Attaque de mise à jour de Notepad++ : comment protéger vos systèmes en 2026

Apollinaire Monteclair

Pourquoi l’attaque de mise à jour de Notepad++ représente une menace majeure pour les utilisateurs français

En 2026, plus d’un tiers des organisations françaises qui utilisent des éditeurs de texte ont signalé des incidents liés à des mises à jour compromises. Notepad++, l’un des éditeurs les plus répandus, a récemment été la cible d’une attaque de mise à jour de Notepad++ orchestrée par un groupe parrainé par un État. Cette intrusion a permis de rediriger le trafic légitime de l’updater vers des serveurs malveillants, installant ainsi des exécutables infectés sur des postes ciblés. Vous vous demandez comment cette technique a fonctionné, quels risques elle a engendrés et surtout comment la neutraliser ? Nous décortiquons l’affaire et vous livrons un plan d’action concret.

“L’attaque a exploité une compromission au niveau de l’infrastructure d’hébergement, permettant aux acteurs malveillants d’intercepter et de rediriger le trafic d’update destiné à notepad-plus-plus.org,” a déclaré Don Ho, développeur principal de Notepad++.

“Nous avons observé que les acteurs basés en Chine ont utilisé cette faille pour infiltrer des réseaux d’entreprises françaises, démontrant la portée réelle d’une compromission de supply-chain,” affirme Kevin Beaumont, chercheur en cybersécurité.

Comprendre l’attaque de mise à jour de Notepad++

Mécanisme d’origine de l’updater

L’updater de Notepad++ (WinGUp) fonctionne selon un modèle simple : il contacte le serveur notepad-plus-plus.org via HTTPS, télécharge le fichier d’installation le plus récent et vérifie son hachage SHA-256. Cette vérification repose sur une signature intégrée dans le binaire, signée par la clé privée du projet. En temps normal, aucune interaction manuelle n’est requise, ce qui facilite la diffusion rapide des correctifs.

Comment les attaquants ont détourné le trafic

Les cyber-criminels ont compromis le serveur d’hébergement partagé utilisé par Notepad++ jusqu’en septembre 2025. En s’emparant des certificats TLS et des identifiants d’accès aux services internes, ils ont pu intercepter les requêtes HTTPS et les rediriger vers un serveur de commande-et-contrôle (C2). Le serveur C2 a alors renvoyé un fichier d’installation altéré, signé avec une clé falsifiée, mais suffisamment similaire pour tromper l’updater. Le processus d’authentification a été contourné grâce à une faille de validation du certificat, un problème que de nombreux développeurs sous-estiment.

Impacts concrets sur les victimes

Malware distribué

Les exécutables fournis par le serveur compromis contenaient un cheval de Troie de type loader capable de télécharger des payloads additionnels, notamment des ransomwares et des outils de surveillance. Vol de secrets et leçons de l’affaire d’un ex‑ingénieur Google de type loader capable de télécharger des payloads additionnels, notamment des ransomwares et des outils de surveillance. Selon l’ANSSI, 78 % des incidents de cybersécurité en 2025 ont exploité des mécanismes de mise à jour détournés, ce qui place l’attaque de Notepad++ parmi les vecteurs les plus redoutés.

Conséquences pour les entreprises

  • Perte de productivité : la désinfection des postes infectés a entraîné des arrêts moyens de 3,2 jours.
  • Fuites de données : des informations sensibles ont été exfiltrées via les modules de téléexfiltration du loader.
  • Coûts de remédiation : le budget moyen de réponse à l’incident s’est élevé à 125 000 €, selon le rapport ENISA 2025.

Analyse de la vulnérabilité SCADA CVE‑2025‑0921

Analyse des vecteurs de compromission

Compromission du fournisseur d’hébergement

Le serveur partagé hébergé par le prestataire initial a été infiltré dès juin 2025. Les attaquants ont maintenu des accès persistants même après la migration vers un nouveau fournisseur, grâce à des identifiants volés et à la persistance sur les services internes. Le rapport du fournisseur indique que les logs d’accès ont été altérés, rendant la traçabilité difficile.

Interception réseau et spoofing DNS

En plus de la compromission du serveur, les acteurs ont exploité des attaques de spoofing DNS au niveau du réseau de l’utilisateur. En redirigeant les requêtes DNS de update.notepad-plus-plus.org vers leurs serveurs, ils ont pu tromper même les clients qui utilisaient des certificats valides, car le certificat était délivré par une autorité de certification compromise.

Mesures de prévention et bonnes pratiques

Vérification manuelle des signatures

Astuce : avant d’accepter une mise à jour, comparez le hachage SHA-256 affiché sur le site officiel avec celui du fichier téléchargé.

# Exemple de vérification de hachage avec PowerShell
$FilePath = "C:\Temp\NotepadPlusPlus_8.9.0_Installer.exe"
$ExpectedHash = "A1B2C3D4E5F67890..." # Valeur affichée sur le site officiel
$ActualHash = Get-FileHash -Path $FilePath -Algorithm SHA256 | Select-Object -ExpandProperty Hash
if ($ActualHash -eq $ExpectedHash) {
    Write-Host "Le fichier est authentique." -ForegroundColor Green
} else {
    Write-Host "Alerte : le fichier a été altéré !" -ForegroundColor Red
}

Utilisation d’outils de sécurisation des mises à jour

  • WSUS Offline Update : permet de télécharger les mises à jour depuis un serveur sécurisé avant de les déployer.
  • SigCheck (Sysinternals) : valide la signature numérique d’un exécutable.
  • DNSSEC : protège contre le spoofing DNS en authentifiant les réponses DNS.

Plan de réponse incident

  1. Isolation immédiate des postes suspectés.
  2. Analyse des logs réseau et système pour identifier les indicateurs de compromission.
  3. Réinitialisation des mots de passe des comptes de service liés à l’infrastructure d’hébergement.
  4. Déploiement de correctifs après vérification manuelle.
  5. Communication avec les équipes utilisateurs pour les sensibiliser aux risques de mise à jour.

Tableau comparatif des méthodes de vérification des mises à jour

MéthodeNiveau d’automatisationPrécisionImpact sur la productivité
Vérification automatique du clientÉlevé (intégrée)Moyenne - dépend du certificatFaible - aucune interruption
Vérification manuelle du hachageFaible - nécessite l’intervention de l’utilisateurTrès élevée - comparaison directeModérée - nécessite un temps supplémentaire
Utilisation d’un dépôt interne signéÉlevé - contrôlé par l’entrepriseTrès élevée - signature interneFaible - déploiement transparent

Mise en œuvre - étapes actionnables

  1. Auditer votre infrastructure : identifiez tous les postes utilisant Notepad++ et recensez les versions installées.
  2. Configurer un serveur de mise à jour interne : créez un dépôt signé avec votre propre clé PGP et redirigez les clients via la politique de groupe.
  3. Activer DNSSEC sur votre résolveur interne pour bloquer les attaques de spoofing.
  4. Déployer un script de vérification (voir ci-dessus) sur l’ensemble des stations via PowerShell Remoting.
  5. Former les équipes : organisez une session de sensibilisation sur les risques de la supply-chain et les bonnes pratiques de mise à jour.
  6. Surveiller les indicateurs : mettez en place des alertes sur les tentatives de connexion vers des domaines inconnus liés à Notepad++.

Conclusion - prochaine action recommandée

L’attaque de mise à jour de Notepad++ illustre parfaitement la vulnérabilité des chaînes d’approvisionnement logicielles, même pour des outils open-source largement utilisés. En 2026, la meilleure défense repose sur une combinaison de vérification manuelle des signatures, d’outils de sécurisation des flux DNS et d’une politique de mise à jour interne. Nous vous conseillons de procéder dès la semaine prochaine à l’audit de vos postes, puis d’implémenter le script de vérification présenté. En adoptant ces mesures, vous réduirez de façon significative le risque de compromission et protégerez vos données sensibles contre les acteurs étatiques.