C’est l’un des éditeurs de texte open source les plus populaires parmi les développeurs du monde entier.

Notepad++ vient de publier les conclusions d’une enquête de plusieurs mois sur une cyberattaque ayant permis de détourner son système de mise à jour entre juin et début décembre 2025.

Dans un article de blog publié sur son site officiel le 2 février 2026, le mainteneur principal du projet revient sur les dessous de cette opération, qui n’a pas exploité une faille dans le code du projet lui‑même, mais une faiblesse dans le mécanisme de mise à jour et l’infrastructure réseau qui l’acheminait.

Votre vie privée doit rester privée.

Face aux cyberattaques, déjouez les pronostics. Les nouvelles arnaques sont plus complexes et plus sophistiquées, alors ne devenez pas une victime de plus, il existe des solutions performantes et accessibles.

Pour remonter la chronologie de l’incident, Notepad++ a publié une partie de ses échanges avec l’hébergeur compromis. // Source : Notepad++

Le principe de l’attaque de Notepad++

Concrètement, l’attaque reposait sur un détournement de trafic. Lorsque Notepad++ vérifie la disponibilité d’une mise à jour, un programme appelé WinGup contacte un serveur pour savoir s’il existe une nouvelle version, puis télécharge le programme d’installation.

Normalement, cette requête est envoyée vers le site officiel de Notepad++, mais dans cette attaque, les pirates sont parvenus à rediriger, pour certains utilisateurs, cette connexion vers un faux serveur sous leur contrôle.

Très difficile, dans ces conditions, pour l’utilisateur de détecter la moindre compromission : la fenêtre de mise à jour s’affiche normalement, mais renvoie en réalité vers une adresse de téléchargement pointant non pas vers la version légitime, mais plutôt vers un programme piégé.

Pour rendre cela possible, les attaquants ont profité du fait que le mécanisme de mise à jour de Notepad++ ne vérifiait pas assez strictement l’authenticité du fichier reçu, ce qui permettait à quiconque interceptait le trafic de remplacer l’URL de téléchargement par celle d’un exécutable malveillant.

Chronologie et conclusion de l’enquête de Notepad++

Pour remonter la chronologie de l’incident, Notepad++ a choisi de publier une partie de ses échanges avec l’hébergeur compromis. On y apprend que l’attaque a débuté en juin 2025 et que le serveur est resté sous le contrôle des assaillants jusqu’au 2 septembre, date à laquelle une opération de maintenance a mis fin à cet accès direct. Les pirates avaient toutefois récupéré des identifiants de certains services internes de l’hébergeur, ce qui leur a permis d’influencer une partie du trafic jusqu’au 2 décembre, moment où tous ces accès ont été révoqués.

Selon le rapport d’enquête, l’objectif n’était pas d’infecter tous les utilisateurs de Notepad++, mais de mener des attaques ciblées. Les chercheurs en sécurité ayant travaillé sur le dossier estiment que cette campagne a été conduite par un groupe APT probablement lié à l’État chinois.

Pour corriger le problème, Notepad++ a renforcé son mécanisme de mise à jour dans la version 8.8.9 : le programme vérifie désormais la signature du fichier ainsi que le certificat utilisé pour cette signature avant de lancer toute mise à jour, et interrompt la procédure en cas d’anomalie.

Pour les utilisateurs, la priorité est de mettre Notepad++ à jour vers la version la plus récente afin de bénéficier de ces protections, puis de supprimer l’ancien certificat s’il a été installé. L’éditeur présente ses excuses et assure qu’avec la migration d’infrastructure et le durcissement du système de mise à jour, l’incident est désormais contenu.