Le module de mise à jour de Notepad++ a été exploité dans plusieurs incidents ciblés pour télécharger un exécutable piégé capable de mener des actions de reconnaissance sur les machines visées. Après plusieurs incidents confirmés, le développeur a publié deux correctifs destinés à sécuriser complètement le processus de mise à jour.
L’affaire a commencé par un message inquiet sur le forum communautaire de Notepad++ avant d’être confirmé par des chercheurs et des professionnels confrontés aux mêmes comportements suspects. WinGUp, l’utilitaire interne chargé de récupérer les nouvelles versions du logiciel, téléchargeait occasionnellement un binaire inconnu et l’exécutait comme s’il s’agissait d’un fichier légitime. Le binaire menait en réalité une série de commandes de reconnaissance avant d’exfiltrer les données collectées vers un service tiers. La multiplication des signalements a conduit le développeur du projet à revoir en profondeur la procédure de mise à jour.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
Des hypothèses plausibles, mais aucune explication définitive
D’après les premiers signalements, il se trouvait qu’à la place du package officiel, WinGUp déposait dans le répertoire temporaire un exécutable baptisé AutoUpdater chargé de lancer une série de commandes en vue d’inventorier la machine infectée. Les listes de processus, la configuration système, les connexions réseau et l’identité de l’utilisateur étaient stockées dans un fichier texte, puis transférées vers un service de partage de fichiers déjà exploité dans d’autres campagnes malveillantes au moyen de l’outil curl.exe.
Évidemment, rien dans cette séquence n’avait de lien avec le fonctionnement attendu de WinGUp, qui s’appuie sur une bibliothèque interne et n’utilise jamais curl. Deux hypothèses ont alors émergé. Certains ont d’abord pensé à une installation d’origine douteuse, tandis que d’autres se sont interrogés sur un possible détournement du trafic réseau utilisé pour déterminer l’URL du dernier installeur disponible.
Pour comprendre de quoi il retourne dans ce second cas, il faut savoir que le dispositif de mise à jour de Notepad++ repose sur une requête envoyée au site officiel du projet, qui indique ensuite à WinGUp où récupérer la nouvelle version. En cas d’interception de cette requête, un acteur malveillant peut modifier l’adresse renvoyée et rediriger l’outil vers un exécutable piégé.
Pour l’heure, rien ne permet de statuer sur un vecteur d’infection plutôt qu’un autre. Enquêtant sur l’affaire aux côtés de Notepad++, le chercheur en sécurité Kevin Beaumont a toutefois indiqué avoir été contacté par trois organisations ciblées par des incidents similaires, toutes actives dans des secteurs liés à l’Asie de l’Est. Des éléments qui pourraient suggérer une activité dirigée, possiblement menée par un acteur disposant des moyens nécessaires pour intercepter le trafic de mise à jour. Pour autant, impossible d'écarter un scénario beaucoup plus opportuniste, des versions piégées de Notepad++ circulant régulièrement dans le cadre de campagnes de SEO poisoning ou de publicités malveillantes.
Distribution verrouillée et signature obligatoire
Face aux signalements et à l’absence d’explication définitive, le développeur Don Ho a diffusé deux correctifs successifs pour renforcer le dispositif de mise à jour. La version 8.8.8 limite désormais les téléchargements aux dépôts GitHub du projet, afin de réduire les possibilités de redirection vers des sources tierces. La version 8.8.9 introduit un durcissement plus complet, avec une vérification systématique de la signature numérique des fichiers téléchargés. Notepad++ et WinGUp refusent désormais tout installeur qui n’aurait pas été signé avec le certificat officiel du projet, ce qui bloque automatiquement toute tentative d’injection d’un exécutable malveillant dans la chaîne de mise à jour.
Le développeur en a aussi profité pour rappeler que tous les binaires officiels étaient signés depuis la version 8.8.7, invitant les utilisateurs et utilisatrices ayant installé un certificat racine personnalisé à le supprimer pour éviter toute confusion.
L’enquête se poursuit pour déterminer comment ces détournements ont pu être réalisés. En attendant d’en établir l’origine exacte, l’équipe du projet encourage toutes celles et ceux qui utilisent Notepad++ à migrer sans attendre vers la version 8.8.9, seule garante d’un dispositif de mise à jour correctement sécurisé.
Sources : Kevin Beaumont, Notepad++
