Sécurité de Notepad++ v8.8.3 : un nouveau départ, avec un certificat auto-signé
La nouvelle version de Notepad++, à savoir Notepad++ 8.8.3, présente la particularité d'être signée avec un certificat émanent de l'autorité de certification de Notepad++ : pourquoi un tel choix ? Qu'est-ce que ça change ? Faisons le point.
Notepad++ signé avec un certificat... auto-signé
En juin 2025, une faille de sécurité associée à la référence CVE-2025-49144 a été découverte dans Notepad++. En urgence, une nouvelle mise à jour a été mise au point et distribuée, mais tout ne s'est pas passé comme prévu : cette version met en alerte les logiciels antivirus. Ces faux positifs étaient dus à une seule et même raison : l'absence d'un certificat de signature de code, ce qui est important pour prouver l'origine du fichier et son intégrité.
"Le certificat de signature de code Notepad++ délivré par DigiCert a expiré le 15 mai 2025. Malheureusement, il semble que le projet ne réponde plus aux critères de validation, et le nom de l'éditeur "Notepad++" a été rejeté. Je comprends parfaitement la position de l'équipe de validation et je tiens à remercier DigiCert pour sa généreuse donation de 3 certificats sur 9 ans (2016 - 2025).", peut-on lire sur cette page.
Notepad++ v8.8.2 a donc été publié sans cette signature. Le développeur ne semble pas avoir trouvé de nouveau partenaire pour les futures versions de Notepad++, de ce fait, il a décidé de prendre le taureau par les cornes. Désormais, chaque nouvelle version de Notepad++ sera signée numériquement à l'aide d'une autorité de certification que le développeur a lui-même créée. Il s'agit donc d'utiliser un certificat auto-signé.
Concrètement, cela signifie que Windows et les solutions de sécurité ne vont pas reconnaître cette signature ! Pour que ce soit le cas, les utilisateurs et les administrateurs IT doivent installer manuellement le certificat racine de Notepad++ sur leurs machines. Ce dernier est disponible sur le site officiel et le dépôt GitHub de l'application. C'est le prix à payer pour ce projet qui veut rester libre, tout en permettant aux utilisateurs de créer une chaîne de confiance.
Un pied de nez aux "gardiens du temple"
Ce choix technique, qui est loin d'être idéal, est avant tout un acte militant, né d'une profonde frustration. Le développeur ne cache pas son amertume vis-à-vis des autorités de certification, qui semblent ignorer l'un des projets open source les plus populaires au monde.
Don Ho explique : "Nous essayons toujours d'obtenir un certificat délivré par des autorités de certification conventionnelles, pour une meilleure expérience utilisateur. Mais soyons honnêtes : cela n'arrivera probablement pas. Notepad++ n'est pas une entreprise et apparemment, cela rend un projet open-source populaire invisible à leurs normes de contrôle."
Le développeur de Notepad++ a donc choisi l'indépendance, même si cela dégrade légèrement l'expérience utilisateur. Une décision assumée et revendiquée : "Si les "gardiens" refusent de délivrer un certificat sous le nom que nous méritons, qu'il en soit ainsi. Au moins, cela nous évitera de perdre du temps et de l'énergie dans une procédure frustrante qui nous oblige à réclamer un nouveau certificat tous les trois ans. Le certificat racine du Bloc-notes++ n'est peut-être pas approuvé par eux, mais il nous conduit à la liberté."
En marge de ce changement important dans la façon dont est signé l'installeur de Notepad++, cette nouvelle version apporte d'autres changements :
- Un nouveau correctif de sécurité pour la CVE-2025-49144
- La mise à jour d'un composant pour utiliser une version plus récente de cURL et corriger ainsi la CVE-2025-0167
- De nombreux bugs ont été corrigés dans cette version
Vous pouvez voir la liste complète des changements sur cette page.
Qu'en pensez-vous ?
Bonjour Florian, merci pour ce super site web, que je prends plaisir à consulter très régulièrement ! J’ose imaginer que la veille technologique n’est pas de tout repos 🙂
Ce qui pourrait expliquer quelques petites erreurs (que j’ai constatées, tout en passant sur d’autres…) essentiellement de versions de Notepad++
En effet :
– dans le résumé, tout en haut, il est question de la version 8.8.3 plutôt que de la 8.3.3
– dans le 3e paragraphe, il s’agit de la version 8.8.2 et non 8.2.2
En ce qui concerne NotePad++ et le Certificat Auto-Signé, j’ai un peu peur de ce qui pourrait en résulter. De par le fait que la signature n’est justement pas émise par une autorité reconnue, je crains des débordements et autres éventuels piratages quant au fichier en lui-même. Tant le Certificat que l’Installateur ! Puisque la signature sera hébergée sur un site annexe comme GitHub. Et, bien que GitHub soit relativement reconnu comme « fiable » (que je mets volontairement entre guillemets oui ! On se souviendra de la tentative de piratage Linux avec du bout de code malicieux dans GitHub + le reste dans les Dépôts (dont je n’ai plus le nom en tête, désolé), ça avait envoyé un signal d’alarme sur la fiabilité de l’ensemble). De fait, un certificat, même s’il est dit fiable par son éditeur, ne peut pas garantir l’entière intégrité de l’ensemble (Certificat+Installateur). Pour moi, le risque est beaucoup trop grand !
De fait, j’émets des réserves sur ce projet – bien qu’il semble louable !-. Aussi, je pense que je vais m’écarter momentanément de l’outil.
D’ailleurs, une chose que je n’ai jamais comprise à propos de Notepad++, c’est pourquoi n’a-t-il jamais été porté sur Linux ? Projet Libre… Linux… adieu le pb de certificat (hormis la clé PGP, hein !)… Je suis bien conscient qu’à la base NotePad++ est resté un projet Libre pour Windows. Mais peut-être est-il temps de changer de cap ? Ou est-ce trop tard ? D’autant que VS CODE – disponible autant sur Windows que Linux ! – fait tout pareil et ce, gratuitement… Même s’il est plus lourd, j’en conviens.
Alors oui, il y a les puristes du prompt, donc NotePad++ ne serait pas d’une grande utilité, mais de plus en plus d’utilisateurs se tournent vers Mint ou Ubuntu (et les plus téméraires s’essayent sur Arch). De plus, interface graphique ressemblant beaucoup à celle de Windows… bref, si vous arrivez encore à me suivre, je vous félicite 🙂
En ce qui me concerne (et ça ne restera que mon avis personnel sur le sujet, je le précise, on ne sait jamais), je pense que NotePad++ vit ses derniers instants. Au vu de ce qui se passe, un Certificat en ligne sur GitHub, si on est un peu intelligent et réfléchi, on a de quoi douter. C’est clairement mon cas.
D’autres croiront toujours au projet. Des solutions peuvent encore être trouvées. Mais d’ici-là, je préfère prendre mes distances.
Cordialement à tous ! 🙂
V.
Bonjour V.
Effectivement, je me suis emmêlé les pinceaux dans les numéros de version… Je vais corriger, merci!
Il est vrai que ce n’est pas une bonne nouvelle, car un certificat auto-signé pour un projet de l’ampleur de Notepad++ : ce n’est pas une bonne nouvelle. La compromission est plus simple, même s’il y a des étapes intermédiaires pour y arriver. Ce sera à suivre… A moins que, et ce serait tant mieux, une CA se décide à délivrer un certificat pour Notepad++ comme c’était le cas jusqu’en mai 2025.
Le certificat est auto-signé ou bien émis par une autorité non trusté ? Ce n’est vraiment pas la même chose.
Pour Linux, l’équivalent de Notepad++ est Scite. Les deux logiciels sont basés sur Scintilla.
Salut @Veovis,
à en croire ce qui est indiqué dans cette publication, c’est l’Editeur de NotePad++ qui a créé sa propre Autorité de Certification interne. Et le mot est important : interne !
En gros, le certificat que l’on doit installer sur Windows provient d’une autorité qui n’existe pas sur la Toile. Il est créé et validé par leur propre autorité (et donc, interne… (un peu comme si tu avais installé le rôle Autorité de Certification sur Windows, qui te permet de créer et valider des certificats, mais uniquement internes à ton réseau ! Tu ne pourras jamais faire en sorte qu’un utilisateur externe puisse accéder à tes plateformes sans qu’il soit obligé d’installer manuellement ton propre certificat)). Et c’est là que ça coince un peu…
Ce que l’Editeur pense proposer comme solution (en espérant que ce ne soit que temporaire !), c’est de développer NotePad++ en interne et certifié (tjs en interne) par leur propre Autorité de Certification. Le logiciel est ensuite mis en ligne sur leur site. Et toi, sur ton propre PC, si tu ne veux pas avoir le joli message « SmartScreen » de Windows qui te dit « Attention, logiciel potentiellement dangereux », il te faut récupérer le Certificat que l’Editeur aura mis sur GitHub (pourquoi ? Et pas sur leur site, ce qui serait un peu plus pertinent selon moi), qu’il te faudra ensuite installer sur Windows. C’est très technique, surtout pour quelqu’un qui utilise NotePad++ au quotidien, mais qui ne sait pas comment fonctionne Windows. Certes ça se fait en 2 clics. Mais qu’est-ce qui garantit que ça se passe bien ?
Et forcément, il faut bien prendre en compte ce que je vais dire là : NE JAMAIS FAIRE CA SUR UN PC PRO !!! Vu que l’application n’est plus certifiée par un organisme officiel, existant sur la Toile Internet, si tu t’amuses à installer un certificat non validé par le Service IT de ton entreprise, soit tu as de la chance et tu te prends une soufflance sévère, soit tu l’es moins, t’as pas respecté le contrat et les clauses d’utilisation du matériel mis à ta disposition, et c’est le licenciement assuré ! Donc, il ne faut pas s’amuser à ça, surtout en entreprise ! Chez toi OK. Mais attention aux risques éventuels : usurpation piratage, etc.
Personnellement, cette situation n’est pas confortable. Ni pour nous, ni pour eux. Et la solution proposée ne devrait même pas exister. Surtout de nos jours !
Bien cordialement,
V.
—–
En aparté : Comment fonctionnent les certificats dans Windows ?
Je vais simplifier au maximum :
– Windows est livré par défaut avec une banques de certificats par défaut. Ces certificats sont émis par les Autorités « Racines » (qui existent sur Internet) ;
– Quand tu accèdes à un site Internet, tu as un cadenas vert, qui permet de te certifier que le site sur lequel tu te connectes te protège des éventuelles attaques extérieures (attention, je ne rentre pas dans le vif du sujet pour le moment. On voit ça un peu plus bas) ;
– Ces Certificats « Racines » ont une durée de vie (3 ans, 5 ans, 10 ans), c’est selon ;
– Lorsque leur date arrive à expiration, ils sont mis à jour via la publication d’un correctif livré par Microsoft. Généralement, les Patches Tuesday, ou encore les Service Packs à l’époque ;
– Ainsi, ton système est capable de reconnaître la fiabilité du site web, ou du logiciel que tu installes et utilises au quotidien. C’était le cas avec NotePad++ jusqu’à Mai 2025 où DigiCert (qui fait partie des Autorités de Certification dites ‘racines’) a décidé de les laisser tomber.
Donc maintenant, pour permettre à NotePad++ de continuer à fonctionner sur ton PC, et parce que les éditeurs ont décidé de continuer à développer ce logiciel sans réelle certification de celui-ci, ils ont proposé une parade ; que je pense dangereuse.
Pourquoi je dis ça ? Tout simplement pour faire le lien avec les sites dits de hameçonnage, tout simplement !
– tu reçois un mail qui te semble provenir de ta banque ;
– tu te méfies pas, en pensant que ce qui y est dit est vrai : faut absolument changer tes codes parce qu’il y a un pb sur ton compte ! ;
– un lien est fourni. Tu cliques dessus, tu arrives sur un site qui ressemble à celui de ta banque. Et en prime, il y a le cadenas vert ! Donc tu crois être en sécurité ;
– pas de bol, c’est un site frauduleux. Sauf que tu auras donné tes identifiants de connexion à un pirate. Et boum, trop tard, tu perds tout !
Ce que je veux dire ici, c’est que je pointe du doigt « Let’s Encrypt », qui fournit des certificats valides 3 mois et ce, gratuitement ! Et ce sont ces certificats qui sont utilisés par les sites de hameçonnage, malheureusement.
Et rien ne garantit que le Certificat mis en ligne sur GitHub par les développeurs de NotePad++ ne soit pas piraté un jour.
Moralité : quid de la sécurité dans tout ça ? Et quid de NotePad++ au final ?
Vous avez 4 heures 😉
Cette histoire c’est une histoire de confiance.
Aujourd’hui on sait que l’on ne peut pas faire confiance au autorités de certifications.
(mitm régulier, affaiblissement, collecte et utilisation des données des acheteurs)
Lets est une bonne solution a un problème qui devrait s’appuyer sur de la décentralisation. Lets permet a tout le monde même avec très peu de moyen d’offrir de la sécurité de transit. C’est très très bien !!!
Le problème ce n’est pas lets c’est les gens malveillant et les gens qui ont dit on met un cadenas vert ça permettra de sécurisé sans expliqué a madame michu. Le cadenas signifie que le trafic est chiffré entre ton navigateur et le serveur. Absolument pas que ta banque est légitime. C’est deux choses complétement différentes et elles ne doivent pas être amalgamé. Elle devrait d’ailleurs toujours être découplé.
Oui le certificat de Notepad++ pourrait être piraté, comme les certificat des AC embarquées partout, comme le codes des logiciels maison utilisés par les sociétés qui vendent des certificats. Logiciel absolument pas signés, globalement pas open sources donc pas trustable par un audit de code de la personne qui voudrait utilisé ce prestataire. Et que l’on me parle pas des certifications/audits obligatoires j’en ai vu passé sur ces sujet qui réussissent sur de vrai passoire !!!!
Bref lets encrypt c’est clairement le meilleur choix sur le marché a l’heure actuelle pour les certificats web TLS.
Pour la signature de code et de logiciel, c’est a l’utilisateur individuellement de choisir si oui ou non il veux faire confiance a tel ou tel AC, on a aujourd’hui créé un écosystème excluant par défaut les sachant. Et c’est en grande partie pour une question de contrôle que de sécurité. Mais comme d’habitude c’est le cheval de Troie idéal.
La sécurité en informatique comme partout c’est une question de confiance.
C’est dommage que Let’s Encrypt ne propose pas de certificats de signature de code (au moins pour les gros projets reconnus type Notepad++, VLC, etc…)
https://github.com/sigstore/cosign is an alternative although i’m not exactly sure how it works.
Il est bon de rappeler que ce n’est pas pas parce qu’un soft est signé avec un certificat émis par une Autorité reconnue qu’il n’est pas contaminé par un virus ! On sait juste quel éditeur l’a compilé, c’est tout ! (ce qui est déjà pas mal !)
Je continuerai à utiliser et mettre à jour notepad++ comme d’habitude … après lui avoir fait passer les fourche caudines de virtustotal ! (ce qui non plus n’est pas un gage absolu innocuité du soft !)