RQTH
CV
LinkedIn
La nouvelle version de Notepad++, à savoir Notepad++ 8.8.3, présente la particularité d’être signée avec un certificat émanent de l’autorité de certification de Notepad++ : pourquoi un tel choix ? Qu’est-ce que ça change ? Faisons le point.
Notepad++ signé avec un certificat… auto-signé
En juin 2025, une faille de sécurité associée à la référence CVE-2025-49144 a été découverte dans Notepad++. En urgence, une nouvelle mise à jour a été mise au point et distribuée, mais tout ne s’est pas passé comme prévu : cette version met en alerte les logiciels antivirus. Ces faux positifs étaient dus à une seule et même raison : l’absence d’un certificat de signature de code, ce qui est important pour prouver l’origine du fichier et son intégrité.
“Le certificat de signature de code Notepad++ délivré par DigiCert a expiré le 15 mai 2025. Malheureusement, il semble que le projet ne réponde plus aux critères de validation, et le nom de l’éditeur “Notepad++” a été rejeté. Je comprends parfaitement la position de l’équipe de validation et je tiens à remercier DigiCert pour sa généreuse donation de 3 certificats sur 9 ans (2016 – 2025).“, peut-on lire sur cette page.
Notepad++ v8.8.2 a donc été publié sans cette signature. Le développeur ne semble pas avoir trouvé de nouveau partenaire pour les futures versions de Notepad++, de ce fait, il a décidé de prendre le taureau par les cornes. Désormais, chaque nouvelle version de Notepad++ sera signée numériquement à l’aide d’une autorité de certification que le développeur a lui-même créée. Il s’agit donc d’utiliser un certificat auto-signé.
Concrètement, cela signifie que Windows et les solutions de sécurité ne vont pas reconnaître cette signature ! Pour que ce soit le cas, les utilisateurs et les administrateurs IT doivent installer manuellement le certificat racine de Notepad++ sur leurs machines. Ce dernier est disponible sur le site officiel et le dépôt GitHub de l’application. C’est le prix à payer pour ce projet qui veut rester libre, tout en permettant aux utilisateurs de créer une chaîne de confiance.
Un pied de nez aux “gardiens du temple”
Ce choix technique, qui est loin d’être idéal, est avant tout un acte militant, né d’une profonde frustration. Le développeur ne cache pas son amertume vis-à-vis des autorités de certification, qui semblent ignorer l’un des projets open source les plus populaires au monde.
Don Ho explique : “Nous essayons toujours d’obtenir un certificat délivré par des autorités de certification conventionnelles, pour une meilleure expérience utilisateur. Mais soyons honnêtes : cela n’arrivera probablement pas. Notepad++ n’est pas une entreprise et apparemment, cela rend un projet open-source populaire invisible à leurs normes de contrôle.“
Le développeur de Notepad++ a donc choisi l’indépendance, même si cela dégrade légèrement l’expérience utilisateur. Une décision assumée et revendiquée : “Si les “gardiens” refusent de délivrer un certificat sous le nom que nous méritons, qu’il en soit ainsi. Au moins, cela nous évitera de perdre du temps et de l’énergie dans une procédure frustrante qui nous oblige à réclamer un nouveau certificat tous les trois ans. Le certificat racine du Bloc-notes++ n’est peut-être pas approuvé par eux, mais il nous conduit à la liberté.”
En marge de ce changement important dans la façon dont est signé l’installeur de Notepad++, cette nouvelle version apporte d’autres changements :
- Un nouveau correctif de sécurité pour la CVE-2025-49144
- La mise à jour d’un composant pour utiliser une version plus récente de cURL et corriger ainsi la CVE-2025-0167
- De nombreux bugs ont été corrigés dans cette version
Vous pouvez voir la liste complète des changements sur cette page.
Source : it-connect.fr
