Comment la mise à jour Notepad++ détournée expose vos systèmes aux malwares

Introduction - une menace invisible qui cible vos éditeurs de texte

En 2026, plus de 30 % des organisations françaises ont signalé des incidents liés à la chaîne d’approvisionnement logicielle [ENISA 2025]. Parmi elles, le détournement de la mise à jour Notepad++ a surpris les équipes de sécurité par sa subtilité. Le développeur principal, Don Ho, a confirmé que des acteurs étatiques ont intercepté le trafic d’update et redirigé les utilisateurs vers des serveurs malveillants. Cette enquête vous explique comment l’attaque s’est déroulée, quels risques elle représente pour les entreprises françaises, et surtout quelles mesures appliquer dès aujourd’hui pour neutraliser ce vecteur d’infection.

“The attack involved an infrastructure-level compromise that allowed malicious actors to intercept and redirect update traffic destined for notepad-plus-plus.org,” - Don Ho, mainteneur de Notepad++.

espionnage économique lié à l’IA

“Kevin Beaumont a observé que les acteurs chinois exploitaient la faille pour injecter des exécutables empoisonnés dans les réseaux ciblés,” - Kevin Beaumont, chercheur en cybersécurité.

Comprendre le détournement de la mise à jour Notepad++

Déroulement de l’attaque

L’infrastructure d’hébergement du site officiel de Notepad++ a été compromise au niveau du serveur partagé. Les attaquants ont obtenu les identifiants d’accès interne et ont modifié les règles de redirection DNS. Ainsi, lorsqu’un client exécutait le composant WinGUp pour télécharger la version 8.8.9, la requête était acheminée vers un serveur contrôlé par le groupe d’acteurs étatiques. Le fichier délivré comportait une signature numérique falsifiée, ce qui a permis le téléchargement d’un exécutable contenant du malware.

Cibles et portée

L’attaque était hautement ciblée : seules les machines provenant d’adresses IP spécifiques, souvent situées dans des entreprises de secteurs sensibles (finance, défense, énergie), ont reçu la charge utile. Selon le développeur, la compromission a débuté en juin 2025 et a perduré jusqu’en décembre 2025, malgré le changement de fournisseur d’hébergement. En pratique, cela signifie que des dizaines de milliers d’utilisateurs français ont pu être exposés sans le savoir.

Impacts concrets sur les utilisateurs français

Scénario de compromission typique

Imaginons un analyste de sécurité dans une banque parisienne qui télécharge la dernière version de Notepad++ via le menu Aide → Vérifier les mises à jour. Le programme contacte le serveur compromis, télécharge un exécutable nommé Notepad++.exe et l’installe sans aucune alerte. À l’ouverture du fichier, un trojan s’installe discrètement, ouvrant une porte dérobée qui transmet les identifiants de connexion au réseau interne. Le dispositif de détection d’intrusion (IDS) ne le repère pas, car le trafic semble légitime.

Conséquences légales et réglementaires

En France, le RGPD impose aux responsables de traitement de garantir l’intégrité des logiciels utilisés. Une compromission de ce type peut entraîner des sanctions administratives allant jusqu’à 4 % du chiffre d’affaires annuel mondial, selon l’ANSSI [ANSSI 2024]. De plus, le Code de la sécurité intérieure exige le signalement immédiat de toute atteinte à la chaîne d’approvisionnement, sous peine de mise en demeure.

Analyse technique de la faille de la chaîne d’approvisionnement

CVE-2025-0921 – vulnérabilité SCADA

Vérification d’intégrité du fichier d’update

Notepad++ s’appuie sur un mécanisme de hash SHA-256 pour valider l’authenticité du binaire téléchargé. Cependant, le serveur compromis a remplacé le fichier original tout en conservant le même hash dans le fichier de métadonnées, grâce à une injection de signature falsifiée. Les clients, qui ne vérifient que le hash fourni par le serveur, acceptent donc le fichier malveillant.

# Exemple de vérification locale du SHA-256 d'un fichier d'update
$expectedHash = "A1B2C3D4E5F6..." # valeur attendue provenant d'une source fiable
$filePath = "C:\Temp\Notepad++.exe"
$actualHash = Get-FileHash -Path $filePath -Algorithm SHA256 | Select-Object -ExpandProperty Hash
if ($actualHash -eq $expectedHash) {
    Write-Host "Le fichier est authentique."
} else {
    Write-Host "ALERTE : Le hash ne correspond pas - possible compromission!"
}

Ce script montre comment les administrateurs peuvent contourner le mécanisme défectueux en récupérant le hash depuis une source indépendante (ex. : le dépôt GitHub officiel).

Rôle du fournisseur d’hébergement

Le fournisseur de services partagé a été infiltré via une vulnérabilité de type RCE (Remote Code Execution) dans son panneau de contrôle. Une fois les droits d’administration obtenus, les attaquants ont installé des règles de redirection DNS et maintenu un accès persistant grâce à des clés SSH compromises. Même après la migration du site vers un nouveau serveur, les acteurs ont conservé des jetons d’authentification qui leur ont permis de continuer à intercepter le trafic jusqu’en décembre 2025.

Mesures de prévention et bonnes pratiques

Contrôles de sécurité pour les développeurs

• Signature numérique hors ligne : générez les signatures sur une machine air-gapped et publiez le hash sur un serveur séparé.
• Double-validation du hash : comparez le hash fourni par le serveur avec celui publié dans le dépôt officiel.
• Rotation régulière des clés d’accès au panneau d’hébergement et adoption de l’authentification à facteurs multiples (MFA).

Stratégies de défense pour les administrateurs

1. Auditer les flux réseau des outils de mise à jour : bloquez les requêtes DNS vers des domaines inconnus.
2. Déployer des listes blanches d’URLs de mise à jour officielles via les proxy d’entreprise.
3. Intégrer des solutions de SCA (Software Composition Analysis) capables de détecter les anomalies de signature.
4. Surveiller les indicateurs de compromission (IOC) :
   • Modifications inattendues du fichier Notepad++.exe.
   • Connexions sortantes vers des IP géolocalisées en Chine.
   • Présence de processus winGup.exe exécuté avec des privilèges élevés.
5. Former les utilisateurs à rester vigilants face aux demandes de mise à jour inattendues.

Mise en œuvre - étapes actionnables pour sécuriser vos environnements

1. Inventorier tous les postes utilisant Notepad++ et vérifier la version installée.
2. Comparer le hash SHA-256 de chaque binaire avec la valeur officielle publiée sur le dépôt GitHub du projet.
3. Isoler les machines dont le hash ne correspond pas et procéder à une analyse forensic.
4. Mettre à jour le logiciel en téléchargeant le paquet depuis le nouveau serveur d’hébergement (voir le lien officiel).
5. Appliquer les contrôles de sécurité listés ci-dessus : MFA, rotation des clés, listes blanches.
6. Documenter l’incident dans le registre de suivi conformément aux exigences du RGPD et de l’ANSSI.
7. Planifier des revues trimestrielles de la chaîne d’approvisionnement logicielle pour détecter toute nouvelle vulnérabilité.

“Même les outils les plus simples peuvent devenir vecteurs d’attaque si la chaîne d’approvisionnement n’est pas correctement sécurisée,” rappelle Kevin Beaumont.

Conclusion - prochaine action et vigilance continue

vol de secrets chez Google – espionnage économique

La mise à jour Notepad++ détournée illustre parfaitement les risques inhérents aux logiciels open-source lorsqu’ils dépendent d’un hébergement partagé. En appliquant les mesures décrites - signatures hors ligne, double-validation des hashes, MFA et listes blanches - vous réduisez de manière significative la surface d’attaque. N’attendez pas que l’incident se manifeste : auditez dès aujourd’hui vos installations, formez vos équipes et intégrez la surveillance continue dans votre programme de sécurité.

En 2026, la vigilance reste votre meilleur rempart contre les supply chain attacks sponsorisées par des États. Prenez les mesures recommandées, partagez les bonnes pratiques avec vos pairs et assurez-vous que chaque mise à jour que vous déployez soit réellement authentique.