🛡️Satisfait ou remboursé

Deepthix
← Retour au blog
tech2 février 2026

Notepad++ détourné : l’attaque supply-chain qui vise tes updates

Entre juin et décembre 2025, des acteurs étatiques ont détourné le trafic de mise à jour de Notepad++. Pas de bug dans le code : un hijack d’infra. Voici ce que tu dois changer, maintenant.

Ce qui s’est passé (et pourquoi c’est grave) Notepad++, c’est l’outil “simple” que tout le monde installe sans y réfléchir. Justement : c’est une cible parfaite.

Le 2 février 2026, l’équipe Notepad++ a publié une mise à jour d’incident expliquant qu’un détournement (“hijack”) du mécanisme de mise à jour a touché certains utilisateurs, via une compromission au niveau de l’hébergeur — pas via une vulnérabilité dans le code de Notepad++ lui‑même. Source : page officielle Notepad++ (“Hijacked incident info update”).

Le point clé : des attaquants ont réussi à intercepter et rediriger du trafic de mise à jour destiné à notepad-plus-plus.org, pour servir à certains utilisateurs des manifests d’update malveillants depuis une infra contrôlée par l’attaquant.

C’est une attaque supply-chain, version moderne : tu ne te fais pas pirater parce que tu cliques sur un .exe louche, mais parce que ton logiciel “de confiance” te propose une mise à jour… qui ne vient plus de la bonne source.

La timeline en clair (sans jargon inutile) D’après le billet officiel Notepad++ et l’investigation menée avec des experts externes :

  • Début de l’incident : juin 2025.
  • Le composant en jeu : le script `getDownloadUrl.php`, utilisé par le module de mise à jour (WinGUp) pour récupérer l’URL de téléchargement.
  • Compromission au niveau de l’hébergement partagé : les attaquants avaient un levier “infrastructure” pour manipuler le trafic.
  • Accès à la machine compromise jusqu’au 2 septembre 2025, date d’une maintenance (kernel + firmware) qui semble avoir coupé l’accès. (Déclaration de l’hébergeur reprise par Notepad++.)
  • Mais : des identifiants de services internes seraient restés exploitables jusqu’au 2 décembre 2025, permettant encore des redirections de trafic vers des serveurs malveillants. (Même source.)
  • 9 décembre 2025 : publication de Notepad++ 8.8.9 avec une vérification renforcée autour des mises à jour (selon des résumés d’analystes sécurité, notamment CybersecurityNews).

On parle donc d’une fenêtre d’exposition d’environ 6 mois (juin → décembre 2025), avec une phase “accès direct” puis une phase “accès résiduel via credentials”.

“État-nation” : pourquoi ce n’est pas juste un mot qui fait peur Plusieurs chercheurs ont estimé que l’acteur est probablement sponsorisé par l’État chinois, notamment parce que la campagne était hautement sélective : pas une distribution massive de malware à tout le monde, mais un ciblage fin de certaines victimes. (Synthèse citée par CybersecurityNews ; l’article mentionne aussi l’analyse d’un chercheur décrivant ce ciblage comme très sélectif.)

Ce type de pattern ressemble plus à de l’espionnage (accès durable, discrétion, sélection des cibles) qu’à du cybercrime “rentable” (ransomware à grande échelle).

Traduction business : si tu te dis “je suis trop petit pour intéresser des attaquants”, c’est parfois vrai… jusqu’au jour où tu es dans la chaîne d’approvisionnement d’un acteur plus gros, ou dans un secteur/zone géographique qui intéresse quelqu’un.

Le détail qui tue : ce n’est pas Notepad++ qui a “un bug” C’est important parce que beaucoup d’équipes réagissent mal : elles patchent l’app, mais ne corrigent pas le système.

Ici, le billet officiel est clair : pas de vulnérabilité identifiée dans le code Notepad++. Le problème est l’infrastructure et le canal d’update.

C’est la leçon numéro 1 : ta sécurité ne vaut pas plus que ton maillon le plus “ops” (hébergement, DNS, pipeline de build, distribution, CDN, scripts d’update, etc.).

Et oui : l’open source n’est pas “moins sûr”. Il est juste plus visible. Les mêmes attaques arrivent sur des éditeurs fermés, sauf que tu ne le sauras parfois jamais.

Comment l’attaque a pu marcher : l’angle “update manifest” Le mécanisme décrit : des utilisateurs ciblés étaient redirigés vers des manifests d’update contrôlés par l’attaquant. Une fois que tu contrôles le manifest (ou l’URL renvoyée), tu contrôles ce que le client télécharge.

Des analyses publiques indiquent que les versions antérieures à 8.8.9 ne validaient pas assez strictement la signature / le certificat côté update, ce qui rendait l’interception beaucoup plus dangereuse. (Synthèse CybersecurityNews.)

  • TLS/HTTPS ne suffit pas si l’attaquant est “dans” l’infrastructure (ou peut détourner des routes, un reverse proxy, un service interne).
  • La défense robuste, c’est la vérification cryptographique de bout en bout : même si on te sert un fichier depuis un domaine légitime, le client doit refuser ce qui n’est pas signé correctement.

Impacts réels : qui a été touché ? Selon des rapports relayés par des sources de veille, au moins trois organisations (télécom/finance en Asie de l’Est) auraient confirmé des incidents liés à l’exploitation du mécanisme de mise à jour de Notepad++. (BeyondMachines, via résultats de recherche web fournis.)

  • une attaque sélective laisse moins de traces,
  • beaucoup d’organisations ne publient pas leurs incidents,
  • et les endpoints “hors inventaire” (PC perso, VM oubliées) sont des trous noirs.

Ce que tu dois faire si tu utilises Notepad++ en entreprise On passe en mode action.

1) Mets à jour… mais proprement - Passe au minimum à 8.8.9 (ou mieux : la dernière version stable). Les correctifs autour de la validation des updates comptent. - Si tu gères un parc : évite les mises à jour “à la main” par les utilisateurs. Centralise via ton outil (Intune, SCCM, Chocolatey for Business, Winget + politiques, etc.).

2) Coupe les updates automatiques là où tu ne maîtrises pas Sur des postes sensibles : - désactive l’auto-update, - impose des updates via un dépôt interne, - et garde un rythme de patch mensuel (ou plus si exposition).

C’est moins “user-friendly”, mais c’est le prix de la maîtrise.

3) Vérifie la signature des binaires (et automatise-le) Concrètement : - vérifie que l’exécutable Notepad++ est signé et que la chaîne de certificat est valide, - hash + allowlist des versions approuvées.

  • un script PowerShell qui check la signature + le hash,
  • un job qui remonte les écarts dans ton SIEM.

4) Surveille les connexions sortantes “bizarres” Une attaque via update se voit souvent après coup via : - connexions sortantes vers des domaines inconnus, - téléchargements d’exécutables depuis des URLs non standard, - exécution de nouveaux binaires dans %TEMP%.

Si tu n’as pas d’EDR, commence petit : logs Windows + Sysmon + une règle de détection simple.

Si tu es mainteneur d’un logiciel : le plan anti-hijack (pragmatique) Notepad++ n’est pas le dernier projet à se faire viser. Si tu maintiens un outil (open source ou non), voici une checklist sans bullshit.

1) Arrête l’hébergement “shared” pour les composants critiques Le billet Notepad++ pointe clairement un risque : l’hébergement partagé.

  • tu partages des ressources,
  • tu dépends de la sécurité d’un tiers,
  • et une compromission peut toucher plusieurs clients.
  • sépare site vitrine et infrastructure d’update,
  • isole l’update sur une infra dédiée,
  • limite les permissions au strict minimum.

2) Signature obligatoire + pinning côté client Ton updater doit refuser : - un manifest non signé, - un binaire non signé, - une signature valide mais émise par un certificat inattendu (selon ton modèle de trust).

3) Reproductible, traçable, auditable - builds reproductibles si possible, - SBOM, - attestations (SLSA, Sigstore) : pas pour cocher une case, mais pour rendre la falsification plus coûteuse.

4) Incident response prêt avant l’incident Notepad++ a mis en place un plan IR avec des experts et a facilité la communication avec l’hébergeur : c’est exactement ce qu’il faut.

  • un contact sécurité public,
  • une procédure de rotation des clés/certificats,
  • une capacité à couper l’update rapidement.

Le vrai enseignement pour les entrepreneurs : ton risque n’est pas “l’IA”, c’est l’ops mal maîtrisé On te vend souvent la peur : “l’IA va pirater ton business”. La réalité : la plupart des incidents viennent de trucs beaucoup plus terre‑à‑terre : - dépendances, - updates, - accès partagés, - credentials qui traînent, - absence de monitoring.

Si tu es fondateur ou dirigeant de PME, ton levier #1 c’est : standardiser et automatiser.

  • inventaire automatique des logiciels installés (et alertes sur versions vulnérables),
  • pipeline interne de distribution des apps approuvées,
  • vérification automatique de signature/hash avant déploiement,
  • playbooks IR (désactivation d’updates, rotation des secrets, blocage DNS).

Tu gagnes du temps, tu réduis le risque, et tu arrêtes de dépendre des “process” lourds vendus par des cabinets overpriced.

Sources (à lire si tu veux les détails) - Notepad++ — “Hijacked by State-Sponsored Hackers” (02/02/2026) : https://notepad-plus-plus.org/news/hijacked-incident-info-update/ - Notepad++ — annonce v8.8.9 (référence dans le billet) : https://notepad-plus-plus.org/news/v889-released/ - Synthèse et éléments de contexte : CybersecurityNews (02/02/2026) https://cybersecuritynews.com/notepad-hijacked/

---

Tu veux automatiser tes opérations avec l'IA ? Réserve un call de 15 min pour en discuter.

Notepad++supply chain attackWinGUpupdate hijackingcybersecurity

Tu veux automatiser tes opérations ?

Discutons de ton projet en 15 minutes.

Réserver un call