C’est le scénario que tous les mainteneurs open source redoutent, parce qu’il ne vise pas le code… mais la confiance. Notepad++, l’un des éditeurs texte/code les plus installés au monde, a vu son mécanisme de mise à jour détourné sur une longue période — avec, à la clé, un exécutable malveillant servi à certains utilisateurs seulement.

Et, l’affaire, loin d’être un « spray and pray », ressemble davantage à une opération de surveillance soigneusement calibrée.

Ce qui s’est passé : un détournement au niveau de l’hébergeur, pas du logiciel

Dans une note publiée lundi, Don Ho explique que l’incident vient d’une compromission côté hébergement : des utilisateurs « ciblés » ont été redirigés vers des serveurs contrôlés par les attaquants, qui servaient alors un « manifest » de mise à jour malveillant (et potentiellement un exécutable infecté) à la place de la chaîne habituelle.

La fenêtre de vulnérabilité évoquée est longue : de juin 2025 à début décembre 2025, avec une coupure « définitive » de l’accès attaquant annoncée au 2 décembre 2025.

Une partie de la presse va plus loin sur la timeline technique : accès au serveur de l’hébergeur jusqu’au 2 septembre 2025, puis maintien de certains identifiants/services jusqu’au 2 décembre 2025.

Pourquoi ce n’est pas « juste » une faille : une attaque de supply chain, sélective

Le point qui change la gravité (et la nature) de l’affaire, c’est la sélectivité : tous les utilisateurs n’ont pas été concernés. Kevin Beaumont, qui a discuté avec des victimes, évoque des organisations « avec des intérêts en Asie de l’Est », ce qui renforce l’hypothèse d’un ciblage espionnage plutôt qu’un ransomware de masse.

Reuters relaye également une attribution vers un groupe lié à la Chine, avec une campagne de type cyberespionnage, et note que l’agence américaine CISA s’intéresse à l’impact potentiel sur des systèmes gouvernementaux.

Ce que risque un utilisateur

Les descriptions techniques varient selon les analyses, mais le schéma est clair : l’attaquant cherche un accès initial, puis fait du « hands–on–keyboard » (activité interactive sur la machine), typique des opérations d’espionnage.

L’exécutable malveillant est décrit comme pouvant permettre un contrôle à distance, dont l’accès au clavier.

Ce que vous devez faire si vous utilisez Notepad++

Les recommandations, ici, sont plus proches d’un protocole d’hygiène que d’un « patch et on oublie » :

Mettre à jour vers la version 8.8.9 ou plus (c’est le minimum conseillé publiquement pour corriger la faiblesse du processus de mise à jour).
Télécharger la version directement depuis le site officiel (éviter les miroirs ou builds non officiels).
Surveiller le comportement de gup.exe (l’updater) : connexions réseau inhabituelles, lancement de processus suspects, comportements anormaux.
Vérifier le dossier TEMP : présence d’un update.exe ou AutoUpdater.exe suspect est un signal d’alerte fréquemment cité.

Si vous êtes en environnement pro (IT, sécurité), l’affaire mérite aussi une vérification « posture supply chain » : logs réseau autour de l’updater, inventaire des versions installées sur la période juin–décembre 2025, et inspection des endpoints où Notepad++ est largement déployé.

Le contexte politique : une vieille friction qui redevient pertinente

Impossible de ne pas relever l’ironie : Notepad++ traîne un historique de tensions autour de prises de position de son mainteneur. En 2019, une version baptisée « Free Uyghur » avait déjà entraîné des attaques et des réactions hostiles.

Ça ne prouve pas un lien direct — mais ça rappelle une réalité : dans la supply chain, la technique et la géopolitique se croisent plus souvent qu’on ne l’admet.

Ce que cette affaire raconte, au fond

Cette attaque est un cas d’école : l’open source n’a pas besoin d’être compromis dans son dépôt Git pour être compromis chez l’utilisateur. Il suffit d’un maillon faible (hébergeur, DNS, manifest de mise à jour, certificat, pipeline) pour transformer une routine banale — « Update available » — en porte d’entrée.

Et c’est précisément ce qui rend l’incident Notepad++ si important : il normalise l’idée que, désormais, la sécurité d’un outil ne se mesure plus seulement à son code… mais à l’intégrité de tout ce qui permet de le livrer.

Prochaine Xbox : AMD confirme le lancement pour 2027 avec une puce « Magnus »

Firefox ajoute un bouton « anti-IA » : Mozilla officialise un mode sans IA dès la version 148

Migration Fitbit : Google repousse la date limite au 19 mai 2026

Moltbook : le réseau social réservé aux agents IA qui préfigure l’ère des « bot swarms »

Test du DJI ROMO P : DJI réussit-il son premier robot aspirateur haut de gamme ?

Test de NotebookLM : L’application de Google est-elle le copilot IA rêvé ?

Test Huawei MatePad 11.5 : La tablette PaperMatte, l’alliée idéale pour les étudiants et pros ?

Faut-il craquer pour la Huawei Watch GT 6 Pro ? Les premières impressions

iPhone 18 Pro : Pourquoi Apple conserverait le design audacieux du 17 Pro en 2026

Samsung Galaxy S26 : La stratégie « prix stables » malgré l’explosion du coût de la RAM

iPhone Fold : Pourquoi Apple déplace les boutons de volume sur le dessus

Galaxy S26 Ultra : Le Qi2 natif sacrifié au profit des coques magnétiques ?

Grok Imagine 1.0 : xAI lance la vidéo 720p avec audio synchronisé et 10 secondes d’action

OpenClaw : tout ce qu’il faut savoir sur l’agent IA open source qui fait parler la tech

Gemini 3 Flash : Agentic Vision transforme l’analyse d’images en enquête avec exécution de code

LM Studio 0.4.0 : l’app « ChatGPT local » se réinvente en serveur IA (et change de dimension)