Notepad++ Détourné par des pirates informatiques parrainés par l'État dans le cadre d'une campagne de cyberespionnage sophistiquée et très sélective qui a abusé de l'infrastructure de mise à jour du logiciel pendant plusieurs mois, selon une divulgation de sécurité détaillée publiée par le développeur du projet. L'attaque, qui est resté largement indétectable pendant une grande partie de 2025, représente un compromis rare et grave dans la chaîne d'approvisionnement affectant l'une des applications open source les plus utilisées sur Windows.
L'opération ne reposait pas sur des vulnérabilités dans le code source de Notepad++ lui-même.. Plutôt, les attaquants ont pris le contrôle de l'infrastructure d'hébergement chargée de fournir les métadonnées de mise à jour, leur permettant de rediriger silencieusement les demandes de mise à jour de cibles spécifiques vers leurs propres serveurs contrôlés par des attaquants.
Comment Notepad++ a été piraté par des pirates informatiques parrainés par l'État?
Notepad++ a été détourné par des pirates informatiques parrainés par l'État via une compromission au niveau de l'infrastructure de son ancien fournisseur d'hébergement partagé., plutôt que par des failles dans la base de code de l’application. Les experts en sécurité ont confirmé que les attaquants ont infiltré le serveur hébergeant le point de terminaison de la mise à jour Notepad++., leur permettant d'intercepter et de manipuler le trafic de mise à jour en transit.
Les acteurs malveillants ont redirigé de manière sélective les demandes de mise à jour des utilisateurs sélectionnés, renvoyer des manifestes de mise à jour falsifiés qui pointaient vers des charges utiles malveillantes. Ce ciblage étroit suggère fortement des objectifs axés sur le renseignement plutôt que sur une distribution massive de logiciels malveillants., s'aligner sur les techniques couramment observées dans les cyberopérations des États-nations.
Compromission d'infrastructure derrière la campagne de piratage de Notepad++
L'enquête a révélé que le serveur compromis hébergeait le script chargé de générer les URL de téléchargement des mises à jour pour Notepad++.. Une fois l'accès obtenu, les attaquants ont pu opérer sous la couche application, rendant l'intrusion extrêmement difficile à détecter à l'aide des contrôles de sécurité conventionnels des points finaux.
Hébergement Web WordPress
À partir de 3,99 $ / mensuel
Surtout, les enquêteurs n'ont trouvé aucune preuve que les binaires officiels Notepad++ ou le pipeline de build du projet aient été directement modifiés. Les acteurs malveillants ont exploité la confiance dans le mécanisme de livraison des mises à jour lui-même., une tactique de plus en plus répandue dans les attaques modernes contre la chaîne d'approvisionnement.
Chronologie du Notepad++ piraté par un incident de pirates informatiques parrainés par l'État
La chronologie confirmée indique que l'attaque a commencé en juin 2025, lorsque les attaquants ont initialement obtenu un accès non autorisé à l'environnement d'hébergement. Cet accès a persisté jusqu'en septembre 2, 2025, lorsque les mises à jour programmées du noyau et du micrologiciel ont temporairement perturbé l'intrusion.
Malgré la perte de l'accès direct au serveur, les attaquants ont conservé les informations d'identification du service interne qui leur ont permis de continuer à rediriger le trafic de mise à jour à distance. Ce canal d'accès secondaire est resté actif jusqu'en décembre 2, 2025, quand toutes les informations d'identification ont été alternées, et l'infrastructure était entièrement sécurisée.
Les experts en sécurité estiment que les activités malveillantes ont probablement cessé début novembre, mais la suppression définitive de l'accès des attaquants n'a été obtenue qu'en décembre. Basé sur des évaluations combinées, la fenêtre de compromis globale s'étend sur environ six mois.
Des preuves relient l’attaque à des pirates informatiques parrainés par l’État chinois
Plusieurs chercheurs indépendants en sécurité ont conclu que la campagne portait la marque des pirates informatiques parrainés par l'État chinois.. La précision du ciblage, le temps de séjour prolongé, et l'absence de signaux de monétisation sont compatibles avec des opérations axées sur l'espionnage plutôt que sur la cybercriminalité..
Une analyse plus approfondie réalisée par Rapid7 a attribué l'activité connexe au groupe chinois APT Lotus Blossom., également connu sous le nom de Raspberry Typhoon, Punaise de voiture, et Dragon du Printemps. Le groupe aurait déployé une porte dérobée personnalisée jusqu'alors non documentée nommée Chrysalis., conçu pour maintenir un accès persistant aux systèmes compromis.
Serveur VPS pas cher
À partir de 2,99 $/mois
Bien qu'aucun artefact médico-légal définitif ne prouve que le programme de mise à jour Notepad++ a directement livré la porte dérobée, la télémétrie a confirmé des chaînes d'exécution suspectes impliquant notepad++.exe, GUP.exe, et un processus update.exe anormal.
Pourquoi des pirates informatiques parrainés par l'État ont ciblé le mécanisme de mise à jour de Notepad++?
Des pirates informatiques parrainés par l'État ont ciblé le mécanisme de mise à jour de Notepad++ en raison de faiblesses héritées des contrôles de vérification des mises à jour présentes dans les anciennes versions du logiciel.. Bien que les installateurs aient été signés, les implémentations antérieures du programme de mise à jour WinGup n'appliquaient pas strictement la validation cryptographique des métadonnées de mise à jour.
En compromettant l'infrastructure de livraison des mises à jour, les attaquants ont évité de devoir contourner les protections de signature de code. Plutôt, ils ont redirigé les clients vers des serveurs contrôlés par des attaquants, militariser efficacement le canal de mise à jour fiable sans modifier l'application elle-même.
Correctifs de sécurité après le piratage de Notepad++ par des pirates informatiques parrainés par l'État
Après que Notepad++ ait été piraté par des pirates informatiques parrainés par l'État via son infrastructure de mise à jour, a été rendu public., le projet a mis en œuvre une série d'améliorations de sécurité critiques pour empêcher des attaques similaires de la chaîne d'approvisionnement à l'avenir. Les changements suivants se concentrent sur le renforcement de la vérification des mises à jour, renforcement de l'infrastructure d'hébergement, et éliminer les écarts de confiance:
- Certificat d'installation amélioré et vérification de la signature dans WinGup
À partir de la version Notepad++ 8.8.9, le programme de mise à jour WinGup vérifie désormais à la fois la signature numérique et le certificat des installateurs téléchargés, garantir que seules des mises à jour authentiques et fiables peuvent être installées sur les systèmes des utilisateurs. - Signature cryptographique des métadonnées de mise à jour à l'aide de signatures numériques XML
Le XML de mise à jour renvoyé par le serveur est désormais signé cryptographiquement, empêcher les attaquants de falsifier les manifestes de mise à jour même s'ils obtiennent un accès partiel à l'infrastructure de livraison. - Application obligatoire de la vérification dans les prochaines versions
L'application complète de la validation des certificats et des signatures devrait prendre effet dans Notepad++ v8.9.2, qui devrait sortir dans le mois à venir, réduisant davantage le risque de détournement de mise à jour. - Migration vers un nouveau fournisseur d'hébergement avec des contrôles de sécurité plus stricts
Tous les services Notepad++ ont été migrés vers un nouvel environnement d'hébergement avec une surveillance améliorée, des politiques de gestion des accès plus strictes, et des mesures défensives renforcées contre la compromission au niveau des infrastructures.
Hébergement VPS Windows
Remote Access & Full Admin
Réponse du fournisseur d’hébergement et mesures correctives
L'ancien fournisseur d'hébergement a confirmé que le serveur d'hébergement partagé concerné était compromis jusqu'à début septembre. 2025 et que les informations d'identification du service interne sont restées exposées jusqu'en décembre. Suite à la détection, le fournisseur:
- Migration de tous les clients hébergés vers de nouveaux serveurs
- Vulnérabilités exploitées corrigées
- Rotation de toutes les informations d'identification potentiellement compromises
- Réalisation d'un examen complet des journaux dans tous les environnements d'hébergement
Le fournisseur n'a signalé aucune preuve que d'autres clients hébergés étaient ciblés, renforçant la conclusion selon laquelle les attaquants cherchaient spécifiquement à compromettre le trafic de mise à jour de Notepad++.
Ce que les utilisateurs de Notepad++ devraient faire maintenant
Suite à la confirmation que Notepad++ a été piraté par des pirates informatiques parrainés par l'État via son infrastructure de mise à jour, il est conseillé aux utilisateurs de prendre une série de mesures de précaution pour réduire tout risque résiduel potentiel. Bien que les enquêteurs n'aient pas identifié d'indicateurs universels de compromission, les systèmes qui ont exécuté les versions concernées pendant la fenêtre d'exposition peuvent encore justifier un examen plus approfondi, en particulier dans les entreprises ou les environnements sensibles.
Mettre à jour manuellement vers la version Notepad++ 8.9.1 ou plus tard
Les utilisateurs doivent télécharger et installer la version Notepad++ 8.9.1 ou plus récent directement depuis le site officiel pour garantir que des mécanismes améliorés de vérification des mises à jour sont en place. Cette version inclut des améliorations de sécurité critiques du programme de mise à jour WinGup, réduire le risque de redirection malveillante des mises à jour et renforcer la confiance dans les futures livraisons de mises à jour.
Examiner les journaux du système et des applications pour détecter tout comportement anormal
Les utilisateurs et les administrateurs sont encouragés à examiner les journaux système pour détecter toute exécution de processus inhabituelle., connexions réseau inattendues, ou des changements de fichiers inexpliqués au cours de la période juin-décembre 2025 laps de temps. Bien qu'aucun indicateur définitif de compromis n'ait été publié, l'examen des journaux peut aider à identifier les activités suspectes qui peuvent justifier une enquête plus approfondie.
Rotation des informations d'identification sur les systèmes s'appuyant sur des mises à jour automatisées
Pour les environnements où les mises à jour Notepad++ étaient gérées automatiquement, la rotation des diplômes est recommandée à titre de mesure de précaution. Mise à jour de SSH, FTP, base de données, ou les informations d'identification du compte de service aident à atténuer le risque d'accès persistant si les informations d'identification ont été exposées lors de la compromission de l'infrastructure..
Veiller à ce que les mécanismes de mise à jour appliquent une vérification stricte à l'avenir
Les administrateurs doivent vérifier que les workflows de mise à jour appliquent la validation des certificats et des signatures., en particulier dans les déploiements gérés ou en entreprise. S'appuyer sur des mises à jour vérifiées cryptographiquement réduit l'exposition aux futures attaques de la chaîne d'approvisionnement et s'aligne sur les meilleures pratiques modernes de sécurité logicielle..
Un avertissement plus large concernant la sécurité des logiciels open source
Le détournement de Notepad++ met en évidence une tendance croissante selon laquelle les pirates informatiques parrainés par l'État ciblent de plus en plus les projets open source à travers les faiblesses des infrastructures et de la chaîne d'approvisionnement plutôt que les vulnérabilités des applications.. Alors que les outils open source continuent de soutenir les environnements d'entreprise et gouvernementaux, ils deviennent des cibles d’espionnage de grande valeur.
La réponse du projet Notepad++ démontre à quel point la transparence, remédiation rapide, et les améliorations architecturales peuvent aider à restaurer la confiance après un incident de sécurité majeur.