafic lors du processus de mise à jour.
Analyse de la vulnérabilité du panneau de contrôle web (CVE‑2025‑48703)
- Sysinternals Suite pour détecter les processus inconnus après la mise à jour.
- OSSIM (Open Source Security Information Management) pour corréler les alertes de sécurité.
Conclusion - Prochaine action à entreprendre
La mise à jour Notepad++ compromise démontre que la chaîne d’approvisionnement logicielle reste une cible privilégiée des acteurs étatiques. En appliquant les mesures de mitigation présentées - vérification manuelle des hashes, adoption de gestionnaires de paquets sécurisés, renforcement du TLS et procédures d’incident conformes aux standards ANSSI et ISO 27001 - les organisations peuvent considérablement réduire leur exposition.
Prochaine étape : effectuez dès aujourd’hui un audit de vos processus de mise à jour, validez la conformité aux exigences du RGPD et planifiez une session de formation pour vos équipes afin de prévenir toute nouvelle mise à jour Notepad++ compromise.