DCOD | Cybersécurité • IA • Tech DCOD | Cybersécurité • IA • Tech
Navigation
  • Accueil
  • Cyber-attaques / fraudes
  • Intelligence artificielle
  • Failles / vulnérabilités
  • Pertes / vols de données
  • Cybercrime
  • Législation
Les derniers articles
  • Illustration pour la veille cybercriminalité et crypto : une paire de menottes en métal repose sur un clavier d'ordinateur au premier plan. En arrière-plan sombre, une silhouette de hacker encapuchonné fait face à un réseau lumineux d'icônes de cryptomonnaies interconnectées, incluant les symboles du Bitcoin et de l'Ethereum, dans des teintes bleues et rouges.
    Cybercriminalité : les 11 opérations et arrestations du 3 juillet 2026
  • Illustration pour la veille sur les fuites de données : une silhouette de hacker encapuchonné dans l'ombre, sur fond de code informatique bleu, est traversée par des faisceaux lumineux diagonaux orange intenses évoquant une alerte de sécurité ou une brèche active.
    Fuites de données : les 11 incidents majeurs au 2 juillet 2026
  • Illustration futuriste pour la veille IA : un cerveau numérique bleu translucide, parcouru de circuits dorés, est au centre d'un tunnel de lumière dynamique composé de flux de données rapides bleus, violets et or, symbolisant la vitesse du progrès technologique.
    IA & Cybersécurité : les 15 actus clés du 1 juillet 2026
  • Photographie d'illustration pour la veille cyberattaque : une silhouette portant un sweat à capuche noir est assise de dos devant plusieurs écrans d'ordinateur affichant du code vert complexe et des données. L'environnement est une salle serveur sombre, éclairée par les lueurs bleues des écrans et des lumières oranges en arrière-plan, évoquant un hacker ou un analyste en action.
    Cyberattaques : les 16 incidents majeurs du 30 juin 2026
  • Illustration d'un centre de commandement cyber pour l'alliance Five Eyes. Un opérateur est vu de dos face à un mur d'écrans de sécurité. Au centre, une carte mondiale projetée avec cinq yeux numériques contenant les drapeaux des pays membres (USA, UK, CA, AU, NZ). Des visualisations de données de menaces IA et des codes cyber flottent dans l'air.
    Five Eyes : l’alliance alerte sur les menaces cyber de l’IA
Suivez en direct
DCOD | Cybersécurité • IA • Tech DCOD | Cybersécurité • IA • Tech
Cybersécurité • IA • Tech

Capter l'info, retenir l'essentiel. Pour les pros et passionnés.

DCOD | Cybersécurité • IA • Tech DCOD | Cybersécurité • IA • Tech DCOD | Cybersécurité • IA • Tech DCOD | Cybersécurité • IA • Tech
  • Cyberattaques
  • Vulnérabilités
  • Vols de données
  • Cybercrime
  • IA & Tech
  • Cyber-attaques / fraudes
  • Failles / vulnérabilités

Notepad++ piraté par un acteur étatique : Six mois d’espionnage silencieux

  • Marc Barbezat
  • 10 février 2026
  • 4 minutes de lecture
Illustration d'un ordinateur portable avec le logo Notepad++ en premier plan pour un article sur le piratage et l'espionnage informatique.
Des pirates liés à la Chine ont infiltré l’écosystème de Notepad++ durant six mois. En piégeant les mises à jour de l’éditeur de texte, ils ont espionné des cibles stratégiques.

TL;DR : L’essentiel

  • De juin au 2 décembre 2025, les attaquants ont compromis les serveurs d’hébergement officiels de Notepad++ pour rediriger sélectivement les mises à jour vers leurs infrastructures malveillantes.
  • L’infection de Notepad++ repose sur un faux installateur « update.exe » qui exploite un exécutable Bitdefender légitime pour charger une DLL malveillante et exécuter la charge utile.
  • Le malware Chrysalis, injecté via Notepad++, utilise le framework d’obfuscation Microsoft Warbird pour se dissimuler, exfiltrant des données et exécutant des commandes arbitraires à distance.
  • Ciblant principalement les secteurs gouvernementaux et télécoms en Asie-Pacifique et Amérique du Sud, cette campagne sophistiquée contre les utilisateurs de Notepad++ mêle outils sur mesure et frameworks commerciaux.
▾ Sommaire
TL;DR : L’essentielL’infrastructure de Notepad++ détournée au niveau de l’hébergeurChrysalis : Une sophistication technique dissimuléeUne persistance neutralisée par la migrationNotepad++ piraté par des hackers parrainés par un État | Notepad++Notepad++ v8.9.2 – Mise à jour de sécurité Double-Lock | Notepad++FAQ : Comprendre les mécanismes de l’attaqueQu’est-ce qu’une DLL malveillante ?Qu’est-ce que le DLL side-loading ?À quoi sert un framework d’obfuscation ?Qu’appelle-t-on une « charge utile » ?Qu’est-ce qu’une backdoor ?Pourquoi la signature XMLDSig est-elle cruciale ?

Une compromission silencieuse de l’écosystème logiciel a permis à un acteur étatique de transformer Notepad++, cet outil open-source populaire, en vecteur d’espionnage ciblé durant six mois. Plutôt que de s’attaquer au code source de l’application, les pirates ont visé l’infrastructure d’hébergement pour intercepter les requêtes de mise à jour légitimes.

L’infrastructure de Notepad++ détournée au niveau de l’hébergeur

L’attaque ne résulte pas d’une vulnérabilité directe dans le code de l’application Notepad++, mais d’une prise de contrôle des serveurs du fournisseur d’hébergement mutualisé. Selon les investigations techniques relayées par The Hacker News, les assaillants ont exploité cet accès privilégié pour intercepter le trafic généré par le processus de mise à jour « GUP.exe » de l’éditeur. Cette position stratégique leur a permis de rediriger spécifiquement certaines requêtes vers des adresses IP malveillantes, livrant une version altérée du logiciel uniquement aux cibles présentant un intérêt pour le groupe Lotus Blossom.

Ce mécanisme de redirection sélective a rendu la détection du piratage de Notepad++ particulièrement complexe. Les attaquants, disposant des identifiants des services internes, ont pu maintenir leur emprise sur le flux de distribution bien après la maintenance serveur initiale de septembre. Comme le précise Wired, cette intrusion a conduit à des incidents de sécurité majeurs où des opérateurs menaçants ont pris le contrôle total des systèmes à distance au sein de trois organisations ayant des intérêts en Asie de l’Est, contournant les vérifications de certificats insuffisantes des anciennes versions de Notepad++.

L'essentiel Cybersécurité, IA & Tech

Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.

Ou suivez le flux temps réel
Telegram Discord

Chrysalis : Une sophistication technique dissimulée

La charge utile délivrée aux utilisateurs de Notepad++, un backdoor inédit nommé Chrysalis, illustre une montée en gamme des capacités techniques du groupe Lotus Blossom. L’implant utilise des techniques avancées de « DLL side-loading », abusant notamment d’un exécutable légitime, l’assistant de soumission Bitdefender renommé « BluetoothService.exe », pour charger le code malveillant. Les experts cités par Security Affairs soulignent l’utilisation du framework de protection de code non documenté Microsoft Warbird, ainsi que des appels système obscurs, démontrant une volonté claire d’échapper aux solutions de détection modernes tout en intégrant des outils standards comme Cobalt Strike.

Une persistance neutralisée par la migration

La réponse à cet incident critique a nécessité une refonte complète de l’architecture de distribution de Notepad++. Le maintien de l’accès pirate jusqu’au 2 décembre 2025 a forcé l’équipe de développement à migrer vers un nouveau fournisseur d’hébergement appliquant des protocoles de sécurité renforcés et une rotation complète des identifiants. Dans un communiqué officiel, le site de Notepad++ confirme que les vulnérabilités exploitées ont été corrigées et que les futures versions du logiciel, à partir de la 8.9.2, imposeront une vérification stricte de la signature XMLDSig pour prévenir toute nouvelle tentative de détournement de flux.

Notepad++ piraté par des hackers parrainés par un État | Notepad++

Suite à la divulgation de la faille de sécurité publiée dans l'annonce de la version 8.8.9, l'enquête s'est poursuivie en collaboration avec des experts externes et avec la pleine participation de mon (désormais ancien) fournisseur d'hébergement mutualisé.

Lire la suite sur notepad-plus-plus.org
Notepad++ piraté par des hackers parrainés par un État | Notepad++

et pour en savoir plus sur la correction :

Notepad++ v8.9.2 – Mise à jour de sécurité Double-Lock | Notepad++

« Le fichier XML renvoyé par le serveur de mise à jour est désormais signé (XMLDSig), et la vérification du certificat et de la signature sera obligatoire à partir de la prochaine version 8.9.2, attendue dans environ un mois. » Comme promis dans l'annonce « Notepad++ piraté par des hackers parrainés par un État », cette version renforce les points faibles du processus de mise à jour de Notepad++.

Lire la suite sur notepad-plus-plus.org
Notepad++ v8.9.2 - Mise à jour de sécurité Double-Lock | Notepad++

FAQ : Comprendre les mécanismes de l’attaque

Qu’est-ce qu’une DLL malveillante ?

Une DLL (Dynamic Link Library) est une « boîte à outils » de code partagée par plusieurs logiciels. Dans cette attaque, les pirates ont remplacé une DLL légitime par une version piégée. Lorsque Notepad++ l’appelle pour fonctionner, il active le virus à son insu, comme s’il ouvrait une porte à un cambrioleur déguisé en réparateur.

Qu’est-ce que le DLL side-loading ?

C’est une technique de piratage qui abuse de la confiance de Windows. Les attaquants déposent un fichier DLL piégé juste à côté d’une application légitime (ici, Bitdefender). Au lancement, l’application se trompe et charge le fichier pirate situé à proximité au lieu du fichier officiel système, permettant au virus de s’exécuter sous une couverture respectable.

À quoi sert un framework d’obfuscation ?

C’est une trousse à outils utilisée pour camoufler le code informatique du virus. L’obfuscation mélange et complexifie les instructions pour rendre le logiciel malveillant illisible aux yeux des analystes de sécurité et invisible pour la plupart des antivirus classiques.

Qu’appelle-t-on une « charge utile » ?

Aussi appelée « payload », c’est la partie active du virus qui réalise l’objectif final de l’attaque. Une fois le logiciel infiltré, la charge utile se déploie pour exécuter la mission réelle : voler des données, prendre le contrôle de la machine ou installer des espions.

Qu’est-ce qu’une backdoor ?

Une « porte dérobée » est un accès secret et permanent installé par les pirates sur l’ordinateur infecté. Elle leur permet de se reconnecter discrètement au système à tout moment pour espionner ou lancer de nouvelles commandes, contournant les systèmes d’authentification normaux.

Pourquoi la signature XMLDSig est-elle cruciale ?

XMLDSig (XML Digital Signature) est un sceau numérique inviolable. Sa « vérification stricte » garantit mathématiquement deux choses : que le fichier de mise à jour provient bien de l’éditeur officiel de Notepad++ et qu’il n’a pas été modifié d’un seul octet par un pirate en cours de route. Si le sceau est brisé, la mise à jour est rejetée.

Zéro paywall. Zéro pub.
DCOD reste en accès libre grâce à vos contributions. Chaque café compte.

☕ Je participe
Etiquettes
  • backdoor
  • cyberespionnage
  • DLL side-loading
  • Notepad++
  • supply chain attack
Marc Barbezat

Fondateur et éditeur de DCOD - Restons en contact !

A lire également
Lignes de code informatique bleues et lumineuses sur fond noir, illustrant le concept de vibe coding et ses enjeux de sécurité informatique, avec le logo dcod.ch visible dans le coin inférieur droit.
Lire l'article

Le vibe coding face aux enjeux de sécurité informatique

Illustration d'un calendrier affichant la date du 24 juin sur fond flou d'écran de démarrage bleu, symbolisant l'échéance où les clés expirées de Secure Boot menacent la sécurité des systèmes Windows et Linux.
Lire l'article

Secure Boot : des clés expirées menacent Windows et Linux

Une main tenant un smartphone affichant une application de paris en ligne devant un match de football, illustrant comment l'illusion de fausses vidéos sur Polymarket dupe les internautes.
Lire l'article

Fausses vidéos sur Polymarket : l’illusion dupe les internautes

Des idées de lecture recommandées par DCOD

Page frontale du livre Cybersécurité : tests d’intrusion des systèmes d’informations web

Cybersécurité : tests d’intrusion des systèmes d’informations web: Le guide des vulnérabilités web

Amplifiez vos compétences en cybersécurité avec ce guide exhaustif sur le pentesting et le bug bounty ! Conçu pour les pentesters, les bug hunters, les développeurs, et en fait toute personne curieuse de plonger dans le monde fascinant de la cybersécurité.

📘 Voir sur Amazon
Page frontale du livre Cybersécurité Nouvelle Génération

Cybersécurité Nouvelle Génération: Défendre Contre les Attaques Intelligentes grâce à l'IA

Dans un paysage numérique dominé par des menaces en constante évolution, les stratégies traditionnelles de cybersécurité ne suffisent plus. Cybersecurity Next-Generation est votre guide incontournable pour comprendre et mettre en œuvre l'intelligence artificielle comme arme stratégique dans la lutte contre les cyberattaques intelligentes et adaptatives.

📘 Voir sur Amazon
Ethical Hacking

Sécurité informatique - Ethical Hacking

Ce livre a pour objectif d'initier le lecteur aux techniques des attaquants pour lui apprendre comment se défendre. Cette nouvelle édition tient compte de l'actualité en matière de sécurité informatique et voit l'apparition de trois nouveaux chapitres qui traitent de la sécurité des mobiles, des voitures connectées et de l'étude des malwares.

📘 Voir sur Amazon

🛒 Les liens ci-dessus sont affiliés : en commandant via ces liens, vous soutenez la veille DCOD sans frais supplémentaires 🙏

💡

Note : Certaines images ou extraits présents dans cet article peuvent provenir de sources externes citées à des fins d’illustration ou de veille.
Ce site est indépendant et à but non lucratif. 👉 En savoir plus sur le cadre d’utilisation.

DCOD | Cybersécurité • IA • Tech DCOD | Cybersécurité • IA • Tech
  • Marc Barbezat
  • À propos de DCOD / Contact
  • Politique de confidentialité
Veille stratégique Cybersécurité, IA & Tech. Produite par Marc Barbezat.

Input your search keywords and press Enter.

DCOD reste gratuit grâce à vous
Vos cafés aident à faire vivre la veille et à couvrir les frais techniques. Merci !
Offrir un café ☕
☕

Soutenir la veille DCOD

DCOD est un site 100% indépendant, maintenu en accès libre grâce à ses lecteurs.
Si cette veille cyber vous est utile, un coup de pouce mensuel aide à la faire vivre et à couvrir les frais techniques.

☕ Soutenir chaque mois