Personnalisation totale, respect de la vie privée, PC anciens remis à neuf… Linux continue d’offrir des libertés que Windows 11 limite
Cet article Linux vs Windows, 5 choses puissantes que Linux permet et pas Windows a été publié en premier par GinjFo.
Le projet Notepad++, éditeur de texte open source très utilisé, a confirmé qu’une campagne de piratage sophistiquée a compromis son mécanisme de mise à jour. Selon les développeurs, des acteurs liés à un État ont réussi à détourner une partie du trafic de mises à jour du logiciel vers des serveurs contrôlés par les attaquants.
L’incident ne résulte pas d’une vulnérabilité dans le code de Notepad++ lui-même, mais d’un compromis au niveau de l’infrastructure d’hébergement utilisée pour distribuer les mises à jour. En exploitant ce point faible, les attaquants ont intercepté et redirigé les requêtes du système de mise à jour interne (WinGUp), faisant croire aux clients qu’ils téléchargeaient une mise à jour légitime alors qu’ils recevaient potentiellement des exécutables malveillants.
D’après l’analyse publiée par les maintainers, l’attaque a débuté en juin 2025 et s’est poursuivie pendant plusieurs mois. Le serveur partagé de l’hébergeur a été compromis jusqu’au 2 septembre 2025, date à laquelle l’accès direct a été perdu. Cependant, les attaquants ont conservé des identifiants internes jusqu’au 2 décembre 2025, ce qui leur a permis de maintenir la redirection du trafic pour certains utilisateurs ciblés.
Les informations disponibles indiquent que la campagne n’était pas globale, mais ciblée : seuls certains utilisateurs ont été redirigés vers les serveurs frauduleux, ce qui laisse penser que les attaques visaient des profils spécifiques plutôt que l’ensemble de la base d’utilisateurs. Cette sélectivité a conduit plusieurs experts à attribuer l’opération à un groupe de menaces étatique, probablement lié à la Chine.
L’incident ne provient pas d’une faille classique dans le code de Notepad++, mais d’une faiblesse dans le mécanisme de mise à jour automatique (« WinGUp ») utilisé par l’éditeur pour vérifier et installer les nouvelles versions. C’est ce composant qui a permis à des fichiers malveillants d’être récupérés et exécutés sous certaines conditions.
Un utilisateur avait observé qu’au lieu de télécharger et lancer le binaire officiel de mise à jour, l’outil de mise à jour créait un fichier AutoUpdater.exe dans le répertoire temporaire du système (%TEMP%) puis l’exécutait. Ce binaire inconnu n’a rien à voir avec WinGUp et s’est comporté comme un programme de reconnaissance système, exécutant des commandes Windows classiques comme netstat, systeminfo, tasklist ou whoami. Ces résultats étaient ensuite exfiltrés vers un service tiers.
Normalement, WinGUp n’utilise pas l’utilitaire système curl.exe, mais une bibliothèque interne pour gérer les requêtes réseau. Ce comportement inhabituel a donc été un des premiers signes qu’un composant malveillant avait été exécuté via le mécanisme de mise à jour.
Quand Notepad++ vérifie la disponibilité d’une nouvelle version, le module met à jour effectue une requête vers une URL qui retourne un fichier XML (gup.xml) indiquant la localisation du fichier d’installation à télécharger. Par exemple :
Connexion<GUP>
<NeedToBeUpdated>yes</NeedToBeUpdated>
<Version>8.8.8</Version>
<Location>https://github.com/notepad-plus-plus/notepad-plus-plus/releases/download/v8.8.8/npp.8.8.8.Installer.exe</Location>
</GUP>Ce fichier est ensuite téléchargé et exécuté par WinGUp.
La faiblesse venait du fait que WinGUp ne vérifiait pas suffisamment la signature du fichier téléchargé. Si un attaquant avait réussi à intercepter ou manipuler ce trafic — par exemple en redirigeant la requête vers un serveur contrôlé par lui — il pouvait fournir un fichier exécutable piégé à la place de l’installateur officiel. Ce binaire malveillant s’exécutait avec les privilèges de l’outil de mise à jour et pouvait donc lancer d’autres actions sur la machine.
Pour corriger cette faiblesse, les développeurs ont publié plusieurs versions successives :
Depuis la version 8.8.7, tous les binaires officiels de Notepad++ sont signés avec un certificat numérique issu d’une autorité de confiance (GlobalSign). Les utilisateurs qui avaient installé des certificats auto-signés antérieurs sont invités à les supprimer pour éviter toute confusion ou validation incorrecte.
Ces mesures techniques réduisent significativement la surface d’attaque en empêchant l’exécution de fichiers non autorisés par l’updater, même si l’origine exacte de l’interception du trafic n’a pas encore été pleinement élucidée.
Jusqu’à présent, l’incident semble avoir touché un petit nombre d’utilisateurs spécifiques, plutôt que d’avoir été exploité à grande échelle. Certains chercheurs en sécurité ont signalé des cas où des exécutables malveillants ont été téléchargés à la place de mises à jour, et où des actions de reconnaissance ou d’exfiltration d’informations ont été observées.
Pour les environnements professionnels ou sensibles, il est recommandé d’adopter des stratégies de sécurité supplémentaires, comme la validation des signatures de code, la surveillance des installations logicielles et l’utilisation de politiques de restriction d’exécution pour éviter que des binaires non approuvés ne soient lancés.
Cette affaire rappelle l’importance cruciale de la sécurité de la chaîne d’approvisionnement logicielle, même pour des outils open source populaires comme Notepad++. Un compromis au niveau de l’infrastructure d’hébergement peut suffire à détourner le trafic de mise à jour et à exposer des utilisateurs à des risques importants. Mettre à jour vers les versions les plus récentes et renforcer les mécanismes de validation de code sont des étapes indispensables pour se protéger contre ce type de menace.
L’article Notepad++ compromis par des pirates : ce qu’il faut savoir est apparu en premier sur malekal.com.
Vous utilisez WSL sous Windows mais vous en avez marre de devoir jongler avec les commandes PowerShell dès qu'il s'agit de gérer vos distributions ?
C'est vrai que taper du wsl --import ou du wsl --unregister à chaque fois qu'on veut tester une nouvelle instance, ça finit par être un peu lourd.
Heureusement, y’a un dev, Eric Trenkel (alias bostrot), qui a eu la bonne idée de sortir WSL Manager (qu'on connaissait aussi sous le nom de WSL2 Distro Manager), une interface graphique complète pour piloter tout ça sans se faire mal au terminal.
Cette application, développée avec Flutter offre une vue d'ensemble sur toutes vos instances WSL installées. Ainsi, en un clic, vous pouvez les démarrer, les arrêter, les renommer ou même changer leur version.
Mais là où l'outil excelle, c'est dans sa capacité à importer de nouveaux environnements. Pour ceux qui se demandent comment ça se passe pour récupérer des distributions exotiques, sachez que WSL Manager permet de télécharger et d'utiliser n'importe quelle image Docker comme base pour une instance WSL, et ce, sans même avoir besoin d'installer Docker Desktop sur votre machine.
Par exemple si vous voulez un Alpine minimaliste pour du test ou un Kali pour du pentest, vous l'importez direct depuis les registres Docker et hop, vous avez un nouveau système prêt à l'emploi.
C'est d'ailleurs un excellent complément à des outils comme DockStation si vous voulez garder une approche visuelle de vos conteneurs, ou même WinBoat pour faire tourner du Windows dans Docker. L'application propose aussi des "Quick Actions", qui sont en gros des petits scripts prédéfinis que vous pouvez exécuter directement sur vos instances pour automatiser les tâches répétitives. Vous pouvez également lancer directement Windows Terminal ou VS Code dans la distribution de votre choix en un seul clic.
Si ça vous branche, plusieurs options s'offrent à vous pour l'installer. Comme le projet est open source sous licence GPL-3.0, vous pouvez récupérer les exécutables gratuitement sur la page GitHub du projet.
Il existe aussi une version sur le Microsoft Store et notez aussi que bien que des paquets winget ou Chocolatey existent, ils sont souvent maintenus par la communauté et pas forcément à jour, donc privilégiez le téléchargement direct ou le Store pour être tranquille.
Voilà, si vous passez vos journées sous Linux tout en restant dans l'écosystème Microsoft, WSL Manager c'est le feu et ça permet de se concentrer sur son boulot plutôt que sur la syntaxe des commandes de gestion système.
Merci à Lorenper pour la découverte !
Microsoft a présenté une feuille de route en 3 phases pour désactiver par défaut NTLM dans les prochaines versions de Windows et Windows Server.
Le post Fin du protocole NTLM : Microsoft dévoile son plan d’attaque en 3 phases a été publié sur IT-Connect.
Microsoft a confirmé qu’il allait désactiver par défaut le protocole d’authentification NTLM (NT LAN Manager) dans les futures versions de Windows — notamment dans les prochains Windows Server et les éditions clients associées — dans le cadre d’un plan de modernisation de la sécurité. Cette décision marque une étape importante dans la transition vers des méthodes d’authentification plus robustes et résistantes au phishing.
NTLM (NT LAN Manager) est un protocole d’authentification développé par Microsoft à la fin des années 1990 pour permettre aux utilisateurs de s’authentifier sur des systèmes Windows et des ressources réseau (partages de fichiers, imprimantes, services). Concrètement, NTLM sert à vérifier l’identité d’un utilisateur sans transmettre son mot de passe en clair : le système échange des hashs dérivés du mot de passe pour prouver l’authentification. Pendant de nombreuses années, NTLM a été largement utilisé dans les environnements Windows, en particulier sur des réseaux locaux simples ou avec des applications héritées. Toutefois, ce protocole repose sur des mécanismes cryptographiques aujourd’hui dépassés et ne fournit pas les protections modernes contre les attaques réseau, ce qui explique pourquoi Microsoft cherche désormais à le remplacer par des solutions plus sûres comme Kerberos.
Ce protocole est utilisé depuis près de 30 ans pour l’authentification dans les environnements Windows, a longtemps été maintenu pour assurer la compatibilité avec des systèmes anciens et des scénarios réseau hérités.
Toutefois, ses mécanismes sont désormais jugés insuffisants face aux menaces modernes telles que les attaques de type Pass-the-Hash ou NTLM Relay.
Microsoft a exposé une approche progressive pour réduire et finalement désactiver NTLM par défaut :
Selon Microsoft, cette démarche ne signifie pas le retrait immédiat de NTLM, mais plutôt que le système sera livré dans un état « secure-by-default » où Kerberos et d’autres méthodes plus modernes sont privilégiées.
NTLM est considéré comme un protocole obsolète et vulnérable parce qu’il repose sur des mécanismes cryptographiques anciens et que certains scénarios d’attaque modernes permettent d’exploiter ses faiblesses — notamment via des techniques comme Pass-the-Hash ou Pass-the-Ticket, qui exploitent la façon dont les identifiants sont transmis ou stockés dans certains contextes réseau.
En mettant NTLM en arrière-plan et en rendant Kerberos ou des alternatives plus sécurisées la norme, Microsoft veut réduire l’exposition des systèmes Windows aux attaques par usurpation d’identité et aux mouvements latéraux dans les réseaux. Cette stratégie s’aligne avec les principes de Zero Trust et avec les efforts continus de Microsoft pour renforcer la sécurité par défaut sur ses plateformes.
La désactivation de NTLM par défaut aura des implications pratiques, notamment dans les environnements d’entreprise où des applications ou services hérités utilisent encore NTLM pour l’authentification. Voici ce que les responsables IT doivent prendre en compte :
Microsoft prévoit de rendre ces changements disponibles progressivement avec les prochaines versions de Windows Server et des éditions clientes. La seconde phase, avec des fonctionnalités comme IAKerb et Local KDC, est attendue dans la seconde moitié de 2026, et la désactivation par défaut de NTLM en production interviendra ensuite dans des versions futures.
Même une fois désactivé par défaut, NTLM restera toujours présent dans les systèmes pour garantir une compatibilité maximale, mais il ne sera plus utilisé automatiquement pour l’authentification réseau à moins d’être explicitement réactivé via une stratégie.
Microsoft s’oriente vers une suppression progressive de NTLM comme méthode d’authentification par défaut dans les futures versions de Windows, au profit de solutions modernes comme Kerberos. Ce changement, prévu en plusieurs étapes entre 2026 et les années suivantes, a pour but de renforcer la sécurité des environnements Windows en réduisant les vecteurs d’attaque liés à un protocole jugé obsolète et vulnérable.
L’article Microsoft annonce la désactivation par défaut de NTLM dans les futures versions de Windows est apparu en premier sur malekal.com.
Vous avez un logiciel qui cause un peu trop avec Internet alors qu'il n'a rien à y faire ? Ou un petit utilitaire qui balance de la télémétrie dans votre dos sans vous demander votre avis ? Ou peut-être juste une application que vous voulez forcer en mode hors-ligne sans pour autant couper tout votre réseau ?
C'est LA situation classique où pour leur couper la chique, on finit par se battre avec les menus obscurs du pare-feu Windows. Sauf que maintenant, y'a un petit outil CLI qui fait exactement ça en une seconde : ProcNetBlocker .
C'est un utilitaire Windows en ligne de commande qui permet de bloquer l'accès réseau de n'importe quel processus comme ça pas besoin de créer des règles à rallonge. Vous tapez une commande, et hop, le processus est instantanément coupé du monde extérieur. C'est idéal pour blinder sa vie privée face au tracking incessant de certains éditeurs.
L'outil est super flexible puisqu'il propose deux approches. La première, c'est de cibler un processus par son PID (l'identifiant de processus). C'est parfait pour agir dans l'urgence sur un truc qui tourne déjà. La seconde, c'est de bloquer par le chemin de l'exécutable. Là, c'est plus radical puisque l'outil crée une règle persistante qui s'appliquera à chaque fois que vous lancerez cette application précise.
Le truc est portable (un petit ZIP de 7,5 Mo), et faut juste avoir les droits administrateur (logique, puisqu'on touche au pare-feu) et s'assurer que le service du pare-feu Windows est bien en cours d'exécution. Si vous utilisez déjà des solutions comme CrowdSec pour sécuriser vos serveurs, ProcNetBlocker sera un excellent complément pour vos postes de travail.
Une fois le ZIP récupéré sur le site d'AutoClose, voici les commandes magiques à connaître :
1. Bloquer un processus par son PID
Si vous connaissez l'ID du processus (via le gestionnaire des tâches ou un petit tasklist) :
procnetblocker.exe --block 1234
2. Bloquer un exécutable de façon permanente
procnetblocker.exe --block "C:\Chemin\Vers\MonApp.exe" --exe
3. Vérifier le statut d'un blocage
procnetblocker.exe --status "C:\Chemin\Vers\MonApp.exe" --exe
4. Débloquer le réseau
procnetblocker.exe --unblock 1234
Le projet supporte Windows 7, 8, 10 et 11 (ainsi que les versions Server en 64 bits) et c'est un must-have pour ceux qui aiment garder le contrôle sur ce qui sort de leur ordi !
Merci à Woody pour le partage !
Yop !
Si vous avez la sensation que votre Windows 11 est devenu une espèce de panneau publicitaire géant bourré d'IA dont vous ne voulez pas, j'ai ce qu'il vous faut !!
Satya Nadella (le patron de Microsoft) a récemment parlé de "Slop" (ça veut dire bouillie) à propos de l'IA générative dans un billet de blog, mais ironiquement, c'est exactement ce que beaucoup reprochent à son OS aujourd'hui. A savoir que c'est devenu une accumulation de fonctionnalités imposées...
Sauf que voilà, pour nous, ça reste du gras qui peut ralentir certaines machines et polluer l'expérience. J'ai d'ailleurs passé pas mal de temps aujourd'hui sur un PC Windows 11 à essayer de virer manuellement des soft inutiles... Une tannée.
Hé bien, notre ami builtbybel (le créateur du génial FlyOOBE ) est de retour avec un nouvel outil baptisé Winslop.
L'objectif c'est de passer le Karcher sur la façade de votre OS pour virer tout ce qui ne sert à rien. En fait c'est un fork de son ancien projet CrapFixer, mais remis au goût du jour pour s'occuper spécifiquement des nouveautés un peu trop envahissantes de Redmond.
Concrètement, Winslop s'attaque à quatre types de "Slop" (et c'est un sacré paquet de trucs) :
Ce que je trouve top avec cet outil, c'est qu'il n'y a pas de magie. Vous récupérez l'archive sur GitHub (c'est une app portable), vous dézippez, vous lancez l'exécutable (en tant qu'administrateur pour que tout fonctionne), il scanne votre système, et il vous propose une liste de trucs à virer. Hop, vous cochez, vous appliquez, et c'est réglé.
Et là, vous me dites "Ouiiii mais euuuh si ça casse tout ?". Hé bien sachez les chers amis, Winslop met un point d'honneur à la réversibilité ! Donc normalement y'aura pas de soucis, mais je préfère être clair avec vous... Quand on touche aux entrailles de Windows, même Dieu ne peut pas savoir ce qui va arriver.
Donc, comme je le pête et le répète jamais assez, faites une sauvegarde ou un point de restauration avant de toucher à quoi que ce soit. On n'est jamais à l'abri d'un clic malheureux ou d'une mise à jour Windows qui n'aime pas qu'on lui grattouille les fichiers système. J'ai déjà eu le tour avec un script PowerShell obscur que j'avais lancé en mode yolo, et croyez-moi, je m'en suis mordu les doigts.
Voilà, donc à tous ceux qui se demandent comment supprimer les bloatwares sur Windows 11 sans y passer l'après-midi, Winslop est une solution géniale pour faire le ménage. Ça redonnera un peu d'air à votre ordi.
