Barracuda full logo

L’attaque de Notepad++ et les nouveaux risques liés à la chaîne d’approvisionnement

Thèmes:
19 mars 2026
|
Tony Burgess

Comment un canal de mise à jour fiable est devenu un vecteur de menace et comment y remédier

Ce qu’il faut retenir

  • La compromission visait le mécanisme de livraison des mises à jour, et non le code de l'application Notepad++.
  • La campagne a fonctionné sans être détectée pendant plusieurs mois, affectant un nombre significatif d’utilisateurs.
  • Notepad++ a désormais mis en place un processus de vérification des mises à jour plus solide, vérifiant à la fois les métadonnées des mises à jour et le programme d’installation lui-même.
  • Chaque étape du pipeline de déploiement d’un logiciel est une cible potentielle et doit être surveillée en conséquence.
  • Limiter les applications autorisées, utiliser la protection des terminaux et contrôler les canaux de mise à jour permettent de réduire les risques.
  • Des outils avancés de détection et de réponse peuvent aider à identifier et à contenir rapidement les connexions sortantes anormales et les processus non autorisés.

En février, les responsables de Notepad++ ont révélé un incident de sécurité : des pirates avaient compromis l’infrastructure de distribution des mises à jour du logiciel, redirigeant certains utilisateurs vers un programme d’installation malicieux. Cette violation n'a pas consisté à exploiter une vulnérabilité dans Notepad++ lui-même ou à tromper les utilisateurs avec des fichiers suspects. Au lieu de cela, l'attaque s'est concentrée sur le chemin utilisé pour distribuer des mises à jour légitimes, transformant un processus de confiance en une menace.

Fonctionnement de l'attaque

Les pirates n’ont pas modifié le code source de Notepad++. Au lieu de cela, ils ont compromis l’infrastructure qui indique à l’application où récupérer les mises à jour. Lorsque les utilisateurs sélectionnaient « Rechercher les mises à jour », Notepad++ contactait son service de mise à jour, qui indiquait ensuite l’endroit où télécharger le programme d’installation.

Pendant la violation, qui a duré plusieurs mois en 2025, les pirates ont détourné cette communication et redirigé les utilisateurs vers un fichier malveillant. Ce programme d’installation semblait légitime mais contenait un cheval de Troie. L’étape de téléchargement elle-même n’avait pas changé, mais la source du fichier avait été remplacée par un serveur contrôlé par des pirates.

Impact sur les utilisateurs

Certains utilisateurs qui ont tenté d’effectuer une mise à jour pendant la fenêtre d’attaque ont reçu une version trojanisée de Notepad++. Le programme d’installation malveillant était lié à une opération d’espionnage plutôt qu’à un malware ou à un ransomware répandu. L’objectif était un accès à long terme, le vol de données et le mouvement latéral au sein des environnements affectés, et non un gain financier immédiat ou une perturbation visible.

L’attaque était sélective et ne visait que certains utilisateurs. Cependant, pour les personnes concernées, en particulier dans les entreprises, cela représentait un risque important, car les postes de travail des développeurs ont souvent accès à des ressources sensibles telles que les identifiants, le code source et les outils d’administration.

Caractéristiques de l’attaque de la chaîne d’approvisionnement

Cet incident est un exemple clair de compromission de la chaîne d’approvisionnement, un mode de cyberattaque de plus en plus fréquent. Plutôt que d’attaquer directement les utilisateurs finaux, les acteurs de la menace ont ciblé le canal de distribution en amont.

Les utilisateurs et les équipes informatiques font généralement confiance aux mécanismes de mise à jour, ce qui en fait une cible efficace pour les pirates. Le programme d’installation malveillant étant livré via un processus de mise à jour standard, il était moins susceptible d’être détecté par les contrôles de sécurité conventionnels.

Les systèmes de mise à jour, la signature de code, les pipelines de construction et l’infrastructure du cloud sont des vecteurs de plus en plus attrayants pour les cybercriminels, car la compromission d’un seul point de confiance peut donner accès à de nombreuses cibles en aval. Ces attaques sont redoutables et souvent complexes à détecter, tout particulièrement lorsque le logiciel distribué semble légitime.

Réponse et atténuation

Après avoir découvert l’attaque, les responsables de Notepad++ ont renforcé leur processus de mise à jour en introduisant un modèle de double vérification. Les métadonnées décrivant la mise à jour ainsi que le programme d’installation téléchargé sont désormais vérifiés avant l’installation. Cela réduit le risque de futures attaques par redirection.

Pour atténuer l'exposition aux risques similaires liés à la chaîne d'approvisionnement, les organisations devraient considérer l'infrastructure de livraison des mises à jour comme essentielle et la surveiller attentivement. Voici les étapes supplémentaires :

  • Utilisez des canaux de mise à jour gérés. Dans les organisations, routez les mises à jour via un outil de gestion de logiciels plutôt que de laisser les points de terminaison se mettre à jour automatiquement depuis internet.
  • Vérifiez les signatures et la provenance. Exigez dans la mesure du possible des programmes d’installation signés par le code et n’ignorez pas les avertissements relatifs à la signature. Pour les points de terminaison à haut risque, envisagez de n’autoriser les installations que depuis des sources approuvées.
  • Limitez les personnes autorisées à installer des logiciels. Les comptes utilisateurs standards ne devraient pas pouvoir installer des binaires arbitraires. Les politiques de moindre privilège peuvent aider à limiter les dégâts lorsqu’un programme de mise à jour ne fonctionne pas comme prévu.
  • Surveillez les comportements suspects liés aux mises à jour. L’apparition de nouveaux mécanismes de persistance, la création de processus fils inattendus par un programme de mise à jour ou des connexions sortantes étranges juste après une installation doivent impérativement déclencher une investigation.
  • Tenez un inventaire de ce qui est installé. Vous ne pouvez pas évaluer l'exposition si vous ne savez pas où un outil est déployé, en particulier les utilitaires courants qui se glissent en dehors des processus d'acquisition formels.
  • Prévoyez un plan de retour en arrière. Assurez-vous de pouvoir désinstaller ou rétablir rapidement les versions à grande échelle lorsqu’une mise à jour s’avère être à l’origine du problème.
  • Accélérez la détection des incidents et la réponse. Utilisez des outils avancés de détection et de réponse tels que Barracuda Managed XDR repérer les activités suspectes sur le réseau et y répondre efficacement en temps réel.

L’incident de Notepad++ démontre que même les canaux de mise à jour fiables peuvent être compromis. Les attaques de la chaîne d’approvisionnement sont en augmentation, et une défense efficace nécessite de surveiller toutes les parties du pipeline de déploiement, pas seulement le code de l’application. Le renforcement des processus de vérification et l’utilisation d’outils de sécurité modernes peuvent contribuer à réduire le risque et l’impact d’attaques similaires à l’avenir.

Découvrez comment Barracuda Managed XDR arrête les attaques
Tony Burgess

Avec plus de 20 ans d'expérience dans le secteur de la sécurité informatique, Tony Burgess est Senior Copywriter for Content and Customer Marketing de Barracuda.À ce titre, il effectue des recherches sur des sujets techniques complexes et traduit les résultats en une prose claire et compréhensible.

Vous pouvez vous connecter avec Tony sur LinkedIn ici.

Billets associés :
Rapport Google : davantage de vulnérabilités zero-day impactent les entreprises
Rapport Google : davantage de vulnérabilités zero-day impactent les entreprises
 Sandworm : l’équipe russe chargée de détruire les infrastructures mondiales
Sandworm : l’équipe russe chargée de détruire les infrastructures mondiales
 La technologie automobile, nouvelle surface de cyberattaque d’envergure
La technologie automobile, nouvelle surface de cyberattaque d’envergure
 Malware Brief : quand la chaîne logistique se mue en surface d’attaque
Malware Brief : quand la chaîne logistique se mue en surface d’attaque
Rechercher dans le blog

Rapport 2025 sur les violations de la sécurité des e-mails

Principales conclusions concernant l’expérience et l’impact des failles de sécurité des e-mails sur les organisations du monde entier

Recevez le rapport d'enquête

S’abonner au blog de Barracuda.

Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Rapport d’informations de 2025 sur les clients des fournisseurs de services managés 

Panorama mondial sur les besoins et attentes des organisations vis-à-vis de leurs fournissuers de services managés en cybersécurité

Recevez le rapport d'enquête

Abonnez-vous pour recevoir les nouvelles à connaître sur les menaces, des commentaires sur notre domaine d’activité et bien plus encore.

Recevez directement dans votre boîte de réception toutes les dernières nouvelles, avec nos actualités sur les recherches et nos analyses.