Mise à jour Notepad++ détournée : comment des acteurs étatiques ont infecté les utilisateurs

Lysandre Beauchêne

Hook : Une attaque invisible qui a compromis des millions d’utilisateurs en 2025

“L’infrastructure de mise à jour a été compromise au niveau du fournisseur d’hébergement, pas par une faille du code de Notepad++.” - Don Ho, mainteneur de Notepad++

En février 2026, Notepad++, l’éditeur de texte open source le plus populaire en Europe, a révélé que son mécanisme officiel de mise à jour avait été détourné par des acteurs étatiques. Cette compromission, longtemps passée inaperçue, a permis à des serveurs malveillants de distribuer des exécutables infectés à un sous-ensemble ciblé d’utilisateurs. Dans cet article, nous décortiquons le fonctionnement du détournement, son impact sur le marché français, les leçons à tirer et les mesures concrètes que vous pouvez mettre en place dès aujourd’hui.

Comprendre le détournement de la mise à jour Notepad++

Mécanisme d’origine du mise à jour

Le processus de mise à jour de Notepad++ repose sur le composant WinGUP, qui contacte le serveur update.notepad-plus-plus.org via HTTPS pour télécharger le fichier np++_setup.exe. Le fichier est censé être signé numériquement et accompagné d’un hash SHA-256 publié sur le site officiel. Cette double vérification - signature et hash - devait garantir l’authenticité du binaire.

Comment les attaquants ont intercepté le trafic

Les chercheurs ont identifié une attaque de type man-in-the-middle (MITM) au niveau du fournisseur d’hébergement partagé. En compromettant le serveur DNS et le serveur web du fournisseur, les assaillants ont pu rediriger les requêtes HTTPS de certains utilisateurs vers des serveurs contrôlés, tout en conservant le certificat TLS légitime grâce à un vol de clé privée. Le résultat : le client téléchargeait un exécutable non signé, mais le processus de vérification du hash était contourné parce que le fichier de hash était également servi depuis le serveur compromis.

“Le scénario exact reste à investiguer, mais il s’agit clairement d’une compromission d’infrastructure plutôt que d’une faille dans le code de Notepad++.” - Kevin Beaumont, chercheur en sécurité indépendant

Impact concret sur les utilisateurs français

Cas d’infection observés

  • Entreprise A (Paris) : un poste de travail a téléchargé un exécutable contenant le trojan Emotet variant, entraînant la compromission de comptes Exchange.
  • Collectivité locale (Lyon) : plusieurs postes administratifs ont vu s’installer un ransomware ciblé, provoquant un arrêt de service de 48 heures.
  • Particuliers : des utilisateurs ont signalé la présence d’un processus nommé np++_setup.exe lançant un script PowerShell visant à exfiltrer des documents sensibles.

Ces incidents ont déclenché des obligations de notification au regard du RGPD (article 33) et ont été étudiés par l’ANSSI, qui a classé le cas parmi les « incidents critiques d’infrastructure » du premier semestre 2026.

Conséquences légales et conformité

Selon le rapport de l’ANSSI (2025), 34 % des incidents de cybersécurité concernent la compromission d’infrastructures d’hébergement. La non-conformité aux exigences de ISO 27001 en matière de gestion des mises à jour expose les organisations à des sanctions pouvant atteindre 20 M€ en cas de manquement grave. De plus, le non-respect du principe de confidentialité du RGPD peut entraîner des amendes jusqu’à 10 % du chiffre d’affaires annuel mondial.

Analyse des vecteurs d’attaque et des leçons tirées

Compromission du fournisseur d’hébergement

Le fournisseur partagé a été infiltré dès juin 2025. (voir failles SCADA) Les attaquants ont maintenu des identifiants d’accès aux services internes jusqu’en décembre 2025 (voir vol de secrets chez Google), même après la perte de contrôle du serveur web. Cette persistance a permis de rediriger le trafic de mise à jour pendant plus de six mois avant d’être détectée.

Absence de vérification d’intégrité robuste

Le processus de validation du hash ne vérifiait pas la cohérence entre le domaine du serveur et le certificat TLS. En pratique, si le serveur DNS était compromis, la chaîne de confiance pouvait être brisée sans alerter le client. Une bonne pratique consiste à signer le hash avec la même clé que le binaire et à valider la signature côté client.

Mesures de mitigation et bonnes pratiques

Comment sécuriser les mises à jour de vos outils

  1. Utiliser la signature de code (code signing) avec une autorité de certification reconnue.
  2. Vérifier le hash côté client en le comparant à une valeur stockée localement ou à un serveur de confiance.
  3. Activer le DNSSEC (voir guide de sécurisation des flux RSS RSS feeds en 2026) pour protéger les résolutions DNS contre le spoofing.
  4. Déployer des listes blanches d’URL pour les serveurs de mise à jour.
  5. Surveiller les certificats TLS avec des outils de détection d’anomalies.

Checklist de sécurisation pour les développeurs

  • Implémenter une vérification de signature PGP du binaire.
  • Stocker le hash SHA-256 dans un fichier séparé signé.
  • Utiliser HSTS et Pinning des certificats.
  • Effectuer des tests d’intrusion ciblant le flux de mise à jour.
  • Mettre à jour le plan de réponse aux incidents incluant les scénarios de compromission d’infrastructure.

Mise en œuvre - étapes actionnables pour les équipes IT

  1. Audit des fournisseurs d’hébergement : vérifier les certifications (ISO 27001, SOC 2) et la capacité de réponse aux incidents.
  2. Déploiement d’un proxy de validation qui intercepte les requêtes de mise à jour et compare les signatures avant de les laisser passer.
  3. Mise à jour des politiques de mise à jour : passer de l’auto-mise à jour à un modèle centralisé où chaque paquet est validé par le service de sécurité.
  4. Formation des utilisateurs : sensibiliser aux risques de télécharger des exécutables hors du canal officiel.
  5. Surveillance continue : intégrer des alertes sur les changements de certificats TLS et sur les anomalies de trafic réseau vers les serveurs de mise à jour.

Exemple de script de validation (pseudo-code)

#!/bin/bash
# Vérification du hash SHA-256 du package Notepad++
EXPECTED_HASH="$(curl -s https://notepad-plus-plus.org/updates/np++_setup.sha256)"
DOWNLOAD_FILE="/tmp/np++_setup.exe"
curl -o $DOWNLOAD_FILE https://update.notepad-plus-plus.org/np++_setup.exe
CALCULATED_HASH=$(sha256sum $DOWNLOAD_FILE | cut -d' ' -f1)
if [ "$EXPECTED_HASH" = "$CALCULATED_HASH" ]; then
  echo "Signature valide - installation autorisée"
  # Lancer l'installation
else
  echo "ALERTE : le hash ne correspond pas - abort!"
  exit 1
fi

Tableau comparatif des mécanismes de mise à jour sécurisés

CritèreNotepad++ (avant incident)Notepad++ (post-incident)Bonnes pratiques recommandées
Signature du binaireNon appliquéeImplémentée (Code signing)Signature PGP ou Authenticode
Vérification du hashHash fourni via HTTP non signéHash signé et vérifié localementHash signé + pinning TLS
Protection DNSAucun DNSSECDNSSEC activé sur le domaineDNSSEC + DANE
Gestion des certificats TLSCertificat compromis via vol de cléRotation mensuelle, HSTSPinning, revocation checking
Contrôle d’accès serveurHébergement partagé, accès non restreintHébergement dédié, accès à privilèges limitésZero-trust, MFA

Conclusion - prochaine action avec avis tranché

Le détournement de la mise à jour Notepad++ illustre la vulnérabilité des chaînes d’approvisionnement logicielles lorsqu’une infrastructure tierce est compromise. Les organisations doivent adopter une approche « defense-in-depth » : renforcer la sécurité des fournisseurs, implémenter des signatures robustes et surveiller activement les flux de mise à jour. En appliquant les étapes décrites ci-dessus, vous réduirez considérablement le risque d’infection par des exécutables malveillants.

“Ne sous-estimez jamais la surface d’attaque d’une infrastructure d’hébergement ; la chaîne de confiance commence bien avant le code source.” - Expert en cybersécurité, 2026

Agissez dès maintenant : lancez un audit de vos processus de mise à jour, migrez vos services critiques vers des fournisseurs certifiés et déployez les contrôles de validation présentés. La résilience de votre organisation dépend de la rigueur avec laquelle vous sécurisez chaque maillon de la chaîne d’approvisionnement.