L'éditeur de code Notepad++ a lancé une révision de son mécanisme de mise à jour automatique. Ce changement survient en réponse directe à un incident de sécurité récent, où une attaque a compromis ses serveurs et mis en risque les utilisateurs. La nouvelle implémentation vise à éviter qu'une situation se reproduise où des versions malveillantes pourraient être distribuées via le propre système de mises à jour du programme.
Mécanisme de double verrouillage et vérification cryptographique 🔒
La solution technique repose sur un système de double verrouillage. Désormais, le processus nécessite une confirmation explicite de l'utilisateur pour procéder au téléchargement et à l'installation, ajoutant une barrière d'interaction humaine. En interne, la vérification cryptographique des binaires a été renforcée. Chaque mise à jour doit être signée numériquement avec deux clés distinctes : une du développeur et une autre d'un service de horodatage externe, ce qui rend complexe la falsification d'une version sans accès aux deux.
Mettre à jour maintenant nécessite plus de clics que d'écrire Hello World 😅
Les utilisateurs habitués à la commodité de la mise à jour en un clic peuvent sentir que le processus est maintenant comme passer par deux douanes différentes. D'abord le programme vous demande si vous êtes sûr, ensuite le système d'exploitation vous interroge si vous faites confiance au signataire, et enfin vous-même devez vous questionner si vous avez vraiment besoin de ces nouvelles fonctionnalités. C'est un petit prix en temps pour la sécurité, bien que certains regrettent déjà l'innocence d'autrefois quand un simple Actualiser ne générait pas un moment de réflexion existentielle.