Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Consultant informatique
    Inscrit en
    avril 2018
    Messages
    443
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Côte d'Ivoire

    Informations professionnelles :
    Activité : Consultant informatique
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : avril 2018
    Messages : 443
    Points : 14 676
    Points
    14 676

    Par défaut Notepad++ 7.6.4 est disponible sans le certificat de signature de code surévalué

    Notepad++ 7.6.4 est disponible sans le certificat de signature de code surévalué
    Mais toujours sécurisé

    Le développeur de Notepad++ a annoncé le mercredi dernier la disponibilité immédiate de la version 7.6.4 à plus d’un mois de la sortie de la version précédente. La toute dernière version du très populaire éditeur de texte générique à code source Open Source, fonctionnant sous Windows et intégrant la coloration syntaxique de code source pour divers langages, bénéficie de la correction de quelques problèmes de vulnérabilité et bogues grâce à l'aide de l'équipe HackerOne, a écrit le développeur.

    La version précédente a également bénéficié du programme d'audit de logiciels libres et open source de la Commission européenne, le projet EU-FOSSA (EU-Free and Open Source Software Auditing : Programme de prime au bogue), qui a permis d’identifier et d’améliorer certains problèmes de sécurité.

    Nom : logoNp.png
Affichages : 4016
Taille : 61,2 Ko

    Cependant, le développeur de Notepad++, Don Ho, a annoncé que le programme supprimera la signature de code à partir de cette nouvelle version 7.6.4. En effet, le dernier certificat qu’utilisait le projet et qui lui avait été offert il y a 3 ans par DigiCert, une autorité de certification privée américaine, a expiré depuis le début de cette année.

    Le temps perdu à essayer d'obtenir un nouveau certificat de signature et le prix déraisonnable d'un tel produit étaient les deux principales causes évoquées par Don Ho qui ont conduit à la décision d'abandonner la signature de code de la version Notepad+++ 7.6.4 et des versions ultérieures.

    Dans la note de version, le développeur a exprimé sa décision en ces propres termes :

    « J'essayais d'acheter un autre certificat à un prix raisonnable. Cependant, je ne peux pas utiliser « Notepad+++ » comme CN pour signer parce que Notepad++ n'existe pas en tant que société ou organisation. J'ai perdu des heures et des heures pour obtenir un certificat approprié au lieu de travailler sur des choses essentielles – projet Notepad++. Je me rends compte que le certificat de signature de code n'est qu'un jouet masturbateur surévalué des auteurs de FOSS – Notepad++ se passe de certificat depuis plus de 10 ans, je ne vois pas pourquoi je devrais ajouter la dépendance maintenant (et être un complice de cette industrie surévaluée). Je décide de m'en passer. », a écrit Don Ho sur le site officiel du projet.

    Nom : Np60.png
Affichages : 4065
Taille : 56,1 Ko

    En effet, la signature de code est la signature numérique de fichiers exécutables et de scripts pour confirmer l'identité de l'auteur du code et garantir que le code n'a pas été modifié ou corrompu depuis qu'il a été signé. Les développeurs de logiciels utilisent ces certificats pour signer numériquement les logiciels qu'ils créent (applications, pilotes, etc.) afin de permettre à leurs utilisateurs de vérifier que le binaire ou le code qu'ils exécutent ou téléchargent n'a pas été modifié ou compromis par un tiers. Ces certificats comprennent des informations sur le développeur du logiciel signé, y compris une signature, le nom de la société et un horodatage.

    De plus, les certificats de signature de code sont vérifiés par Windows lorsque le logiciel est lancé et, lorsqu'il n'est pas présent, le système d'exploitation affiche un avertissement de contrôle de compte d'utilisateur (UAC) pendant l'installation ou au démarrage du programme. Toutefois, selon le développeur, l’absence du certificat de signature de code ne signifie pas qu'il n'y aura plus de sécurité dans Notepad++ 7.6.4 et dans les versions à venir.

    « Le hachage SHA256 de l'installateur et d'autres paquets seront fournis pour chaque version comme d'habitude. », a écrit Don Ho dans la note de Version. « Notepad+++ vérifiera le SHA256 de tous les composants (SciLexer.dll, GUP.exe et nppPluginList.dll) utilisés par le programme. », a-t-il ajouté.

    La note de version dit également que le langage de balisage Markdown est parfaitement intégré à Notepad++ 7.6.4. « Markdown est censé fonctionner dans la version 7.6.3, mais le fichier nécessaire n'est pas déployé correctement par l'installateur. Le bogue est corrigé dans cette version. De plus, Markdown est disponible dans chaque paquet de cette version. », est-il écrit dans la note de version de Notepad++ 7.6.4.

    Si vous voulez essayer la nouvelle version de Notepad++, téléchargez-la ici.

    Source : Site Officiel

    Et vous ?

    Qu’en pensez vous ?
    Que risque NotePad++ 7.6.4 est se passant du certificat de signature de code ?
    Avez-vous déjà utilisé Notepad++ ? Que pensez-vous de l’éditeur open source ?

    Lire aussi

    Notepad ++ : la version 7.6.2 de l'éditeur open source pour Windows est disponible, avec l'estampille « édition gilets jaunes »
    Notepad++ : la mise à jour 7.3.3 corrige la faille exploitée par la CIA, mais est-elle suffisante pour assurer la sécurité des utilisateurs ?
    Quelles sont les entreprises qui contribuent le plus aux projets open source ? Microsoft positionné en tête sur GitHub
    Un logiciel libre doit-il être en mesure de restreindre les tâches que ses utilisateurs peuvent effectuer avec son aide ? Non, pour Richard Stallman
    La France sacrée championne d'Europe du logiciel libre et de l'open source, devant l'Allemagne et le Royaume-Uni
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre extrêmement actif
    Homme Profil pro
    Consultant Ingenierie mécanique
    Inscrit en
    mars 2006
    Messages
    1 076
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Yvelines (Île de France)

    Informations professionnelles :
    Activité : Consultant Ingenierie mécanique
    Secteur : Transports

    Informations forums :
    Inscription : mars 2006
    Messages : 1 076
    Points : 2 298
    Points
    2 298

    Par défaut

    je vois pas bien en quoi un éditeur de texte peut représenter un risque pour la sécurité...

  3. #3
    Responsable 2D/3D/Jeux


    Avatar de LittleWhite
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    mai 2008
    Messages
    24 167
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Ingénieur développement logiciels

    Informations forums :
    Inscription : mai 2008
    Messages : 24 167
    Points : 177 243
    Points
    177 243
    Billets dans le blog
    47

    Par défaut

    Bonjour,

    J'ai envie de dire, que n'importe quel logiciel peu représenter un risque pour la sécurité. Il suffit de provoquer une simple erreur de segmentation pour y arriver. Hypothétiquement, tout logiciel acceptant un flux en entrée (données audio, vidéo, texte...) peut être mis en défaut. Pour s'en rendre compte, il faut regarder comment les hacker arrive à pénétrer dans tel ou tel système, et ce, même s'il est protégé (voir les hacks des consoles, par exemple).
    Vous souhaitez participer à la rubrique 2D/3D/Jeux ? Contactez-moi

    Ma page sur DVP
    Mon Portfolio

    Qui connaît l'erreur, connaît la solution.

  4. #4
    Membre actif Avatar de Elthorn
    Homme Profil pro
    Developpeur VB amateur
    Inscrit en
    mars 2014
    Messages
    86
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 46
    Localisation : France, Seine et Marne (Île de France)

    Informations professionnelles :
    Activité : Developpeur VB amateur
    Secteur : Aéronautique - Marine - Espace - Armement

    Informations forums :
    Inscription : mars 2014
    Messages : 86
    Points : 219
    Points
    219

    Par défaut

    Il est en open source, tu peux donc le modifier pour y insérer des fonctions malveillantes et faire croire que c'est l'original.... ça peut devenir un trojan

  5. #5
    Membre éprouvé

    Profil pro
    Inscrit en
    janvier 2014
    Messages
    520
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : janvier 2014
    Messages : 520
    Points : 1 185
    Points
    1 185

    Par défaut

    Qu’en pensez vous ?
    Que risque NotePad++ 7.6.4 en se passant du certificat de signature de code ?
    Utiliser un certificat c'est ajouter un élément de confiance supplémentaire, techniquement, ça fiabilise un peut plus, mais ça rend pas le soft blindé à toute épreuve.
    Se passer du certificat rend le logiciel statistiquement moins fiable aux yeux de l'utilisateur, mais permet de se soustraire de certains problèmes que l'on à pu lire dans l'actu IT ces 2-3 dernières années.
    Que risque-t-on ? --> déclencher l'UAC ...qui de toute manière est désactivé chez les 3/4 des gens. Ou de se retrouver à utiliser un NotePad++ mouchardé provenant 01net, clubic, softonic, etc. pensant pourtant avoir téléchargé la version originale. Eh oui, les gens téléchargent des logiciels sur des tas de plateformes pointé par Google, parce qu'il ne prennent pas la peine de chercher le site (ou serveur) du développeur pour le récupérer chez lui, beaucoup on une méconnaissance de se que l'on peut rajouter dans un logiciel... ce qui explique surement en partie ce phénomène.


    PS : NotePad++ n'est pas seulement Open-Source, sa licence GNU GPLv2 (v2+?) en fait un logiciel libre par essence.
    Et perso, si le soft est orienté sécurité, je préfère qu'il soit codé par un langage lui permétant d'être proche des composants. En se qui concerne npp, il est codé en C++ & C pour la majeure partie, bien que C++ possède encore de nombreux cas de figure référencé dans sa définition (de plus de 1000 pages) comme ayant des états non déterminés, un programmeur rigoureux prendra soin d'utiliser une syntaxe afin de les éviter (vive le multi-paradigme !!).

    Avez-vous déjà utilisé Notepad++ ? Que pensez-vous de l’éditeur open source ?
    J'ai adoré facilité de gestion d'indentation et de modification de caractère.
    Ex 1 : sélectionner un paver et appuyer sur 'tab' ou 'shift'+'tab', qui à pour effet d'ajouter une tabulation (ou de la retirer) à chaque ligne.
    Ex 2 : sélectionner un pavé et appuyer sur 'alt'+'shift' pour tout mettre en capitale... d'autres fonctions pour tout en minuscule, inverser, etc.
    Ex 3 : visibilité et facilité d'accès au caractéristiques du fichier lui même (encodage, BOM, charset, etc.)
    Ex 4 : recherche et remplacement multiple (automatisé ou non), gestion des expressions régulières
    Ex 5 : possibilité d'éditer sois-même l'intégralité des raccourcis
    Ex 6 : le grand choix des langages profitant de colorations syntaxiques normés (dommage que BASH n'y soit pas) =/

    Je me trompe peut-être, mes ces fonctions étaient soit précurseurs, soit limités à quelques appli métier ...maintenant beaucoup les ont intégrés --> merci aux code source ouvert ! ; )
    Pensez à utiliser les pouces d’appréciation, pour participer à la visibilité de l'apport d'un propos, ou l'intérêt que vous y prêtez... qu'il soit positif ou négatif.

  6. #6
    Membre chevronné
    Homme Profil pro
    Dév. Java & C#
    Inscrit en
    octobre 2002
    Messages
    1 405
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Suisse

    Informations professionnelles :
    Activité : Dév. Java & C#
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : octobre 2002
    Messages : 1 405
    Points : 1 953
    Points
    1 953

    Par défaut

    On parle de prix déraisonnable pour ce certificat.

    Quelqu'un pourrait donner une fourchette de prix ?
    Bien le bonjour chez vous
    Jowo

  7. #7
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur systèmes et réseaux
    Inscrit en
    juin 2016
    Messages
    669
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Bénin

    Informations professionnelles :
    Activité : Administrateur systèmes et réseaux
    Secteur : Aéronautique - Marine - Espace - Armement

    Informations forums :
    Inscription : juin 2016
    Messages : 669
    Points : 20 743
    Points
    20 743

    Par défaut La version 7.6.6 de Notepad++ est disponible

    La version 7.6.6 de Notepad++ est disponible
    elle ajoute la signature GPG pour la vérification de l'authenticité et de l'intégrité des paquetages

    Don Ho, le créateur de Notepad++ a annoncé cette semaine la disponibilité générale de la version 7.6.6 de l’éditeur de texte qui est publiée avec les signatures GPG (GNU Privacy Guard). Il a indiqué que les signatures GPG étaient présentes depuis la version 7.6.5 de Notepad ++. Ainsi, les paquetages distributifs sont signés avec une signature numérique en utilisant GnuPG, ce qui permet aux utilisateurs de valider de manière fiable l'authenticité et l'intégrité des packages Notepad ++. Comme présenté par son site Web officiel, GnuPG est une implémentation complète et gratuite de la norme OpenPGP telle que définie par la RFC4880 (également appelée PGP ). GnuPG vous permet de chiffrer et de signer vos données et vos communications. Il comporte un système de gestion de clés polyvalent, ainsi que des modules d'accès pour tous les types de répertoires de clés publiques.

    GnuPG, également connu sous le nom de GPG , est un outil de ligne de commande doté de fonctionnalités facilitant l'intégration à d'autres applications. Une multitude d'applications à interface graphique et de bibliothèques sont disponibles. GnuPG prend également en charge S/MIME et Secure Shell (ssh). Depuis son apparition en 1997, GnuPG reste un outil multifonction, libre et gratuit, qui permet de signer et de chiffrer à peu près tout ce qui se présente sous forme numérique. Ainsi, pour pouvoir vérifier l’intégrité des packages téléchargés, les utilisateurs de Windows ont le choix parmi plusieurs logiciels. Si vous utilisez Windows, vous pouvez utiliser l’outil GPG natif en ligne de commande, l’outil d’interface graphique Gpg4Win basé sur GnuPG ou vous avez également la possibilité d’utiliser PGP Desktop qui est un outil de l’éditeur Symantec. Dans le même temps, les utilisateurs des distributions Linux possèdent GnuPG par défaut, mais dans le cas contraire, ils pourront le télécharger via le gestionnaire de paquets de la distribution concernée.

    Pour procéder à la vérification de l’intégrité ou l’authenticité d’une signature, vous devez dans un premier temps vous rendre sur la page de téléchargement de l’éditeur pour vous procurer une copie de la clé publique de publication et ensuite l’importer avec votre outil GPG. Lorsque vous utilisez l’outil Gpg4Win, vous pouvez également rechercher une clé sur le serveur de clés via Kleopatra. L'outil PGP Desktop a également cette fonction. Après vous êtes assurés que la clé téléchargée correspond à la clé téléchargée à partir du serveur de clés, vous pouvez l'importer dans votre magasin de clés. Double-cliquez sur le fichier avec la clé de validation, validez ses caractéristiques et assurez-vous qu'elles sont toutes identiques à celles fournies. Ensuite, signez la clé de libération avec votre clé privée et définissez le niveau de confiance que vous aimez.

    Après cela, vous devez télécharger le fichier de signature approprié aux packages que vous avez obtenus. Chaque type de téléchargement (installateur, zip, etc.) aura sa propre signature GPG qui sera utilisée pour valider le fichier. Le lien vers le fichier de signature (.sig) se trouve à proximité du lien de téléchargement du package. Après le téléchargement, assurez-vous que les deux fichiers (package et fichier .sig) se trouvent au même endroit. Ensuite, double-cliquez sur la signature pour lancer le processus de validation. Le résultat devrait indiquer que le fichier a été signé par un nom donné. En remarque, lorsque vous utilisez Kleopatra, assurez-vous que l'étiquette a un fond vert. S'il est en rouge, le package est falsifié ou cassé et doit être supprimé immédiatement. (image de Gpg4Win). Dans le cas de PGP Desktop, assurez-vous que le résultat est coché en vert. Sinon, débarrassez-vous du paquet.

    Nom : semantecEncryption.png
Affichages : 1518
Taille : 49,6 Ko

    Mis à part les signatures GPG, Don Ho a indiqué que la version 7.6.6 de Notepad ++ corrige un problème lié à la détection automatique du langage de codage dans les fichiers. Elle apporte également des correctifs à d’autres bugs précédemment signalés. Enfin, il demande aux utilisateurs de bien vouloir contacter l’équipe de Notepad++ en cas de signature non valide ou tout autre problème. « En cas de signature non valide, ne paniquez pas, mais contactez-nous immédiatement, car il est possible que le fichier malveillant ait été placé sur notre serveur. Votre réponse pourrait nous aider à étudier le problème et à prendre les mesures appropriées », a mis en garde Don Ho.

    Téléchargez Notepad ++ 7.6.6 ici

    Source : Notepad ++

    Et vous ?

    Que pensez-vous de cette nouvelle version de Notepad++ ?

    Voir aussi

    Notepad++ 7.6.4 est disponible sans le certificat de signature de code surévalué, mais toujours sécurisé

    Notepad++ : la mise à jour 7.3.3 corrige la faille exploitée par la CIA mais est-elle suffisante pour assurer la sécurité des utilisateurs ?

    Notepad++ : guide pratique
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  8. #8
    Futur Membre du Club
    Homme Profil pro
    Inscrit en
    octobre 2012
    Messages
    3
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Suisse

    Informations forums :
    Inscription : octobre 2012
    Messages : 3
    Points : 5
    Points
    5

    Par défaut

    Cet outil est devenu inutilisable en entreprise depuis la version 7.6.3 et le remaniement du système de plugins.
    Je suis définitivement passé sur Visual Studio Code et tout fonctionne mieux.

Discussions similaires

  1. Notepad ++ : la version 7.6.2 de l’éditeur open source pour Windows est disponible
    Par Patrick Ruiz dans le forum Logiciels Libres & Open Source
    Réponses: 63
    Dernier message: 25/01/2019, 06h49
  2. Delphi Turbo Explorer gratuit est disponible
    Par etranger dans le forum Outils
    Réponses: 107
    Dernier message: 11/08/2008, 09h34
  3. Réponses: 2
    Dernier message: 18/02/2006, 20h00
  4. Savoir si une lettre reseau est disponible en C++
    Par barthelv dans le forum Windows
    Réponses: 1
    Dernier message: 02/09/2005, 15h05
  5. DevC++ avec un nouveau MinGW est disponible
    Par HRS dans le forum Dev-C++
    Réponses: 1
    Dernier message: 28/02/2005, 13h37

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo