Notepad++, l’éditeur de texte open‑source très populaire auprès des développeurs et utilisateurs avancés, a récemment été touché par une série de failles de sécurité importantes.
Ces vulnérabilités ont des implications réelles pour la sécurité des systèmes, car elles pourraient permettre à des attaquants d’exécuter du code malveillant ou d’installer des logiciels compromis via un mécanisme de mise à jour.
En décembre 2025, des chercheurs en sécurité ont mis en lumière une faible sécurité dans le mécanisme de mise à jour intégré de Notepad++, appelé WinGUp.
- Cette faiblesse permettait à des attaquants d’intercepter le trafic réseau de mise à jour et de rediriger les requêtes vers un serveur malveillant.
- À la place d’un fichier de mise à jour officiel, des exécutables compromis pouvaient alors être téléchargés et exécutés sur les ordinateurs des utilisateurs concernés.
Selon les rapports, des incidents ciblés utilisent cette technique pour compromettre des systèmes au sein d’organisations de télécommunications et de services financiers.
Notepad++ version 8.8.9 a été publiée pour corriger la faille de mise à jour.
- Cette version vérifie les signatures numériques des fichiers avant installation.
- Elle refuse toute mise à jour qui n’est pas signée correctement.
Pour sécuriser vos systèmes, Mettez à jour immédiatement Notepad++ vers la version 8.8.9 ou plus récente depuis le site officiel ou GitHub.