Le créateur de l'éditeur de texte open-source Notepad++ vient de publier un rapport détaillé sur une attaque ciblée qui a compromis son hébergeur. Les pirates ont pu rediriger certaines mises à jour vers des serveurs malveillants.
L'attaque remonte en fait à juin 2025, soit six mois avant sa découverte publique. La méthode employée ne visait pas le code de Notepad++, mais l'infrastructure d'hébergement mutualisé qui accueillait le site officiel du projet.
Un serveur compromis qui redirige le trafic de mise à jour
Les attaquants ont exploité un accès au serveur partagé pour intercepter les requêtes envoyées vers getDownloadUrl.php, le script qui distribue les mises à jour. Ce contrôle leur permettait de rediriger de manière sélective certains utilisateurs vers des serveurs pirates distribuant des exécutables malveillants à la place des versions légitimes.
Cette redirection ciblée exploitait une faille dans le processus de mise à jour : les anciennes versions de WinGUp (le système de mise à jour du logiciel) ne vérifiaient pas suffisamment la signature numérique et le certificat des installateurs téléchargés. Les pirates pouvaient donc substituer un fichier piégé sans déclencher d'alerte.
Le développeur principal de Notepad++ affirme : "Plusieurs chercheurs en sécurité indépendants ont évalué que l'acteur de la menace est probablement un groupe parrainé par l'État chinois, ce qui expliquerait le ciblage hautement sélectif observé au cours de la campagne."
L'hébergeur a identifié deux phases dans l'attaque. Le serveur a été compromis jusqu'au 2 septembre 2025, date à laquelle a eu lieu une maintenance avec des mises à jour du noyau et du firmware. Cette opération a coupé l'accès direct des pirates. En revanche, ils avaient conservé des identifiants de services internes, ce qui leur a permis de maintenir la redirection du trafic jusqu'au 2 décembre 2025.
Correctifs et migration vers un hébergeur plus sécurisé
Le développeur a publié un correctif le 9 décembre 2025 (v8.8.9). Cette version impose la vérification stricte du certificat et de la signature des fichiers téléchargés par WinGUp. Si ces contrôles échouent, la mise à jour est abandonnée. Le site officiel a également été transféré vers un nouvel hébergeur adoptant des pratiques de sécurité renforcées.
Une seconde amélioration arrivera avec la version 8.9.2, prévue dans environ un mois. Cette mise à jour activera XMLDSig (signature numérique XML) sur les manifestes de mise à jour. Cela permettra d'empêcher toute modification des URL de téléchargement renvoyées par le serveur. L'hébergeur a confirmé qu'aucun autre client du serveur mutualisé n'avait été visé : les pirates cherchaient spécifiquement le domaine notepad-plus-plus.org.
