Quelques mois après la compromission de son module de mise à jour, Notepad++ déploie la dernière évolution de sécurité promise. La version 8.9.2 introduit un contrôle supplémentaire destiné à empêcher toute redirection malveillante, même en cas d’attaque sur le serveur.
L’affaire avait mis un coup de projecteur sur la chaîne de distribution logicielle. À l’été 2025, des attaquants étaient parvenus à détourner le dispositif de mise à jour de Notepad++ en s’appuyant non pas sur une faille du code, mais sur la compromission de l’infrastructure chargée de répondre aux requêtes d’update. Le projet open source avait alors annoncé qu'il prendrait les mesures nécessaires pour reprendre la main sur ce processus et empêcher toute redirection ou substitution de fichiers à la source. La version 8.9.2 marque l’aboutissement de ce chantier avec l’ajout d’un second niveau de vérification qui modifie en profondeur la logique de confiance du système.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
Une mise à jour désormais validée à deux niveaux
Les premières réponses apportées fin 2025 avaient déjà renforcé la vérification des installeurs téléchargés par WinGUp, l’utilitaire chargé d’assurer les mises à jour automatiques du logiciel. Depuis la version 8.8.9, Notepad++ refuse ainsi d’exécuter tout binaire qui ne serait pas signé avec le certificat officiel du projet, de manière à empêcher l’injection directe d’un exécutable piégé.
La version 8.9.2 introduit un second point de contrôle, cette fois en amont du téléchargement. Le fichier XML qui indique au logiciel quelle version récupérer et où la trouver est désormais signé numériquement selon le standard XMLDSig (signature numérique permettant de garantir l’intégrité et l’origine d’un document XML), puis contrôlé côté client avant toute opération. Le logiciel ne se contente donc plus de valider ce qu’il installe, il s’assure aussi que l’instruction reçue pour effectuer cette installation provient bien d’une source authentique.
En clair, grâce à cette double vérification, un acteur malveillant qui chercherait à mener une attaque similaire à celle observée en 2025 devrait à la fois compromettre la distribution des fichiers et être capable de produire des signatures cryptographiques valides. Une combinaison nettement plus difficile à mettre en œuvre.
Des ajustements complémentaires pour réduire la surface d’attaque
En parallèle de ces mesures de sécurité, l’équipe de développement a procédé à plusieurs ajustements destinés à réduire la surface d’attaque autour du module de mise à jour lui-même. La bibliothèque libcurl.dll a été supprimée afin d’éliminer les risques de DLL side-loading, technique qui consiste à tromper l’application pour qu’elle charge une bibliothèque frauduleuse à la place de celle attendue.
Certaines options SSL jugées insuffisamment sûres ont également été retirées de l’implémentation cURL utilisée auparavant, afin d’éviter tout assouplissement des contrôles de certificat. Dans le même esprit, l’exécution des fonctions liées à la gestion des plugins est désormais restreinte aux seuls programmes signés avec le même certificat que WinGUp, ce qui empêche l’exécution de composants externes non validés dans cette phase sensible.
Notepad++ estime ainsi avoir clos ce chapitre en basculant vers un modèle fondé sur la vérification systématique plutôt que sur la seule confiance accordée à l’infrastructure, et invite les utilisateurs et utilisatrices à installer sans attendre la version 8.9.2 pour en bénéficier.
Source : Notepad++
