Projet emblématique de l’open source et outil quasi omniprésent sur les postes Windows des développeurs, Notepad++ a récemment été la cible d’un incident de sécurité sérieux, impliquant une tentative de détournement de son site officiel. Sans compromission du code ni diffusion de versions malveillantes, l’événement met néanmoins en lumière une réalité que même les projets les plus respectés ne peuvent plus ignorer : l’open source est devenu une cible stratégique pour les attaquants.Notepad++ est principalement développé et géré par une seule personne, Don Ho, qui en est le créateur et le mainteneur principal depuis le début du projet. Bien qu'il s'agisse d'un logiciel libre (open source), Don Ho centralise les décisions et l'avancement du développement.
Dans sa communication officielle, Don Ho détaille une tentative de prise de contrôle de certains éléments de son infrastructure web. L’attaque visait principalement la chaîne de diffusion de l’information, autrement dit le site officiel utilisé par des millions d’utilisateurs pour télécharger le logiciel et suivre les annonces du projet. Le terme de « hijacking » n’est pas choisi au hasard : l’objectif apparent était bien de détourner la confiance accordée à la plateforme plutôt que d’attaquer directement le code source.
Ce point est essentiel pour comprendre la gravité potentielle de l’incident. Dans l’écosystème logiciel actuel, compromettre un site officiel peut suffire à diffuser des binaires piégés, des liens frauduleux ou des messages trompeurs, sans jamais toucher au dépôt Git ni aux processus de build. Autrement dit, l’attaque de la vitrine peut être aussi dangereuse que celle de l’atelier.
Ce qui a été touché, et ce qui ne l’a pas été
Don Ho insiste sur un élément rassurant : aucune version du logiciel n’a été compromise, aucun code malveillant n’a été injecté dans les binaires distribués, et les mécanismes de signature n’ont pas été altérés. Les dépôts, les releases et la chaîne de compilation sont restés intacts.
En revanche, l’incident révèle des failles potentielles dans la gestion des services annexes, souvent moins surveillés que le cœur du projet. Hébergement web, comptes d’administration, fournisseurs tiers, DNS ou outils de publication constituent aujourd’hui des points d’entrée privilégiés. Ce sont précisément ces zones grises, parfois considérées comme secondaires, qui attirent les attaquants lorsqu’un projet bénéficie d’une forte notoriété.
« Suite à la divulgation de la faille de sécurité publiée dans l'annonce de la version 8.8.9, l'enquête s'est poursuivie en collaboration avec des experts externes et avec la pleine participation de mon (désormais ancien) fournisseur d'hébergement mutualisé.
« Selon l'analyse fournie par les experts en sécurité, l'attaque a impliqué une compromission au niveau de l'infrastructure qui a permis à des acteurs malveillants d'intercepter et de rediriger le trafic de mise à jour destiné à notepad-plus-plus.org. Le mécanisme technique exact fait toujours l'objet d'une enquête, mais la compromission s'est produite au niveau du fournisseur d'hébergement plutôt que par le biais de vulnérabilités dans le code Notepad++ lui-même. Le trafic provenant de certains utilisateurs ciblés a été redirigé de manière sélective vers des manifestes de mise à jour malveillants contrôlés par les attaquants.
« L'incident a débuté en juin 2025. Plusieurs chercheurs en sécurité indépendants ont estimé que l'auteur de la menace était probablement un groupe soutenu par l'État chinois, ce qui expliquerait le ciblage très sélectif observé pendant la campagne.
« Un plan d'intervention en cas d'incident (IR) a été proposé par l'expert en sécurité, et j'ai facilité la communication directe entre l'hébergeur et l'équipe IR. »
L’open source, une cible à forte valeur symbolique et opérationnelle
Pourquoi s’attaquer à un projet comme Notepad++ ? La réponse dépasse largement le simple cadre technique. Avec des millions d’utilisateurs, une image de confiance solide et une diffusion massive en entreprise comme chez les particuliers, Notepad++ représente une cible idéale pour des attaques à grande échelle. Un détournement réussi aurait pu avoir un impact en cascade, allant de l’infection de postes de développement à l’introduction de portes dérobées dans des environnements professionnels sensibles.
Cet incident illustre une tendance de fond : l’open source n’est plus seulement attaqué pour ses failles techniques, mais pour sa crédibilité. La confiance accordée aux projets historiques devient elle-même une surface d’attaque. C’est une évolution majeure, qui oblige la communauté à repenser la sécurité non plus uniquement au niveau du code, mais sur l’ensemble de la chaîne de distribution et de communication.
Une réaction rapide et une transparence assumée
Là où Notepad++ marque des points, c’est dans la gestion de crise. Don Ho a communiqué rapidement, expliqué les faits sans minimisation excessive et détaillé les mesures prises pour sécuriser l’infrastructure. Cette transparence est loin d’être anodine. Dans un contexte où la méfiance envers les logiciels et les chaînes d’approvisionnement s’accroît, reconnaître un incident tout en en maîtrisant le récit est devenu un enjeu stratégique.
Cette posture tranche avec celle de certaines organisations qui préfèrent le silence ou la communication tardive, souvent au détriment de la confiance des utilisateurs. Ici, le message est clair : mieux vaut exposer un incident maîtrisé que laisser place aux rumeurs et aux spéculations.
« Selon l'ancien hébergeur, le serveur d'hébergement mutualisé a été compromis jusqu'au 2 septembre 2025. Même après avoir perdu l'accès au serveur, les pirates ont conservé les identifiants d'accès aux services internes jusqu'au 2 décembre 2025, ce qui leur a permis de continuer à rediriger le trafic de mise à jour de Notepad++ vers des serveurs malveillants. Les pirates ont spécifiquement ciblé le domaine Notepad++ dans le but d'exploiter les contrôles de vérification des mises à jour insuffisants qui existaient dans les anciennes versions de Notepad++. Toutes les mesures correctives et de renforcement de la sécurité ont été mises en œuvre par le fournisseur avant le 2 décembre 2025, bloquant ainsi avec succès toute nouvelle activité des pirates.
« Remarque sur le calendrier : l'analyse de l'expert en sécurité indique que l'attaque a cessé le 10 novembre 2025, tandis que la déclaration du fournisseur d'hébergement fait état d'un accès potentiel des pirates jusqu'au 2 décembre 2025. Sur la base de ces deux évaluations, j'estime que la période de compromission globale s'est étendue de juin au 2 décembre 2025, date à laquelle tous les accès des attaquants ont été définitivement interrompus.
« Pour remédier à ce grave problème de sécurité, le site web Notepad++ a été transféré vers un nouveau fournisseur d'hébergement appliquant des pratiques de sécurité nettement plus strictes. Au sein même de Notepad++, WinGup (le programme de mise à jour) a été amélioré dans la version 8.8.9 afin de vérifier à la fois le certificat et la signature du programme d'installation téléchargé. De plus, le XML renvoyé par le serveur de mise à jour est désormais signé (XMLDSig), et la vérification du certificat et de la signature sera appliquée à partir de la prochaine version 8.9.2, prévue dans environ un mois
« Je présente mes sincères excuses à tous les utilisateurs concernés par...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.