Notepad++ affecté par une faille exploitée par de probables acteurs étatiques
L’éditeur de texte Notepad++ a révélé une compromission de l’infrastructure de son ancien hébergeur mutualisé. L’attaque, attribuée à de probables acteurs soutenus par la Chine, a permis de rediriger certains utilisateurs vers des serveurs malveillants susceptibles de fournir des mises à jour compromises.
L'éditeur de texte open source Notepad++ a indiqué avoir été la cible d’une attaque sophistiquée reposant sur la compromission de l’infrastructure de son ancien hébergeur mutualisé. Selon les analyses menées avec des experts externes, des acteurs malveillants, probablement étatiques, ont pu intercepter et rediriger, de manière sélective, le trafic de mise à jour destiné au site notepad-plus-plus.org.
Selon l’article publié par l’éditeur, l’enquête montre que l’attaque ne reposait pas sur une vulnérabilité du code de Notepad++, mais sur un accès au niveau de l’hébergeur. Dans ce scénario, les attaquants modifiaient les manifestes de mise à jour (des fichiers indiquant au logiciel où télécharger la nouvelle version), afin de rediriger certains utilisateurs vers des serveurs malveillants contrôlés par eux. Les attaquants auraient été en mesure de renvoyer des URL de téléchargement pointant vers des mises à jour compromises, hébergées sur leurs propres serveurs (sans qu’il soit établi que de tels fichiers aient effectivement été installés par des utilisateurs).
Selon les précisions de Notepad++, plusieurs chercheurs indépendants estiment que le mode opératoire et le ciblage restreint sont compatibles avec l’activité d’un groupe soutenu par la Chine.
Dans une déclaration transmise au responsable du projet, l’ancien hébergeur indique que le serveur concerné a été compromis jusqu’au 2 septembre 2025, date à laquelle une maintenance incluant des mises à jour du noyau et du micrologiciel aurait interrompu l’accès des attaquants. Toutefois, ces derniers auraient conservé des identifiants de services internes jusqu’au 2 décembre 2025, leur permettant encore de rediriger une partie du trafic de mise à jour.
En réponse, le site de Notepad++ a été migré vers un nouvel hébergeur présenté comme disposant de pratiques de sécurité renforcées. Le mécanisme de mise à jour WinGup a également été modifié pour vérifier certificats et signatures.
L’actualité IT en Suisse et à l’international, avec un focus sur la Suisse romande, directement dans votre boîte mail > Inscrivez-vous à la newsletter d’ICTjournal, envoyée du lundi au vendredi!
