Des attaquants soupçonnés d’être liés à Pékin ont détourné, de façon sélective, le trafic de mises à jour de Notepad++. Pas de faille dans le code, mais une compromission d’infrastructure, plus discrète et redoutable.
Les développeurs de Notepad++ ont annoncé qu’un mécanisme de mise à jour avait été détourné, permettant à des pirates soupçonnés d’être soutenus par l’État chinois de rediriger certains utilisateurs vers des serveurs malveillants. Selon un avis de sécurité publié lundi, l’attaque n’a pas exploité de vulnérabilité dans le code source : la compromission a touché l’infrastructure de distribution des mises à jour.
Une attaque “en cours de route”, invisible pour l’utilisateur
Notepad++ est un outil banal en apparence, un éditeur de texte libre et gratuit, mais omniprésent chez les professionnels de la tech. C’est précisément ce qui en fait une cible idéale : toucher un logiciel utilitaire, c’est frôler des millions d’environnements, sans avoir à franchir les mêmes défenses qu’une intrusion directe dans une entreprise. L’incident révélé par l’équipe du projet illustre un scénario de chaîne d’approvisionnement où l’attaque ne passe pas par le code, mais par le chemin.
Dans une mise à jour de sécurité publiée lundi sur le site du projet, les développeurs expliquent que les pirates n’ont pas introduit de modification dans le dépôt source. La compromission s’est jouée « au niveau de l’infrastructure« , sur les systèmes utilisés pour distribuer les mises à jour. Les attaquants ont réussi à « intercepter et à rediriger le trafic de mise à jour destiné à notepad-plus-plus.org« , précise l’équipe, tout en reconnaissant que « le mécanisme technique exact reste à l’étude« .
Le détail clé est la localisation de l’action : après que le trafic a quitté l’ordinateur de l’utilisateur, mais avant qu’il n’atteigne le serveur légitime. Cette zone grise, entre machine cliente et infrastructure officielle, ouvre la voie à des attaques dites “en cours de route”. Elles sont difficiles à détecter, parce que l’utilisateur croit interagir avec un processus normal, et qu’elles laissent parfois peu de traces, surtout si le ciblage reste limité.
Les développeurs insistent sur ce point : la redirection a été sélective. Autrement dit, pas de diffusion massive, pas d’infection à grande échelle revendiquée, mais des déviations ciblées visant certains utilisateurs. Le projet ne précise pas combien de systèmes ont été visés ni combien ont effectivement contacté des serveurs malveillants. Cette opacité n’est pas surprenante : dans ce type d’opération, la mesure d’impact dépend d’indices réseau et de journaux parfois incomplets, et l’attaquant a intérêt à minimiser le bruit.
SERVICE DE VEILLE ZATAZAlerte : savoir si vos données personnelles ont fuité.
À partir de 0,06 € / jour
Activation rapide • Alertes prioritaires • Veille web, dark web
Sans prestataire extérieur • 100 % souverain
Chronologie, attribution prudente, et le précédent ShadowHammer
Selon l’équipe, le détournement a commencé en juin 2025 et s’est poursuivi jusqu’en décembre. Les développeurs citent les analyses de plusieurs chercheurs indépendants concluant que l’activité est probablement liée à un acteur parrainé par l’État chinois. Ni les chercheurs ni les méthodes ne sont identifiés publiquement, et le texte rappelle une réalité utile : ces attributions reposent souvent sur des faisceaux d’indices, réutilisation d’infrastructures, styles opératoires, profils de ciblage, plutôt que sur une preuve directe montrable. Cela rend la conclusion difficile à vérifier de façon définitive, même lorsque le soupçon est cohérent.
Pour contextualiser, le projet évoque des tactiques déjà observées. En 2018, la campagne ShadowHammer avait compromis l’infrastructure de distribution des mises à jour d’ASUS. Comme l’a relevé SentinelOne, des mises à jour malveillantes auraient été diffusées potentiellement à des centaines de milliers de systèmes, mais l’intérêt réel des attaquants semblait se limiter à quelques centaines de cibles. La comparaison éclaire la stratégie : utiliser la capacité de distribution d’un éditeur comme levier, tout en ne déclenchant l’étape “utile” que sur une poignée d’objectifs, afin de rester sous les radars.
Notepad++ dit suivre un schéma similaire. La redirection n’a pas été généralisée et n’a pas touché tous les utilisateurs. Pour les défenseurs, c’est presque le pire cas : une attaque qui ne fait pas d’épidémie est plus dure à repérer, car les signaux faibles ne deviennent jamais des signaux bruyants. Du point de vue renseignement, ce type de campagne ressemble moins à une opération criminelle opportuniste qu’à une collecte ciblée, où la furtivité compte plus que le volume.
L’équipe indique avoir migré l’infrastructure de mise à jour vers un nouvel hébergeur et ajouté des contrôles de sécurité supplémentaires dans la version 8.9.1 afin de renforcer le mécanisme. Les utilisateurs sont invités à mettre à jour par précaution. Un élément humain conclut l’avis : « Je présente mes plus sincères excuses à tous les utilisateurs touchés par ce détournement« , écrit l’auteur.
Ce dossier rappelle une leçon simple : quand la confiance est encapsulée dans une mise à jour, l’attaque la plus efficace n’est pas forcément d’écrire du code malveillant, mais de détourner le chemin qui l’achemine.
News & Réseaux Sociaux ZATAZChaque vendredi midi, recevez gratuitement les actualités de la semaine.
