Vue d’ensemble
- De juin 2025 au 2 décembre, une attaque de détournement a redirigé une partie du trafic de mise à jour de Notepad++ vers une infrastructure contrôlée par les attaquants.
- Le point de compromission ne se situait pas dans le code de Notepad++, mais dans l’infrastructure d’un ancien hébergeur mutualisé, et des mises à jour malveillantes n’étaient distribuées de façon sélective qu’à des utilisateurs spécifiquement ciblés.
Détails de l’attaque et attribution
- Le serveur d’hébergement est resté compromis jusqu’au 2025-09-02 et, même après cela, il est estimé qu’une partie du trafic a pu être redirigée jusqu’au 12-02 grâce à des identifiants de services internes dérobés.
- Plusieurs chercheurs en sécurité indépendants (independent security researchers) estiment, au vu du ciblage très restreint et de la nature de l’attaque au niveau de l’infrastructure, qu’il s’agit très probablement d’un groupe de hackers soutenu par l’État chinois.
Réponse de Notepad++
- Migration de l’ensemble du site vers un nouvel hébergeur offrant un niveau de sécurité plus élevé.
- Renforcement de WinGup (l’outil de mise à jour) dans la v8.8.9, avec l’introduction de la vérification des certificats et des signatures des fichiers d’installation ainsi que de réponses XML de mise à jour signées ; à partir de la v8.9.2, cette vérification sera obligatoirement appliquée.
Recommandations aux utilisateurs
- Le projet présente ses excuses pour l’impact de ce détournement et recommande de télécharger directement le programme d’installation de la v8.9.1, qui inclut des améliorations de sécurité, afin d’effectuer une mise à jour manuelle
Aucun commentaire pour le moment.