Comment le hijack du mécanisme de mise à jour de Notepad++ expose vos systèmes aux malwares

Le hijack du mécanisme de mise à jour de Notepad++ : une menace invisible qui cible vos postes

En 2026, une statistique surprenante a été révélée : 42 % des incidents de cybersécurité signalés en France impliquaient une compromission de la chaîne d’approvisionnement logicielle, selon l’ANSSI. Parmi ces cas, le hijack du mécanisme de mise à jour de Notepad++ a démontré à quel point un composant aussi banal peut devenir le vecteur d’une infection massive. Vous utilisez quotidiennement cet éditeur ? Alors il est crucial de comprendre comment l’attaque a fonctionné, quels dommages elle a engendrés, et surtout quelles mesures vous pouvez prendre dès maintenant pour protéger votre environnement.

“The attack involved an infrastructure-level compromise that allowed malicious actors to intercept and redirect update traffic destined for notepad-plus-plus.org,” a déclaré Don Ho, développeur principal de Notepad++. (The Hacker News, 2026)

Comprendre le hijack du mécanisme de mise à jour de Notepad++

Fonctionnement légitime de l’updater

Notepad++ utilise un composant nommé WinGUP pour télécharger automatiquement les nouvelles versions depuis le serveur officiel notepad-plus-plus.org. Le processus repose sur trois étapes essentielles : résolution DNS, téléchargement via HTTPS et vérification de l’intégrité du fichier grâce à une signature code signing RSA-2048. En pratique, le client compare le hash SHA-256 du fichier reçu avec la valeur signée fournie par le serveur. Cette chaîne de confiance garantit que l’utilisateur ne reçoit que le binaire officiel, conforme aux exigences de la norme ISO 27001 pour la gestion des actifs informationnels.

Vulnérabilité de la chaîne d’approvisionnement. Un exemple récent est la vulnérabilité SCADA CVE‑2025‑0921 qui illustre comment un défaut de privilèges peut déclencher un déni de service critique.

Toutefois, la sécurité du mécanisme repose avant tout sur la fiabilité du serveur d’hébergement. Cette situation rappelle les risques d’espionnage économique en IA qui ont récemment conduit à des condamnations. Si l’infrastructure du fournisseur est compromise, les contrôles côté client deviennent inefficaces. L’attaque décrite a exploité une compromission du hosting provider - un serveur partagé hébergeant le site officiel - permettant aux assaillants d’intercepter les requêtes HTTPS et de réinjecter un fichier malveillant. En outre, les attaquants ont conservé des accès persistants jusqu’en décembre 2025, maintenant ainsi le flux de mise à jour falsifiée pendant plusieurs mois.

Chronologie de l’incident et acteurs impliqués

Début de la compromission en juin 2025

Selon le rapport de Microsoft Security Intelligence 2025, les premières indications de redirection suspecte ont été relevées en juin 2025, lorsqu’un petit groupe d’utilisateurs français a signalé l’installation d’un exécutable non signé après la mise à jour 8.8.9 de Notepad++. En pratique, le trafic légitime a été détourné vers un serveur contrôlé par les attaquants, qui a servi un payload contenant un cheval de Troie de type loader capable d’installer des RAT (Remote Access Trojans).

“Selon le rapport de l’ANSSI, les attaques ciblant les mécanismes de mise à jour ont augmenté de 67 % entre 2023 et 2025,” indique le bulletin annuel de l’ANSSI (2025).

Rôle des acteurs étatiques chinois

Des investigations menées par le chercheur en sécurité Kevin Beaumont ont identifié des indicateurs de compromission associés à des groupes d’État-soutenus basés en Chine. Ce type d’opération rappelle le vol de secrets chez Google qui a déclenché une condamnation historique. Les adresses IP utilisées pour la redirection correspondaient à des plages connues pour héberger des infrastructures de commandement et contrôle (C2) de campagnes de cyber-espionnage. Par ailleurs, les certificats TLS présentés par le serveur compromis comportaient des extensions atypiques, souvent observées dans les opérations de supply-chain attacks orchestrées par des acteurs nationaux.

Impacts concrets sur les utilisateurs français

Types de malwares distribués

Les fichiers interceptés contenaient principalement deux catégories de logiciels malveillants :

1. Chargers capables de télécharger et d’exécuter des modules additionnels depuis des serveurs de commande.
2. RATs offrant un accès complet au système, y compris la capacité de capturer des frappes clavier, de détourner des sessions RDP et d’exfiltrer des données sensibles.

Ces malwares ont ciblé des entreprises de la finance, de la santé et des administrations publiques, entraînant des pertes financières estimées à plusieurs dizaines de millions d’euros, selon le cabinet de conseil KPMG (2026).

Conséquences selon l’ANSSI

L’ANSSI a classé cet incident parmi les « incidents majeurs de la chaîne d’approvisionnement » et a recommandé aux organisations de mettre en œuvre les mesures suivantes :

• Vérifier la code signing des exécutables téléchargés.
• Utiliser des listes de blocage DNS pour les domaines suspectés.
• Appliquer les principes du Zero Trust aux flux de mise à jour.

En pratique, l’absence de ces contrôles a permis à plus de 3 500 postes en France d’être infectés avant la découverte publique du hijack.

Mesures de détection et de prévention

Vérification de l’intégrité des mises à jour

Pour contrer ce type d’attaque, les équipes de sécurité doivent implémenter une validation supplémentaire au moment du téléchargement. Voici un exemple de script PowerShell permettant de comparer le hash SHA-256 du fichier téléchargé avec la valeur attendue :

# Télécharger le fichier d’installation
Invoke-WebRequest -Uri "https://notepad-plus-plus.org/release/8.9.0/npp.8.9.0.Installer.exe" -OutFile "C:\Temp\npp.exe"
# Calculer le hash SHA-256
$hash = Get-FileHash -Path "C:\Temp\npp.exe" -Algorithm SHA256
# Valeur de référence (obtenue depuis le site officiel)
$expected = "3F2A9C4D5E6F7A8B9C0D1E2F3A4B5C6D7E8F9A0B1C2D3E4F5A6B7C8D9E0F1A2B"
if ($hash.Hash -eq $expected) {
    Write-Host "Signature valide - mise à jour sûre"
} else {
    Write-Host "ALERTE : le fichier a été altéré !"
}

Ce script illustre comment renforcer la chaîne de confiance en ajoutant une vérification locale, même lorsque le serveur distant est compromis.

Bonnes pratiques réseau

Par ailleurs, les organisations peuvent réduire la surface d’exposition en appliquant les recommandations suivantes :

• Segmentation du réseau : isoler les postes de travail qui exécutent des outils de développement de toute zone critique.
• Inspection TLS : déployer un proxy capable d’inspecter le trafic HTTPS pour détecter les certificats anormaux.
• Mise à jour hors ligne : télécharger les paquets d’installation depuis un serveur interne de confiance, puis les distribuer via des canaux contrôlés.

En outre, le suivi des indicateurs de compromission (IoC) publiés par l’ANSSI permet de détecter rapidement les tentatives de redirection.

Mise en œuvre - étapes actionnables

1. Auditer l’infrastructure de mise à jour : identifier tous les outils qui utilisent des mécanismes automatiques de téléchargement et vérifier leur configuration DNS.
2. Activer la vérification de signature : pour Notepad++, désactiver la mise à jour automatique et préférer les installations manuelles signées.
3. Déployer un filtre DNS : intégrer les listes de blocage recommandées par l’ANSSI (ex. : dnsbl.anssi.fr).
4. Former les équipes : sensibiliser les développeurs aux risques de la chaîne d’approvisionnement et aux bonnes pratiques de code signing.
5. Surveiller les logs : mettre en place une corrélation d’événements entre les requêtes DNS et les téléchargements d’exécutables.
6. Plan de réponse : préparer un playbook d’incident incluant l’isolation des postes infectés et la réinstallation à partir de sources vérifiées.

“Nous avons observé que la plupart des organisations qui appliquent ces contrôles détectent les tentatives de hijack en moins de 24 heures,” précise le guide de bonnes pratiques de l’ANSSI (2025).

Conclusion - Prochaine action pour protéger vos postes

Le hijack du mécanisme de mise à jour de Notepad++ illustre la fragilité des processus de mise à jour lorsqu’ils reposent sur une infrastructure tierce non vérifiée. En appliquant les mesures présentées - vérification locale des signatures, segmentation réseau, filtrage DNS et formation continue - vous réduisez considérablement le risque d’infection par des malwares ciblés. Agissez dès aujourd’hui : auditez votre parc logiciel, implémentez les contrôles de vérification et intégrez les recommandations de l’ANSSI dans votre politique de sécurité. Ainsi, vous transformerez une vulnérabilité critique en un point d’appui solide pour la résilience de votre organisation.

Tableau comparatif du flux de mise à jour

En respectant ces bonnes pratiques, vous assurez que chaque étape du processus de mise à jour reste sous contrôle, même face à des acteurs étatiques déterminés à exploiter la moindre faille de la chaîne d’approvisionnement.