Après avoir été la cible d’une attaque sophistiquée sur sa chaîne d’approvisionnement, le développeur de Notepad++ a décidé de renforcer le processus de mise à jour de son application. En effet, la version 8.9.2 inaugure une nouvelle architecture double-lock conçue pour empêcher le détournement du processus de mise à jour.

Une mise à jour de sécurité pour Notepad++

La version 8.9.2 de Notepad++ publiée le 16 février 2026 intègre un nouveau mécanisme de mise à jour automatique (via WinGUp). En effet, pour écarter les risques de compromission, une nouvelle architecture basée sur deux niveaux de vérification cryptographique distincts a été intégrée :

1. Vérification de l’installateur : le premier contrôle ordonne au système de d’abord vérifier que l’installateur provient bien de GitHub et qu’il est signé numériquement. C’est ce que fait Notepad++ depuis la version 8.8.9.
2. Validation XML stricte : le second contrôle consiste à vérifier la signature numérique du fichier XML renvoyé par le service de mise à jour (hébergé sur le domaine officiel notepad-plus-plus.org). Cette étape s’appuie sur la spécification XMLDSig. C’est la nouveauté ajoutée par cette version.

“Cette conception à « double verrouillage » rend le processus de mise à jour de Notepad++ robuste et pratiquement impossible à exploiter.“, précise le développeur.

Au-delà de cette amélioration, d’autres changements destinés à améliorer la sécurité globale de Notepad++ ont été introduits dans la version 8.9.2. Cela devrait notamment réduire la surface d’attaque de l’application. Voici les changements opérés :

• Suppression de pour éliminer les risques de DLL side-loading (une technique très utilisée pour charger des DLL malveillantes).
• Retrait d’options SSL non sécurisées dans cURL ( et ).
• Restriction de l’exécution des plugins : la gestion des plugins est désormais limitée aux programmes signés avec le même certificat que WinGUp.

Don Ho, le développeur de Notepad++, en profite pour rappeler qu’il est possible de désactiver les mises à jour automatiques de son application dès le déploiement. Il suffit de préciser le paramètre , comme ceci :

La réponse à l’attaque de Lotus Blossom

Si la sécurité du processus de mise à jour de Notepad++ a été améliorée, ce n’est pas un hasard. Je vous rappelle qu’un incident majeur a été révélé récemment par Notepad++ et les chercheurs de Rapid7. En effet, pendant six mois (de juin à décembre 2025), le groupe de cybercriminels Lotus Blossom, lié à la Chine, a compromis l’infrastructure de mise à jour de l’éditeur.

Étant donné que Notepad++ effectuait peu de contrôles avec les anciennes versions, ils ont pu exploiter cet accès pour rediriger les requêtes de certains utilisateurs. L’objectif étant de déployer une version infectée par une porte dérobée.

• Notepad++ : les mises à jour détournées par des pirates pendant 6 mois
• Piratage de Notepad++ : Lotus Blossom suspecté derrière 3 vagues d’attaques distinctes