Le développeur du populaire éditeur de texte open source Notepad++ a confirmé que des pirates ont détourné le logiciel pour fournir des mises à jour malveillantes aux utilisateurs au cours de plusieurs mois en 2025.
Dans un article de blog publié lundi, Don Ho, développeur de Notepad++, a déclaré que la cyberattaque avait probablement été menée par des pirates informatiques associés au gouvernement chinois entre juin et décembre 2025, citant une analyse d’experts en sécurité. Ho a déclaré que cela « expliquerait le ciblage très sélectif » observé au cours de la campagne.
Ho n’a pas précisé combien d’utilisateurs ont été ciblés ou combien ont été compromis – s’ils sont connus – et n’a pas répondu aux questions au moment de la publication. (Si nous recevons une réponse, nous mettrons à jour.)
Notepad++ est l’un des projets open source les plus anciens, s’étendant sur plus de deux décennies, et compte au moins des dizaines de millions de téléchargements à ce jour, y compris par des employés d’organisations du monde entier.
Selon Kevin Beaumont, un chercheur en sécurité qui a découvert la cyberattaque et rédigé ses conclusions en décembre, les pirates ont compromis un petit nombre d’organisations « ayant des intérêts en Asie de l’Est » après que quelqu’un ait involontairement utilisé une version corrompue du logiciel populaire. Beaumont a déclaré que les pirates ont pu accéder « directement » aux ordinateurs des victimes qui exécutaient des versions détournées de Notepad++.
Ho a déclaré que le « mécanisme technique exact » par lequel les pirates ont pénétré dans ses serveurs fait toujours l’objet d’une enquête, mais a fourni quelques détails sur la manière dont l’attaque s’est déroulée.
Dans le blog, Ho a déclaré que le site Web de Notepad++ était hébergé sur un serveur d’hébergement partagé. Les attaquants ont « spécifiquement ciblé » le domaine Web de Notepad++ dans le but d’exploiter un bug du logiciel pour rediriger certains utilisateurs vers un serveur malveillant géré par les pirates. Cela a permis aux pirates de fournir des mises à jour malveillantes à certains utilisateurs qui avaient demandé une mise à jour logicielle, jusqu’à ce que le bug soit corrigé en novembre et que l’accès des pirates soit interrompu début décembre.
« Nous disposons de journaux indiquant que l’acteur malveillant a tenté de réexploiter l’une des vulnérabilités corrigées ; cependant, la tentative n’a pas réussi après la mise en œuvre du correctif », a écrit Ho.
Ho s’est excusé pour l’incident et a exhorté les utilisateurs à télécharger la version la plus récente de son logiciel, qui contient un correctif pour le bug.
La cyberattaque ciblant les utilisateurs de Notepad++ rappelle quelque peu la cyberattaque de 2019-2020 affectant les clients de SolarWinds, un éditeur de logiciels qui fabrique des outils informatiques et de gestion de réseau pour les grandes organisations Fortune 500, y compris les ministères. Des pirates informatiques du gouvernement russe ont pénétré par effraction dans les serveurs de l’entreprise et ont secrètement installé une porte dérobée dans son logiciel, permettant aux espions russes d’accéder aux données sur les réseaux de ces clients une fois la mise à jour déployée.
La violation de SolarWinds a touché plusieurs agences gouvernementales, notamment la sécurité intérieure et les ministères du Commerce, de l’Énergie, de la Justice et de l’État.
