Post by Gregory V.

Ingénieur Cybersécurité chez Orange

(repost en public pour un besoin de repartage, les prochains posts seront directement publics) Ainsi, Notepad++, à défaut de trouver un partenaire pour signer numériquement ses binaires, va utiliser un certificat auto-signé. Certains arguments sont entendables sur le poids très (trop ?) important de certaines Certificate Authorities, mais la conséquence est que cela crée un dangereux précédent : si demain les administrateurs système doivent gérer tout un ensemble de cas particuliers, c'est autant de complexité et de risques supplémentaires. La sécurité de la chaîne d'approvisionnement n'en sortira pas grandie. Et reste cet éléphant dans la pièce : tous les installeurs Notepad++ concernés par la CVE-2025-49144 (installeurs jusqu'à la version 8.8.1) constituent un moyen de réaliser une escalade de privilèges sous Windows en quelques clics, et doivent donc être traqués sur les SI comme n'importe quel malware. https://lnkd.in/dV3twQDM

Post content