Notepad++ compromis par des hackers soutenus par un État

Avis de Hacker News

• J’estime être plutôt à l’abri de ce genre de problème grâce à une discipline de pare-feu qui bloque l’accès à Internet des programmes qui n’en ont pas réellement besoin
  Un éditeur de texte n’a absolument aucune raison d’accéder à Internet
  Je ne fais les mises à jour qu’avec winget, et je récupère la plupart des installateurs depuis GitHub. Si je comprends bien, les modifications de paquets ne peuvent se faire que via des PR. Ce n’est pas parfait, mais j’ai plutôt confiance

  • Je pense que des cas comme la vérification des mises à jour ou le téléchargement de plugins nécessitent exceptionnellement un accès à Internet
  • Sur macOS, Little Snitch est très utile. Il indique immédiatement à quelles IP ou quels domaines une application se connecte, et permet facilement d’autoriser, bloquer ou définir des règles
  • Je me demande quel logiciel de pare-feu vous utilisez. Je me dis moi aussi qu’il est peut-être temps d’en utiliser un

• J’ai repoussé les mises à jour et j’utilise encore la version 8.5.8, donc je me demande si, au final, je me retrouve dans une situation plus sûre
  J’aimerais avoir des informations concrètes sur ce qui est réellement arrivé aux personnes ayant reçu la mise à jour infectée
  S’il existait un outil pour vérifier la somme de contrôle des fichiers Notepad++ installés, ce serait utile
  En plus, le communiqué contient tellement de fautes de frappe que je me demande presque s’il n’a pas été écrit par des hackers soutenus par un État. Et si la nouvelle version était elle aussi malveillante ?

  • Ça me rappelle les professeurs à l’université qui donnaient des devoirs pleins de bugs. Du coup, j’attendais toujours que d’autres essaient d’abord et disent que tout allait bien
    J’aimerais qu’il existe un système de web of trust où des amis testeraient les mises à jour avant moi, et dont je pourrais faire confiance au verdict
  • Je ne pense pas que la version la plus récente soit toujours la plus sûre. Tant qu’il n’y a pas de faille connue, une ancienne version peut au contraire être plus stable
  • D’après le site officiel de Notepad++, l’incident aurait commencé en juin 2025
    Les versions 8.8.1 et antérieures seraient sûres. Les sommes de contrôle SHA256 de chaque version sont publiées sur GitHub
  • Une ancienne version n’est pas toujours mauvaise. Une mise à jour peut au contraire faire baisser la qualité
    Il est plus important de relire le code soi-même que d’activer les mises à jour automatiques
  • Je désactive les mises à jour automatiques pour toutes les applications qui ne communiquent pas directement avec Internet (mail, navigateur, OS, etc.)
    Je pense qu’une application quelconque a bien plus de chances d’être compromise par une mise à jour malveillante. Je ne fais les mises à jour que manuellement de temps en temps

• C’est grâce à Chocolatey que j’ai évité cette attaque
  Le mainteneur avait codé en dur la somme de contrôle SHA256 et n’utilisait pas WinGuP du tout

• C’est dans ce genre de situation qu’on voit l’avantage des gestionnaires de paquets
  Comme on ne sait pas si le serveur de mise à jour est vulnérable ni si la vérification des sommes de contrôle est correctement faite, je ne fais pas confiance aux fonctions de mise à jour intégrées
  À la place, je gère ça avec choco update notepadplusplus ou winget upgrade Notepad++.Notepad++

• Cet incident est probablement lié à l’annonce de Notepad++ à propos de Taïwan

  • Notepad++ intègre depuis longtemps des messages politiques dans ses mises à jour. Le projet a déjà affiché des prises de position liées à Taïwan, à l’Ukraine, etc.
  • Il y a aussi eu autrefois l’édition Free Uyghur Edition. Je me souviens qu’à l’époque les issues GitHub avaient été inondées de messages en chinois
  • Cette attaque semble avoir visé non pas le développeur, mais un groupe d’utilisateurs spécifique
  • Je ne pense pas qu’il soit approprié d’introduire des discussions politiques dans la documentation d’un projet open source. L’auteur en a le droit, mais cela peut aussi nuire au projet
  • L’attitude de la Chine continentale qui cherche à intégrer Taïwan par la force me semble problématique
    Mais je pense que les logiciels devraient être séparés de la politique. Même si l’on partage l’objectif politique, le mélanger au code n’est pas nécessaire

• Les outils génériques maintenus par de petites équipes m’inquiètent toujours
  Même si seule une partie des installations est piratée, une attaque de supply chain peut mettre en danger un grand nombre d’entreprises

  • Si vous êtes sur macOS, je pense qu’il faut absolument utiliser Little Snitch
    On peut aussi analyser directement le trafic avec des outils comme Wireshark ou Burp Suite
    Ce type de pare-feu existe aussi sur Windows et Linux
  • Les fonctions de mise à jour automatique sont inquiétantes du point de vue de la sécurité. Pour bien les implémenter, il faut énormément d’efforts d’ingénierie, ce que la plupart des entreprises ne font pas
  • Ce n’est pas parce qu’on est une grande entreprise qu’on est immunisé contre ce genre d’attaque. Si on baisse la garde, on se fait avoir pareil

• Il semble que le trafic de certains utilisateurs ait été redirigé vers des serveurs d’attaque, où ils ont reçu un manifeste de mise à jour malveillant
  Je me demande quels utilisateurs ont été visés, mais l’article se contente de dire qu’il s’agirait de hackers soutenus par l’État chinois

  • Les principales cibles étaient probablement des IP d’universités, d’entreprises et d’administrations
  • Il est aussi possible que seules certaines personnes aient été vulnérables, car la procédure de vérification des mises à jour de certaines anciennes versions de Notepad++ était insuffisante
  • On ne sait pas qui a piraté le serveur. Au final, dès qu’on parle d’« acteur étatique », plus personne ne vérifie rien

• Je me demande surtout comment les systèmes visés ont réellement été compromis

  • Les détails figurent dans un article de Heise et l’analyse de DoublePulsar
    Les versions antérieures à 8.8.7 utilisaient un certificat auto-signé, et sa clé avait été exposée sur GitHub
    L’attaque était une intrusion manuelle visant uniquement certains utilisateurs en Asie
    Plutôt que d’accuser uniquement l’hébergeur, je pense que le développeur porte aussi une part de responsabilité
  • Les attaques de supply chain font vraiment peur. J’ouvre souvent des fichiers sensibles dans Notepad++, donc je m’inquiète d’une éventuelle fuite
  • Il est probable que l’objectif ait été d’installer une porte dérobée via la mise à jour pour faire de la surveillance ou voler des données
  • On ne sait toujours pas clairement qui était ciblé. La communication officielle reste beaucoup trop vague

• Au final, il reste la question : « Bon, et maintenant, je fais quoi avec Notepad++ ? »

  • Si vous utilisiez un gestionnaire de paquets, il y a de fortes chances que vous n’ayez pas été affecté par cette attaque. En revanche, si l’installateur lui-même est compromis, le risque demeure
  • Comme alternative, je recommande Kate de KDE. Il est installable via Chocolatey
  • Personnellement, je pense aussi que Gedit est une bonne option sous-estimée

• Dès que j’installe un nouveau logiciel, je désactive la vérification des mises à jour
  Même si ce type d’attaque est rare, je considère qu’une requête de mise à jour expose l’empreinte de ma machine et sa localisation

  • Franchement, je ne comprends pas. Les failles d’exécution de code à distance finissent toujours par venir du fait qu’on autorise le logiciel à récupérer et exécuter du code à distance
  • Bien sûr, face à un niveau de surveillance du type Room 641A, il est difficile d’être totalement à l’abri, même en étant prudent
    L’important est de conserver un niveau de sécurité réaliste grâce au threat modeling
  • Mais à l’inverse, il reste aussi la question de savoir comment gérer l’exposition aux vulnérabilités quand on ne fait pas les mises à jour