Nous sommes beaucoup à utiliser le populaire éditeur de texte Notepad++ sous windows, avec ses fonctionnalités d'édition de code et de coloration syntaxique, logiciel libre qui remplace avantageusement l'éditeur de texte par défaut de Windows, très limité (même si la version windows 11 a été améliorée).
Or, le principal développeur du logiciel, Don Ho, a révélé lundi 2 Février, que le serveur de mises à jour avait été compromis, de Juin au 2 Décembre dernier. L'attaque aurait été très ciblée, et attribuée par le laboratoire de sécurité Rapid7 à un groupe qui aurait agi pour un état, la Chine en l’occurrence, Lotus Blossom. Les fichiers eux-même n'auraient pas été modifiés, mais certaines requêtes d'update, détournée vers un serveur rogue, pour installer une porte dérobée, Chrysalis.
Or, par défaut, l'installation de Notepad++ active par défaut l'auto update, donc beaucoup d'installations peuvent être susceptibles d'être victime une telle attaque.
Kaspersky aurait observé que l'attaque avait ciblé des acteurs au Vietnam, aux Philippines, en Australie et au Salvador :
We observed three different infection chains overall, designed to attack about a dozen machines, belonging to:
- Individuals located in Vietnam, El Salvador, and Australia;
- A government organization located in the Philippines;
- A financial organization located in El Salvador;
- An IT service provider organization located in Vietnam.
https://securelist.com/notepad-supply-chain-attack/118708/Pour l'anecdote, Rapid7 a noté l'utilisation d'un outil Microsoft que je ne connaissais pas, Warbird, qui servirait à Microsoft pour masquer l'exécution de certains scripts, comme ceux utilisés pour activer les licences, et qui aurait été diffusé par erreur par un développeur Microsoft en Juin 2024.
Rapid7 note aussi l'utilisation de l'outil NSIS, qui serait caractéristique du groupe chinois Lotus Blossom.
La compromission aurait été stoppée le 2 Décembre dernier, et les versions de Notepad++, depuis la version 8.8.8, et notamment la dernière, le 8.9.1, seraient sûres.
Le développeur a depuis changé d'hébergeur, et renforcé le contrôle des updates, en les signant avec un certificat officiel Digicert, plutôt qu'avant un certificat autosigné.
Voir par exemple, le site développez.com :
Notepad++ visé par une tentative de détournement : un groupe soutenu par l'État chinois a tenté d'intercepter et de rediriger le trafic de mise à jour
Selon l'analyse post-mortem de chercheurs en sécurité
Le 3 février 2026 à 10:12, par Stéphane le calme
Projet emblématique de l’open source et outil quasi omniprésent sur les postes Windows des développeurs, Notepad++ a récemment été la cible d’un incident de sécurité sérieux, impliquant une tentative de détournement de son site officiel. Sans compromission du code ni diffusion de versions malveillantes, l’événement met néanmoins en lumière une réalité que même les projets les plus respectés ne peuvent plus ignorer : l’open source est devenu une cible stratégique pour les attaquants.
Notepad++ est principalement développé et géré par une seule personne, Don Ho, qui en est le créateur et le mainteneur principal depuis le début du projet. Bien qu'il s'agisse d'un logiciel libre (open source), Don Ho centralise les décisions et l'avancement du développement.
Dans sa communication officielle, Don Ho détaille une tentative de prise de contrôle de certains éléments de son infrastructure web. L’attaque visait principalement la chaîne de diffusion de l’information, autrement dit le site officiel utilisé par des millions d’utilisateurs pour télécharger le logiciel et suivre les annonces du projet. Le terme de « hijacking » n’est pas choisi au hasard : l’objectif apparent était bien de détourner la confiance accordée à la plateforme plutôt que d’attaquer directement le code source.
Ce point est essentiel pour comprendre la gravité potentielle de l’incident. Dans l’écosystème logiciel actuel, compromettre un site officiel peut suffire à diffuser des binaires piégés, des liens frauduleux ou des messages trompeurs, sans jamais toucher au dépôt Git ni aux processus de build. Autrement dit, l’attaque de la vitrine peut être aussi dangereuse que celle de l’atelier.
Ce qui a été touché, et ce qui ne l’a pas été
Don Ho insiste sur un élément rassurant : aucune version du logiciel n’a été compromise, aucun code malveillant n’a été injecté dans les binaires distribués, et les mécanismes de signature n’ont pas été altérés. Les dépôts, les releases et la chaîne de compilation sont restés intacts.
En revanche, l’incident révèle des failles potentielles dans la gestion des services annexes, souvent moins surveillés que le cœur du projet. Hébergement web, comptes d’administration, fournisseurs tiers, DNS ou outils de publication constituent aujourd’hui des points d’entrée privilégiés. Ce sont précisément ces zones grises, parfois considérées comme secondaires, qui attirent les attaquants lorsqu’un projet bénéficie d’une forte notoriété.
« Suite à la divulgation de la faille de sécurité publiée dans l'annonce de la version 8.8.9, l'enquête s'est poursuivie en collaboration avec des experts externes et avec la pleine participation de mon (désormais ancien) fournisseur d'hébergement mutualisé.
« Selon l'analyse fournie par les experts en sécurité, l'attaque a impliqué une compromission au niveau de l'infrastructure qui a permis à des acteurs malveillants d'intercepter et de rediriger le trafic de mise à jour destiné à notepad-plus-plus.org. Le mécanisme technique exact fait toujours l'objet d'une enquête, mais la compromission s'est produite au niveau du fournisseur d'hébergement plutôt que par le biais de vulnérabilités dans le code Notepad++ lui-même. Le trafic provenant de certains utilisateurs ciblés a été redirigé de manière sélective vers des manifestes de mise à jour malveillants contrôlés par les attaquants.
« L'incident a débuté en juin 2025. Plusieurs chercheurs en sécurité indépendants ont estimé que l'auteur de la menace était probablement un groupe soutenu par l'État chinois, ce qui expliquerait le ciblage très sélectif observé pendant la campagne.
« Un plan d'intervention en cas d'incident (IR) a été proposé par l'expert en sécurité, et j'ai facilité la communication directe entre l'hébergeur et l'équipe IR. »
...
« Remarque sur le calendrier : l'analyse de l'expert en sécurité indique que l'attaque a cessé le 10 novembre 2025, tandis que la déclaration du fournisseur d'hébergement fait état d'un accès potentiel des pirates jusqu'au 2 décembre 2025. Sur la base de ces deux évaluations, j'estime que la période de compromission globale s'est étendue de juin au 2 décembre 2025, date à laquelle tous les accès des attaquants ont été définitivement interrompus.
« Pour remédier à ce grave problème de sécurité, le site web Notepad++ a été transféré vers un nouveau fournisseur d'hébergement appliquant des pratiques de sécurité nettement plus strictes. Au sein même de Notepad++, WinGup (le programme de mise à jour) a été amélioré dans la version 8.8.9 afin de vérifier à la fois le certificat et la signature du programme d'installation téléchargé. De plus, le XML renvoyé par le serveur de mise à jour est désormais signé (XMLDSig), et la vérification du certificat et de la signature sera appliquée à partir de la prochaine version 8.9.2, prévue dans environ un mois
https://securite.developpez.com/actu/379840/Notepadplusplus-vise-par-une-tentative-de-detournement-un-groupe-soutenu-par-l-Etat-chinois-a-tente-d-intercepter-et-de-rediriger-le-trafic-de-mise-a-jour-selon-l-analyse-post-mortem-de-chercheurs-en-securite/Voir aussi les billets de l'auteur :
https://notepad-plus-plus.org/news/hijacked-incident-info-update/https://notepad-plus-plus.org/news/clarification-security-incident/L'analyse de Rapid7 :
https://www.rapid7.com/blog/post/tr-chrysalis-backdoor-dive-into-lotus-blossoms-toolkit/Aussi, l'article de Next.ink :
https://next.ink/brief_article/notepad-revient-sur-le-piratage-de-son-module-de-mise-a-jour-desormais-securise/C'est un exemple d'attaque sur la "supply chain", dont il y a eu quelques exemples dernièrement (par exemple le dépôt NPM du framework Javascript Node.JS, Node.JS Pacakge Manager).
Attaques informatiques