🚨 Notepad++ : Quand Votre Éditeur de Texte Favori Devient un Vecteur d'Attaque Supply Chain

Entre juin et décembre 2025, Notepad++ a été victime d’une attaque sophistiquée de sa chaîne d’approvisionnement. Les attaquants ont compromis le système de mise à jour pour intercepter et rediriger le trafic. Un cas d’école parfait de ce que l’OWASP appelle désormais “A03: Software Supply Chain Failures” dans son Top 10 2025. Décryptage d’un incident qui aurait pu/est peut être catastrophique (pour certains).

Contexte : Notepad++, Une cible de choix

Notepad++ est un éditeur de texte open-source ultra-populaire sous Windows, utilisé par des millions de développeurs et d’administrateurs système dans le monde entier. C’est précisément cette popularité qui en fait une cible de choix pour les attaquants visant la supply chain.

💡 Chiffres Clés :

200+ millions de téléchargements depuis sa création
Utilisé quotidiennement par des millions de développeurs
Présent sur des machines critiques (serveurs, postes DevOps, stations d’admin)
Mécanisme de mise à jour automatique (le vecteur d’attaque idéal)

Compromettre Notepad++, c’est potentiellement compromettre des milliers d’organisations à travers le monde. Un scénario digne de SolarWinds, mais à plus petite échelle.

Chronologie de l’Incident

Juin - Septembre 2025 : La phase silencieuse

Les attaquants ont réussi à compromettre l’infrastructure d’hébergement partagé de notepad-plus-plus.org. Pendant cette période, ils avaient la capacité d’intercepter et de rediriger le trafic de mise à jour.

⏱️ Timeline Détaillée :

Juin 2025 : Compromission initiale de l’infrastructure d’hébergement
Juin - Septembre 2025 : Contrôle actif du système de distribution des mises à jour
2 septembre 2025 : Les attaquants perdent l’accès direct suite à une maintenance système
Septembre - Décembre 2025 : Tentatives de maintien de l’accès par d’autres moyens
Décembre 2025 : Divulgation de sécurité initiale concernant la version v8.8.9
Fin Décembre 2025 : Enquête collaborative déclenchée
Janvier 2026 : Migration complète et publication de versions sécurisées

Ce qui a été compromis

L’attaque visait spécifiquement le système de distribution des mises à jour. Les attaquants pouvaient :

Intercepter les demandes de mise à jour des utilisateurs
Rediriger vers des serveurs malveillants
Potentiellement distribuer des versions modifiées de Notepad++

Comment l’incident a été découvert

La découverte n’est PAS venue d’une surveillance proactive (malheureusement), mais d’une divulgation de sécurité externe concernant des anomalies dans la version v8.8.9.

Cela a déclenché une enquête collaborative impliquant :

L’équipe de développement Notepad++
Des experts en sécurité externes
Le fournisseur d’hébergement

⚠️ Leçon Apprise :

C’est un signal faible qui a permis la détection. Si cette divulgation n’avait pas eu lieu, l’attaque aurait pu continuer indéfiniment. C’est exactement ce qu’explique l’OWASP dans l’article sur le Top 10 2025 : le temps médian avant détection d’une attaque supply chain est de 83 jours selon Veracode.

Dans le cas de Notepad++, on parle de 6 mois ! 😱

Réponse de l’équipe Notepad++

Face à cette crise, l’équipe a agi rapidement et de manière exemplaire :

Migration d’infrastructure

Migration immédiate vers un nouvel hébergeur avec des pratiques de sécurité renforcées :

Isolation des environnements
Contrôles d’accès stricts
Journalisation et monitoring améliorés

Amélioration de WinGup

WinGup est l’outil de mise à jour de Notepad++. Il a été complètement refondu pour :

✅ Vérification obligatoire des certificats SSL/TLS
✅ Validation des signatures numériques des paquets
✅ Implémentation de signatures XML (XMLDSig)
✅ Rejet de toute mise à jour non signée

Rotation des identifiants

Tous les credentials d’accès à l’infrastructure ont été renouvelés
Mise en place d’une authentification multi-facteurs (MFA) obligatoire
Révocation des anciennes clés de signature

Versions sécurisées

Publication de versions corrigées :

v8.9.1 : Inclut les correctifs de sécurité de WinGup
v8.9.2 (à venir) : Activation forcée de la vérification des signatures

Lien avec l’OWASP Top 10 2025 : A03 Software Supply Chain Failures

Cet incident est un cas d’école parfait de ce que l’OWASP décrit dans la catégorie A03: Software Supply Chain Failures du Top 10 2025.

Pourquoi Notepad++ illustre parfaitement A03 ?

Aspect OWASP A03	Application à Notepad++	Impact
🔍 Provenance du code	Les utilisateurs ne pouvaient pas vérifier d’où venait vraiment la mise à jour	Redirection silencieuse possible
🛡️ Intégrité des artefacts	Pas de vérification de signature avant v8.9.1	N’importe quelle version pouvait être acceptée
🔐 Sécurité des pipelines	Infrastructure d’hébergement compromise	Contrôle complet sur la distribution
🚨 Détection tardive	6 mois avant découverte	Fenêtre d’attaque gigantesque

Ce Qui a Manqué (Avant l’Incident)

En appliquant le framework SLSA dont je parle dans l’article OWASP Top 10 2025, Notepad++ était à peu près à SLSA 0-1 :

Niveau SLSA	Status Avant	Status Après v8.9.1
SLSA 1	⚠️ Documentation limitée	✅ Process documenté
SLSA 2	❌ Pas de signatures	✅ Signatures GPG + XMLDSig
SLSA 3	❌ Builds non isolés	🔄 En cours d’implémentation
SLSA 4	❌ Pas de revue 2-person	❌ Non applicable (open-source)

Comment se protéger en tant qu’utilisateur ?

Si vous utilisez Notepad++ (ou n’importe quel logiciel avec mise à jour automatique), voici ce que je recommande :

1. Mettre à Jour IMMÉDIATEMENT vers v8.9.1+

⚠️ ACTION REQUISE :

Télécharger v8.9.1 depuis https://notepad-plus-plus.org/
Lancer l’installateur MANUELLEMENT
Vérifier que la signature est valide
Attendre v8.9.2 pour l’activation forcée des signatures

🔐 Vérification de la Signature (Windows) :

Clic droit sur npp.8.9.1.Installer.x64.exe
Propriétés → Onglet “Signatures numériques”
Vérifier que le signataire est “Don HO” ou “Notepad++”
Statut doit être “Cette signature numérique est correcte”

Si absent ou invalide → NE PAS INSTALLER ❌

2. Désactiver les Mises à Jour Automatiques (Temporairement)

En attendant v8.9.2 qui force la vérification :

Paramètres → Préférences → Mise à jour
Décocher “Activer la vérification automatique”
Vérifier manuellement 1x par mois

3. Adopter une approche “Zero Trust”

Pour TOUS vos logiciels :

Pratique	Description	Difficulté
✅ Vérifier les signatures	Toujours valider avant installation	Facile
✅ Télécharger depuis les sources officielles	Jamais de miroirs tiers	Facile
✅ Surveiller les anomalies	Taille inhabituelle, comportement bizarre	Moyen
✅ Utiliser un SBOM	Inventorier tous vos logiciels installés	Difficile
✅ Monitorer les mises à jour	Tools type Dependabot	Moyen

Comment se protéger en tant qu’organisation ?

Si vous gérez un parc de machines avec Notepad++ installé :

1. Inventaire et Scan

Utilisez votre outil de gestion de parc pour :

Identifier toutes les installations de Notepad++
Vérifier les versions installées
Scanner les machines pour détecter toute activité suspecte liée à Notepad++

2. Déploiement Contrôlé de v8.9.1+

Tester d’abord en environnement de staging
Déployer via votre outil de gestion de parc (SCCM, Intune, etc.)
Bloquer les anciennes versions via GPO

3. Mise en Place de Contrôles Supply Chain

Appliquer les recommandations de l’article OWASP Top 10 2025 :

A. Générer un SBOM de Votre Infrastructure

Utilisez des outils comme :

Syft pour scanner les machines
OWASP Dependency-Track pour centraliser

B. Surveiller les CVE en Continu

Intégrer dans votre SOC/SIEM :

Alertes sur nouvelles CVE affectant votre SBOM via OpenCVE par exemple
Monitoring des publications de sécurité Notepad++

C. Implémenter SLSA Level 2 Minimum

Pour VOS propres applications :

Signer tous vos artefacts
Pipeline CI/CD hermétique
Logs de build immuables

Leçons Apprises et Recommandations

Pour les Développeurs de Logiciels

✅ Do’s :

Signer cryptographiquement TOUS vos artefacts (executables, mises à jour, packages)
Implémenter la vérification de signature côté client (ne pas faire confiance au réseau)
Héberger sur une infrastructure sécurisée (isolation, monitoring, MFA)
Documenter votre chaîne de build (provenance, reproductibilité)
Avoir un plan d’incident supply chain (qui appeler ? comment communiquer ?)

❌ Don’ts :

❌ Compter uniquement sur HTTPS (peut être MitM si infra compromise)
❌ Avoir un seul point de contrôle (SPOF = Single Point Of Failure)
❌ Ignorer les signalements de sécurité externes
❌ Sous-estimer l’impact d’une compromission supply chain

Conclusion : La Supply Chain, Un Risque à Ne Plus Négliger

L’incident Notepad++ nous rappelle une vérité inconfortable : même les logiciels les plus populaires et “de confiance” peuvent être compromis.

💡 Les 3 Vérités de la Supply Chain moderne :

Vous n’êtes aussi sécurisé que votre dépendance la plus faible Notepad++ était vulnérable malgré un code source propre, car son infrastructure de distribution était compromise.
La détection tardive est la norme, pas l’exception 6 mois sans détection pour Notepad++, 83 jours en moyenne selon Veracode. Sans signal faible, cela aurait pu durer indéfiniment.
La signature cryptographique n’est plus optionnelle C’est le MINIMUM syndical en 2026. Tout artefact non signé doit être considéré comme suspect.

Ce Qui Change en 2026

Avec l’OWASP Top 10 2025 plaçant la Supply Chain en position #3, la pression réglementaire et communautaire va s’intensifier :

🇪🇺 Cyber Resilience Act (UE) : SBOM obligatoires, délais de correction définis
🇪🇺 Directive NIS2 : Due diligence sur les fournisseurs, sanctions jusqu’à 10M€
🇺🇸 Executive Order 14028 : Exigences strictes pour les fournisseurs US gov

Ce n’est plus une question de “si” vous serez audités sur votre supply chain, mais de “quand”.

“Dans le monde moderne, la sécurité de votre application dépend autant de la qualité de VOS dépendances, de VOTRE environnement de build et d’exécution que de VOTRE code.” – PandaHack (2021)

Et comme le prouve Notepad++, même les éditeurs de texte ne sont pas épargnés. 🛡️

Vous avez été impacté par l’incident Notepad++ ? Des questions sur la sécurisation de votre supply chain ? N’hésitez pas à me contacter

🚨 Notepad++ : Quand Votre Éditeur de Texte Favori Devient un Vecteur d’Attaque Supply Chain

Catégories

🔍 Licence d'Utilisation 🔍