Le célèbre éditeur de code Notepad++ a été victime d’une campagne de piratage sophistiquée orchestrée par un groupe étatique chinois. Pendant six mois, le mécanisme de mise à jour officiel a été manipulé pour distribuer des logiciels malveillants à des cibles spécifiques, sans que le code source du logiciel ne soit lui-même altéré.
L’essentiel
- Compromission : les attaquants ont piraté l’infrastructure d’hébergement du site, et non le code du logiciel lui-même.
- Cibles : l’opération visait spécifiquement les secteurs des télécommunications et de la finance en Asie de l’Est.
- Durée : l’accès frauduleux a persisté de juin à décembre 2025, malgré une maintenance intermédiaire.
- Action requise : vérifier la signature numérique des installateurs si une mise à jour a été effectuée durant cette période.
Don Ho, le développeur principal de Notepad++, a confirmé début février 2026 une attaque d’envergure touchant l’utilitaire utilisé par des millions de développeurs. Contrairement aux incidents classiques de « supply chain », les pirates n’ont pas injecté de code malveillant dans l’application elle-même. Ils ont plutôt pris le contrôle du serveur hébergeant le site officiel pour intercepter le trafic.
Une attaque d’infrastructure, pas de code
La compromission s’est jouée au niveau du fournisseur d’hébergement. Le mécanisme de mise à jour de Notepad++, qui s’appuie sur le composant WinGUp, interrogeait le serveur officiel pour vérifier la disponibilité de nouvelles versions.
En contrôlant ce serveur, les attaquants ont pu intercepter ces requêtes. Au lieu de livrer la mise à jour légitime, ils redirigeaient le trafic vers des serveurs malveillants contrôlés par eux. Cette technique leur a permis de servir des binaires infectés à la place de l’installateur officiel. Comme le souligne une analyse technique détaillée, cette redirection était hautement ciblée : la grande majorité des utilisateurs recevaient le fichier sain, tandis que seules les adresses IP correspondant aux cibles d’intérêt étaient déroutées vers le malware.
Chronologie de l’incident
Pour comprendre la persistance de la menace, voici le déroulé exact des événements confirmés par l’éditeur :
| Période / Date | Événement clé | État de la menace |
| Juin 2025 | Début de l’intrusion sur l’infrastructure d’hébergement. | Actif : Redirection du trafic ciblée. |
| 02 Sept. 2025 | Maintenance de sécurité par l’hébergeur. | Partiel : Accès serveur coupé, mais identifiants volés toujours valides. |
| 02 Déc. 2025 | Révocation finale des accès et identifiants. | Terminé : Les attaquants perdent tout contrôle. |
| Janvier 2026 | Sortie de Notepad++ v8.8.9. | Correction : Durcissement du mécanisme de mise à jour. |
| Février 2026 | Révélation publique de l’incident. | Information : Communication officielle de Don Ho. |
Violet Typhoon à la manœuvre
L’attaque a été attribuée au groupe de menaces persistant (APT) connu sous le nom de Violet Typhoon, également traqué sous l’alias APT31. Ce groupe, lié à l’État chinois, est connu pour ses opérations de cyberespionnage visant les infrastructures critiques et les entités gouvernementales.
Selon les rapports de sécurité, les victimes se concentrent principalement dans les secteurs des services financiers et des télécommunications en Asie de l’Est. L’objectif n’était pas une infection de masse, mais une infiltration chirurgicale pour exfiltrer des données sensibles ou gagner un accès persistant aux réseaux d’entreprise via les postes de développeurs, souvent dotés de privilèges élevés.
Protocole de vérification pour les utilisateurs
Si vous utilisez Notepad++ dans un environnement professionnel, il est recommandé d’effectuer les vérifications suivantes pour écarter tout doute :
- Vérifier la version : assurez-vous d’utiliser la version 8.8.9 ou ultérieure.
- Inspecter la signature numérique :
- Clic droit sur l’exécutable
notepad++.exe> Propriétés. - Onglet Signatures numériques.
- Vérifiez que le nom du signataire est bien « Notepad++ » et que la signature est marquée comme « Valide ».
- Clic droit sur l’exécutable
- Surveillance réseau : si vous opérez dans les secteurs visés (Telco/Finance en Asie), recherchez des connexions sortantes suspectes vers des IP inconnues initiées par le processus de mise à jour (WinGUp) entre juin et décembre 2025.
La réponse : déménagement et durcissement
Face à cette faille critique, l’équipe de Notepad++ a pris des mesures radicales. Le site web a été migré vers un nouveau fournisseur d’hébergement offrant des pratiques de sécurité « significativement plus robustes ».
Parallèlement, la version 8.8.9 a introduit des garde-fous supplémentaires. Le processus de mise à jour vérifie désormais l’intégrité et l’authenticité des paquets téléchargés avec une rigueur accrue, empêchant théoriquement toute substitution de fichier, même en cas de compromission future du serveur de distribution.
FAQ
Si vous avez téléchargé une mise à jour entre juin et décembre 2025 et que vous travaillez dans un secteur sensible en Asie, il existe un risque. Suivez le protocole de vérification de signature numérique détaillé ci-dessus ou réinstallez proprement la dernière version officielle.
Non, il est recommandé de maintenir le logiciel à jour, car la version 8.8.9 corrige justement la vulnérabilité structurelle qui permettait ce détournement. Le nouveau mécanisme de vérification sécurise le processus.
Oui, le code source n’a jamais été altéré. L’incident concernait uniquement l’infrastructure de distribution. Avec le changement d’hébergeur et les correctifs apportés au module de mise à jour, l’utilisation du logiciel reste sûre.
