12/12/2025
IT-Connect » Actualités » Actu Cybersécurité » Notepad++ 8.8.9 corrige une faille importante permettant d’injecter une mise à jour malveillante

Notepad plus plus 8.8.9 corrige une faille importante
Actu Cybersécurité

Notepad++ 8.8.9 corrige une faille importante permettant d’injecter une mise à jour malveillante

Florian BURNEL 0 commentaire

Le nouveau Notepad++ 8.8.9 a été publié dans le but de corriger une faille de sécurité importante liée à l'outil de mise à jour WinGUp. En parallèle, une question se pose : Notepad++ a-t-il été détourné par des pirates pour compromettre le réseau de plusieurs entreprises ? Voici ce que l'on sait.

Un processus de mise à jour détourné à des fins d'espionnage

Tout a commencé par plusieurs messages d'inquiétude sur le forum de Notepad++. Un utilisateur vigilant a signalé un comportement anormal lors de l'exécution de l'outil de mise à jour automatique, correspondant à l'exécutable GUP.exe (WinGUp). D'après lui, au lieu de récupérer le paquet légitime correspondant à la nouvelle version, le programme a généré un exécutable inconnu : %Temp%\AutoUpdater.exe.

Cet exécutable semble avoir été conçu pour effectuer une reconnaissance du système infecté. Il évoque même l'exécution de plusieurs commandes spécifiques, dont le résultat a été sauvegardé dans un fichier texte nommé a.txt :

  • cmd /c netstat -ano pour l'analyse des connexions réseau
  • cmd /c systeminfo pour obtenir des informations système
  • cmd /c tasklist pour lister les processus en cours
  • cmd /c whoami pour identifier l'utilisateur actuel

Pire encore, le fichier a.txt a été envoyé vers temp[.]sh, un service de partage de texte éphémère déjà connu pour être utilisé par les cybercriminels. Pour envoyer le fichier vers ce service externe, WinGUp a utilisé la commande curl.exe, alors que normalement il s'appuie sur la bibliothèque libcurl. Et surtout, il faut le dire : il n'a aucune raison de collecter ces informations sur la machine locale.

Alors, comment expliquer ce comportement suspect ?

L'hypothèse du détournement de trafic

Il y a une réponse facile à cette question : l'utilisateur a été piégé par une campagne de malvertising et il a récupéré, dès le départ, une version infectée de Notepad++. Mais la situation pourrait être bien plus grave, à en croire l'analyse de l'expert en cybersécurité Kevin Beaumont (toujours avec de bonnes infos !).

Début décembre, il a publié un article de blog pour rapporter avoir eu connaissance de compromissions au sein de trois organisations distinctes (avec des intérêts en Asie de l'Est). Le point commun : Notepad++. Ce qui, en soi, aurait pu être une coïncidence puisque ce logiciel est très populaire.

Kevin Beaumont explique : "J'ai entendu dire que 3 organisations ont eu des incidents de sécurité sur des machines où Notepad++ était installé, où il semble que les processus Notepad++ aient engendré l'accès initial." Il précise que ces incidents ont mené à des intrusions humaines directes.

En réalité, il se pourrait que des pirates soient parvenus à détourner le mécanisme de mise à jour de Notepad++, qui repose sur une vérification XML. Le logiciel interroge une URL pour vérifier la présence d'une nouvelle version. Si le trafic est intercepté (via une attaque Man-in-the-Middle), un attaquant peut modifier la balise <Location> dans la réponse XML pour rediriger le téléchargement vers un serveur malveillant. Ainsi, l'utilisateur, sans le savoir, ne télécharge pas la version officielle de Notepad++, mais un autre exécutable ou une version modifiée.

Don Ho, le développeur de Notepad++, précise : "L'enquête est en cours pour déterminer la méthode exacte de détournement du trafic. Les utilisateurs seront informés une fois que des preuves tangibles concernant la cause seront établies."

Notepad++ 8.8.9 : la vérification de signature

En réponse à cette situation et à cette vulnérabilité dans le processus de mise à jour de Notepad++, une nouvelle version a été publiée. Dans un premier temps, la version 8.8.8 a été publiée pour limiter les téléchargements via GitHub, ce qui a atténué légèrement les risques. Surtout, la version qui apporte plus de sécurité à ce processus, c'est Notepad++ 8.8.9, sortie le 9 décembre.

Dans cette nouvelle version, le mécanisme de mise à jour vérifie la signature numérique. "À partir de cette version, Notepad++ et WinGUp ont été renforcés pour vérifier la signature et le certificat des installateurs téléchargés pendant le processus de mise à jour. Si la vérification échoue, la mise à jour sera annulée.", précise la note de version.

Il est donc vivement recommandé d'installer Notepad++ 8.9.9 pour se protéger de cette vulnérabilité.

Source

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Voir la bio complète
social network icon social network icon
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Vous pourrez aussi aimer

Log4Shell : une attaque sur un serveur Minecraft pourrait infecter les joueurs !

Florian BURNEL 2

Windows 10 et KB5007253 : une nouvelle màj pour les problèmes d’impression

Florian BURNEL 8
ChatGPT - OpenAI a perturbé plus de 20 opérations malveillantes

OpenAI intensifie ses efforts pour contrer l’utilisation malveillante de ChatGPT par les cybercriminels !

Florian BURNEL 0

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur la façon dont les données de vos commentaires sont traitées.