Discussion :

[Stan Adkens]

Notepad++ 7.6.4 est disponible sans le certificat de signature de code surévalué
Mais toujours sécurisé

Le développeur de Notepad++ a annoncé le mercredi dernier la disponibilité immédiate de la version 7.6.4 à plus d’un mois de la sortie de la version précédente. La toute dernière version du très populaire éditeur de texte générique à code source Open Source, fonctionnant sous Windows et intégrant la coloration syntaxique de code source pour divers langages, bénéficie de la correction de quelques problèmes de vulnérabilité et bogues grâce à l'aide de l'équipe HackerOne, a écrit le développeur.

La version précédente a également bénéficié du programme d'audit de logiciels libres et open source de la Commission européenne, le projet EU-FOSSA (EU-Free and Open Source Software Auditing : Programme de prime au bogue), qui a permis d’identifier et d’améliorer certains problèmes de sécurité.

Cependant, le développeur de Notepad++, Don Ho, a annoncé que le programme supprimera la signature de code à partir de cette nouvelle version 7.6.4. En effet, le dernier certificat qu’utilisait le projet et qui lui avait été offert il y a 3 ans par DigiCert, une autorité de certification privée américaine, a expiré depuis le début de cette année.

Le temps perdu à essayer d'obtenir un nouveau certificat de signature et le prix déraisonnable d'un tel produit étaient les deux principales causes évoquées par Don Ho qui ont conduit à la décision d'abandonner la signature de code de la version Notepad+++ 7.6.4 et des versions ultérieures.

Dans la note de version, le développeur a exprimé sa décision en ces propres termes :

« J'essayais d'acheter un autre certificat à un prix raisonnable. Cependant, je ne peux pas utiliser « Notepad+++ » comme CN pour signer parce que Notepad++ n'existe pas en tant que société ou organisation. J'ai perdu des heures et des heures pour obtenir un certificat approprié au lieu de travailler sur des choses essentielles – projet Notepad++. Je me rends compte que le certificat de signature de code n'est qu'un jouet masturbateur surévalué des auteurs de FOSS – Notepad++ se passe de certificat depuis plus de 10 ans, je ne vois pas pourquoi je devrais ajouter la dépendance maintenant (et être un complice de cette industrie surévaluée). Je décide de m'en passer. », a écrit Don Ho sur le site officiel du projet.

En effet, la signature de code est la signature numérique de fichiers exécutables et de scripts pour confirmer l'identité de l'auteur du code et garantir que le code n'a pas été modifié ou corrompu depuis qu'il a été signé. Les développeurs de logiciels utilisent ces certificats pour signer numériquement les logiciels qu'ils créent (applications, pilotes, etc.) afin de permettre à leurs utilisateurs de vérifier que le binaire ou le code qu'ils exécutent ou téléchargent n'a pas été modifié ou compromis par un tiers. Ces certificats comprennent des informations sur le développeur du logiciel signé, y compris une signature, le nom de la société et un horodatage.

De plus, les certificats de signature de code sont vérifiés par Windows lorsque le logiciel est lancé et, lorsqu'il n'est pas présent, le système d'exploitation affiche un avertissement de contrôle de compte d'utilisateur (UAC) pendant l'installation ou au démarrage du programme. Toutefois, selon le développeur, l’absence du certificat de signature de code ne signifie pas qu'il n'y aura plus de sécurité dans Notepad++ 7.6.4 et dans les versions à venir.

« Le hachage SHA256 de l'installateur et d'autres paquets seront fournis pour chaque version comme d'habitude. », a écrit Don Ho dans la note de Version. « Notepad+++ vérifiera le SHA256 de tous les composants (SciLexer.dll, GUP.exe et nppPluginList.dll) utilisés par le programme. », a-t-il ajouté.

La note de version dit également que le langage de balisage Markdown est parfaitement intégré à Notepad++ 7.6.4. « Markdown est censé fonctionner dans la version 7.6.3, mais le fichier nécessaire n'est pas déployé correctement par l'installateur. Le bogue est corrigé dans cette version. De plus, Markdown est disponible dans chaque paquet de cette version. », est-il écrit dans la note de version de Notepad++ 7.6.4.

Si vous voulez essayer la nouvelle version de Notepad++, téléchargez-la ici.

Source : Site Officiel

Et vous ?

Qu’en pensez vous ?
Que risque NotePad++ 7.6.4 est se passant du certificat de signature de code ?
Avez-vous déjà utilisé Notepad++ ? Que pensez-vous de l’éditeur open source ?

Lire aussi

Notepad ++ : la version 7.6.2 de l'éditeur open source pour Windows est disponible, avec l'estampille « édition gilets jaunes »
Notepad++ : la mise à jour 7.3.3 corrige la faille exploitée par la CIA, mais est-elle suffisante pour assurer la sécurité des utilisateurs ?
Quelles sont les entreprises qui contribuent le plus aux projets open source ? Microsoft positionné en tête sur GitHub
Un logiciel libre doit-il être en mesure de restreindre les tâches que ses utilisateurs peuvent effectuer avec son aide ? Non, pour Richard Stallman
La France sacrée championne d'Europe du logiciel libre et de l'open source, devant l'Allemagne et le Royaume-Uni

[Aiekick]

je vois pas bien en quoi un éditeur de texte peut représenter un risque pour la sécurité...

[LittleWhite]

Bonjour,

J'ai envie de dire, que n'importe quel logiciel peu représenter un risque pour la sécurité. Il suffit de provoquer une simple erreur de segmentation pour y arriver. Hypothétiquement, tout logiciel acceptant un flux en entrée (données audio, vidéo, texte...) peut être mis en défaut. Pour s'en rendre compte, il faut regarder comment les hacker arrive à pénétrer dans tel ou tel système, et ce, même s'il est protégé (voir les hacks des consoles, par exemple).

[Delaney]

Il est en open source, tu peux donc le modifier pour y insérer des fonctions malveillantes et faire croire que c'est l'original.... ça peut devenir un trojan

[Steinvikel]

Qu’en pensez vous ?
Que risque NotePad++ 7.6.4 en se passant du certificat de signature de code ?
Utiliser un certificat c'est ajouter un élément de confiance supplémentaire, techniquement, ça fiabilise un peut plus, mais ça rend pas le soft blindé à toute épreuve.
Se passer du certificat rend le logiciel statistiquement moins fiable aux yeux de l'utilisateur, mais permet de se soustraire de certains problèmes que l'on à pu lire dans l'actu IT ces 2-3 dernières années.
Que risque-t-on ? --> déclencher l'UAC ...qui de toute manière est désactivé chez les 3/4 des gens. Ou de se retrouver à utiliser un NotePad++ mouchardé provenant 01net, clubic, softonic, etc. pensant pourtant avoir téléchargé la version originale. Eh oui, les gens téléchargent des logiciels sur des tas de plateformes pointé par Google, parce qu'il ne prennent pas la peine de chercher le site (ou serveur) du développeur pour le récupérer chez lui, beaucoup on une méconnaissance de se que l'on peut rajouter dans un logiciel... ce qui explique surement en partie ce phénomène.


PS : NotePad++ n'est pas seulement Open-Source, sa licence GNU GPLv2 (v2+?) en fait un logiciel libre par essence.
Et perso, si le soft est orienté sécurité, je préfère qu'il soit codé par un langage lui permétant d'être proche des composants. En se qui concerne npp, il est codé en C++ & C pour la majeure partie, bien que C++ possède encore de nombreux cas de figure référencé dans sa définition (de plus de 1000 pages) comme ayant des états non déterminés, un programmeur rigoureux prendra soin d'utiliser une syntaxe afin de les éviter (vive le multi-paradigme !!).

Avez-vous déjà utilisé Notepad++ ? Que pensez-vous de l’éditeur open source ?
J'ai adoré facilité de gestion d'indentation et de modification de caractère.
Ex 1 : sélectionner un paver et appuyer sur 'tab' ou 'shift'+'tab', qui à pour effet d'ajouter une tabulation (ou de la retirer) à chaque ligne.
Ex 2 : sélectionner un pavé et appuyer sur 'alt'+'shift' pour tout mettre en capitale... d'autres fonctions pour tout en minuscule, inverser, etc.
Ex 3 : visibilité et facilité d'accès au caractéristiques du fichier lui même (encodage, BOM, charset, etc.)
Ex 4 : recherche et remplacement multiple (automatisé ou non), gestion des expressions régulières
Ex 5 : possibilité d'éditer sois-même l'intégralité des raccourcis
Ex 6 : le grand choix des langages profitant de colorations syntaxiques normés (dommage que BASH n'y soit pas) =/

Je me trompe peut-être, mes ces fonctions étaient soit précurseurs, soit limités à quelques appli métier ...maintenant beaucoup les ont intégrés --> merci aux code source ouvert ! ; )

[jowo]

On parle de prix déraisonnable pour ce certificat.

Quelqu'un pourrait donner une fourchette de prix ?

[Bill Fassinou]

La version 7.6.6 de Notepad++ est disponible
elle ajoute la signature GPG pour la vérification de l'authenticité et de l'intégrité des paquetages

Don Ho, le créateur de Notepad++ a annoncé cette semaine la disponibilité générale de la version 7.6.6 de l’éditeur de texte qui est publiée avec les signatures GPG (GNU Privacy Guard). Il a indiqué que les signatures GPG étaient présentes depuis la version 7.6.5 de Notepad ++. Ainsi, les paquetages distributifs sont signés avec une signature numérique en utilisant GnuPG, ce qui permet aux utilisateurs de valider de manière fiable l'authenticité et l'intégrité des packages Notepad ++. Comme présenté par son site Web officiel, GnuPG est une implémentation complète et gratuite de la norme OpenPGP telle que définie par la RFC4880 (également appelée PGP ). GnuPG vous permet de chiffrer et de signer vos données et vos communications. Il comporte un système de gestion de clés polyvalent, ainsi que des modules d'accès pour tous les types de répertoires de clés publiques.

GnuPG, également connu sous le nom de GPG , est un outil de ligne de commande doté de fonctionnalités facilitant l'intégration à d'autres applications. Une multitude d'applications à interface graphique et de bibliothèques sont disponibles. GnuPG prend également en charge S/MIME et Secure Shell (ssh). Depuis son apparition en 1997, GnuPG reste un outil multifonction, libre et gratuit, qui permet de signer et de chiffrer à peu près tout ce qui se présente sous forme numérique. Ainsi, pour pouvoir vérifier l’intégrité des packages téléchargés, les utilisateurs de Windows ont le choix parmi plusieurs logiciels. Si vous utilisez Windows, vous pouvez utiliser l’outil GPG natif en ligne de commande, l’outil d’interface graphique Gpg4Win basé sur GnuPG ou vous avez également la possibilité d’utiliser PGP Desktop qui est un outil de l’éditeur Symantec. Dans le même temps, les utilisateurs des distributions Linux possèdent GnuPG par défaut, mais dans le cas contraire, ils pourront le télécharger via le gestionnaire de paquets de la distribution concernée.

Pour procéder à la vérification de l’intégrité ou l’authenticité d’une signature, vous devez dans un premier temps vous rendre sur la page de téléchargement de l’éditeur pour vous procurer une copie de la clé publique de publication et ensuite l’importer avec votre outil GPG. Lorsque vous utilisez l’outil Gpg4Win, vous pouvez également rechercher une clé sur le serveur de clés via Kleopatra. L'outil PGP Desktop a également cette fonction. Après vous êtes assurés que la clé téléchargée correspond à la clé téléchargée à partir du serveur de clés, vous pouvez l'importer dans votre magasin de clés. Double-cliquez sur le fichier avec la clé de validation, validez ses caractéristiques et assurez-vous qu'elles sont toutes identiques à celles fournies. Ensuite, signez la clé de libération avec votre clé privée et définissez le niveau de confiance que vous aimez.

Après cela, vous devez télécharger le fichier de signature approprié aux packages que vous avez obtenus. Chaque type de téléchargement (installateur, zip, etc.) aura sa propre signature GPG qui sera utilisée pour valider le fichier. Le lien vers le fichier de signature (.sig) se trouve à proximité du lien de téléchargement du package. Après le téléchargement, assurez-vous que les deux fichiers (package et fichier .sig) se trouvent au même endroit. Ensuite, double-cliquez sur la signature pour lancer le processus de validation. Le résultat devrait indiquer que le fichier a été signé par un nom donné. En remarque, lorsque vous utilisez Kleopatra, assurez-vous que l'étiquette a un fond vert. S'il est en rouge, le package est falsifié ou cassé et doit être supprimé immédiatement. (image de Gpg4Win). Dans le cas de PGP Desktop, assurez-vous que le résultat est coché en vert. Sinon, débarrassez-vous du paquet.

Mis à part les signatures GPG, Don Ho a indiqué que la version 7.6.6 de Notepad ++ corrige un problème lié à la détection automatique du langage de codage dans les fichiers. Elle apporte également des correctifs à d’autres bugs précédemment signalés. Enfin, il demande aux utilisateurs de bien vouloir contacter l’équipe de Notepad++ en cas de signature non valide ou tout autre problème. « En cas de signature non valide, ne paniquez pas, mais contactez-nous immédiatement, car il est possible que le fichier malveillant ait été placé sur notre serveur. Votre réponse pourrait nous aider à étudier le problème et à prendre les mesures appropriées », a mis en garde Don Ho.

Téléchargez Notepad ++ 7.6.6 ici

Source : Notepad ++

Et vous ?

Que pensez-vous de cette nouvelle version de Notepad++ ?

Voir aussi

Notepad++ 7.6.4 est disponible sans le certificat de signature de code surévalué, mais toujours sécurisé

Notepad++ : la mise à jour 7.3.3 corrige la faille exploitée par la CIA mais est-elle suffisante pour assurer la sécurité des utilisateurs ?

Notepad++ : guide pratique

[Swisstone]

Cet outil est devenu inutilisable en entreprise depuis la version 7.6.3 et le remaniement du système de plugins.
Je suis définitivement passé sur Visual Studio Code et tout fonctionne mieux.