Un incident de sécurité touche l’écosystème de Notepad++, l’un des éditeurs de texte les plus utilisés sur Windows. En cause : le mécanisme de mise à jour (via l’outil WinGUp) qui, dans certains cas, aurait été redirigé vers des serveurs malveillants afin de faire télécharger aux victimes un programme piégé à la place de l’installeur légitime. Le mainteneur du projet évoque un scénario de type supply chain ciblé, et précise que l’attaque s’est jouée au niveau de l’infrastructure plutôt que dans le code de l’application.
Point important pour comprendre pourquoi le sujet revient : un correctif est disponible depuis décembre 2025, mais de nouvelles précisions publiques ont été partagées récemment, relançant l’intérêt autour de l’affaire et de son périmètre réel.
Un détournement du trafic de mise à jour, plutôt qu’un bug dans l’éditeur
Le point le plus inquiétant de cet épisode tient à sa nature : il ne s’agit pas d’un simple fichier frauduleux publié sur un site miroir, mais d’un détournement du flux normal utilisé par l’auto-updater. Concrètement, quand Notepad++ cherche une nouvelle version, le client de mise à jour interroge une infrastructure qui lui renvoie un lien de téléchargement. L’attaque consiste à intercepter ou manipuler cette étape pour substituer, au dernier moment, une URL pointant vers un binaire compromis.
Une attaque vraisemblablement sélective
Les éléments rendus publics suggèrent un ciblage fin plutôt qu’une diffusion massive : certaines requêtes de mise à jour auraient été redirigées alors que la majorité des utilisateurs continuaient de recevoir des liens sains. Ce type d’approche vise généralement à réduire le bruit (moins de signalement, moins de détection) tout en maximisant l’impact sur des environnements à forte valeur : organisations, secteurs sensibles, ou machines connectées à des systèmes plus larges.
Chronologie : des signaux faibles, puis un durcissement progressif
Les premières alertes ont émergé au fil de signalements évoquant des comportements anormaux lors de la phase de mise à jour : apparition de processus inattendus, exécution d’un binaire inconnu, et soupçons de collecte d’informations système. Sans tomber dans l’affirmation généralisée, ces remontées ont servi de déclencheur à une revue du mécanisme de validation des mises à jour.
Notepad++ 8.8.7 : un jalon important avec la signature officielle
En amont, la version 8.8.7 marque une étape structurante : les binaires de Notepad++ sont signés avec un certificat légitime émis par une autorité de certification reconnue (GlobalSign). Cette signature est essentielle, car elle permet au système et aux outils de contrôle (Windows, EDR, politiques d’entreprise) de vérifier l’origine du fichier et de repérer plus facilement une altération.
Notepad++ 8.8.8 : premier rempart, et appel au téléchargement manuel
À la suite des échanges avec des experts sécurité, une version intermédiaire a introduit un renforcement destiné à limiter les risques de détournement, avec un message clair aux utilisateurs : privilégier le téléchargement manuel via les canaux officiels plutôt que de s’en remettre à l’auto-updater dans l’immédiat.
Notepad++ 8.8.9 : contrôle renforcé de l’authenticité lors de l’update
La version 8.8.9 apporte un changement plus structurant côté mise à jour : l’outil WinGUp et Notepad++ intègrent un contrôle renforcé de la signature et du certificat du fichier téléchargé. En pratique, si la vérification échoue, la mise à jour est interrompue. L’objectif est simple : même si un lien est détourné, le binaire frauduleux ne doit plus pouvoir être installé “comme si de rien n’était”.
Début 2026 : des précisions relancent l’alerte
Plus récemment, l’équipe du projet a publié des éléments supplémentaires sur le déroulé de l’incident, évoquant une compromission d’infrastructure et un mode opératoire davantage cadré qu’une simple campagne opportuniste. Cette mise à jour d’informations contribue à replacer l’affaire dans une perspective plus large et à rappeler l’intérêt d’une mise à niveau rapide, y compris pour des installations anciennes.
Ce qui a pu rendre l’attaque possible
Au cœur du problème, on retrouve une faiblesse classique des chaînes de distribution : si la validation côté client n’est pas suffisamment stricte, un attaquant capable de modifier le chemin de téléchargement (par interception réseau, compromission d’un service intermédiaire, ou abus d’accès d’administration) peut imposer un exécutable alternatif.
Une compromission d’infrastructure évoquée par le projet
Le mainteneur de Notepad++ indique que l’incident s’inscrit dans une compromission au niveau de l’hébergeur et des services associés. Dans une communication attribuée au projet, l’idée est résumée ainsi : « la compromission s’est produite au niveau du fournisseur d’hébergement, plutôt que via une faille du code de Notepad++ ». Dans ce type de scénario, les attaquants cherchent moins à exploiter une vulnérabilité logicielle qu’à s’installer dans le “circuit” qui fait autorité pour les mises à jour.
Quels risques pour les utilisateurs et les entreprises ?
Les attaques par mise à jour sont redoutées pour une raison évidente : elles bénéficient d’un capital confiance. Une mise à jour est attendue, elle s’exécute souvent avec des privilèges élevés, et elle peut être déployée à grande échelle dans un parc. Si un binaire malveillant se glisse à cet endroit, il peut servir d’accès initial pour installer un agent distant, voler des identifiants, ou ouvrir la porte à une prise en main manuelle.
Un risque accru dans les environnements administrés
Dans les entreprises, Notepad++ est parfois installé sur des postes techniques, des machines d’administration, ou des environnements de support. Autrement dit : des postes qui, par nature, peuvent avoir davantage d’accès, d’outils et de données sensibles. Même une compromission limitée à un petit nombre d’utilisateurs peut donc avoir des conséquences importantes.
Que faire maintenant : mesures concrètes de protection
La réponse dépend de votre profil (utilisateur individuel ou administrateur IT), mais quelques actions s’imposent rapidement.
Pour les utilisateurs : mettre à jour proprement et vérifier l’origine
- Mettre à jour vers Notepad++ 8.8.9 ou plus récent afin de bénéficier des contrôles de signature renforcés (la branche stable a depuis continué d’évoluer, avec la version 8.9.1 disponible fin janvier 2026).
- Télécharger l’installeur manuellement via les canaux officiels du projet (site Notepad++ / page de release) plutôt que via une mise à jour automatique si vous avez un doute.
- Vérifier la signature numérique de l’installeur sous Windows (propriétés du fichier > signatures numériques) et contrôler que l’éditeur et le certificat sont cohérents.
- Si vous aviez installé un certificat racine spécifique pour d’anciennes versions (mesure qui avait pu être proposée dans un contexte de transition de certificat), envisager sa suppression conformément aux recommandations récentes du projet.
Pour les équipes IT : inventaire, chasse aux indicateurs, et durcissement
- Inventorier les versions de Notepad++ dans le parc et prioriser la migration vers 8.8.9+ sur les postes sensibles.
- Surveiller les exécutions anormales liées au composant de mise à jour (processus enfants inattendus, exécutable inconnu lancé depuis le dossier temporaire, comportement réseau inhabituel au moment d’un check d’update).
- Corréler avec la télémétrie EDR : création de fichiers inattendus, commandes système lancées en rafale, connexions sortantes vers des services de dépôt de texte/fichiers, ou vers des domaines non standards au moment d’une mise à jour.
- Bloquer temporairement l’auto-update si votre politique le permet, et basculer sur un déploiement maîtrisé (MSI/packaging interne) le temps de stabiliser le risque.
Une piqûre de rappel sur la sécurité des mises à jour
Cet incident met en lumière une réalité : la sécurité d’un logiciel ne dépend pas uniquement de son code, mais aussi de son mode de distribution et de l’outillage qui l’entoure. Le durcissement introduit par Notepad++ (signature officielle, vérification stricte lors de la mise à jour, et recommandations de téléchargement manuel) va dans le bon sens, mais il rappelle aussi l’importance, pour les utilisateurs comme pour les organisations, de traiter les mises à jour comme un point de contrôle critique. Au-delà du correctif déjà disponible, les précisions publiées récemment invitent à vérifier ses méthodes de déploiement et à renforcer les contrôles d’authenticité, surtout sur les postes sensibles.
Notre article ne porte pas sur la dernière version en soi, mais sur l’incident lié au mécanisme de mise à jour (WinGUp) et sur le fait que le correctif clé a été introduit à partir de Notepad++ 8.8.9 (avec des améliorations ensuite).
C’est d’ailleurs pour cela que nous recommandons de mettre à jour vers 8.8.9 ou plus récent — donc 8.9.1 aujourd’hui.
Nous avons mis à jour l’article pour refléter clairement la version actuelle et éviter toute confusion.