Notepad++ 7.6.4 est disponible sans le certificat de signature de code surévalué,
Mais toujours sécurisé

Le , par Stan Adkens

81PARTAGES

14  0 
Le développeur de Notepad++ a annoncé le mercredi dernier la disponibilité immédiate de la version 7.6.4 à plus d’un mois de la sortie de la version précédente. La toute dernière version du très populaire éditeur de texte générique à code source Open Source, fonctionnant sous Windows et intégrant la coloration syntaxique de code source pour divers langages, bénéficie de la correction de quelques problèmes de vulnérabilité et bogues grâce à l'aide de l'équipe HackerOne, a écrit le développeur.

La version précédente a également bénéficié du programme d'audit de logiciels libres et open source de la Commission européenne, le projet EU-FOSSA (EU-Free and Open Source Software Auditing : Programme de prime au bogue), qui a permis d’identifier et d’améliorer certains problèmes de sécurité.


Cependant, le développeur de Notepad++, Don Ho, a annoncé que le programme supprimera la signature de code à partir de cette nouvelle version 7.6.4. En effet, le dernier certificat qu’utilisait le projet et qui lui avait été offert il y a 3 ans par DigiCert, une autorité de certification privée américaine, a expiré depuis le début de cette année.

Le temps perdu à essayer d'obtenir un nouveau certificat de signature et le prix déraisonnable d'un tel produit étaient les deux principales causes évoquées par Don Ho qui ont conduit à la décision d'abandonner la signature de code de la version Notepad+++ 7.6.4 et des versions ultérieures.

Dans la note de version, le développeur a exprimé sa décision en ces propres termes :

« J'essayais d'acheter un autre certificat à un prix raisonnable. Cependant, je ne peux pas utiliser « Notepad+++ » comme CN pour signer parce que Notepad++ n'existe pas en tant que société ou organisation. J'ai perdu des heures et des heures pour obtenir un certificat approprié au lieu de travailler sur des choses essentielles – projet Notepad++. Je me rends compte que le certificat de signature de code n'est qu'un jouet masturbateur surévalué des auteurs de FOSS – Notepad++ se passe de certificat depuis plus de 10 ans, je ne vois pas pourquoi je devrais ajouter la dépendance maintenant (et être un complice de cette industrie surévaluée). Je décide de m'en passer. », a écrit Don Ho sur le site officiel du projet.


En effet, la signature de code est la signature numérique de fichiers exécutables et de scripts pour confirmer l'identité de l'auteur du code et garantir que le code n'a pas été modifié ou corrompu depuis qu'il a été signé. Les développeurs de logiciels utilisent ces certificats pour signer numériquement les logiciels qu'ils créent (applications, pilotes, etc.) afin de permettre à leurs utilisateurs de vérifier que le binaire ou le code qu'ils exécutent ou téléchargent n'a pas été modifié ou compromis par un tiers. Ces certificats comprennent des informations sur le développeur du logiciel signé, y compris une signature, le nom de la société et un horodatage.

De plus, les certificats de signature de code sont vérifiés par Windows lorsque le logiciel est lancé et, lorsqu'il n'est pas présent, le système d'exploitation affiche un avertissement de contrôle de compte d'utilisateur (UAC) pendant l'installation ou au démarrage du programme. Toutefois, selon le développeur, l’absence du certificat de signature de code ne signifie pas qu'il n'y aura plus de sécurité dans Notepad++ 7.6.4 et dans les versions à venir.

« Le hachage SHA256 de l'installateur et d'autres paquets seront fournis pour chaque version comme d'habitude. », a écrit Don Ho dans la note de Version. « Notepad+++ vérifiera le SHA256 de tous les composants (SciLexer.dll, GUP.exe et nppPluginList.dll) utilisés par le programme. », a-t-il ajouté.

La note de version dit également que le langage de balisage Markdown est parfaitement intégré à Notepad++ 7.6.4. « Markdown est censé fonctionner dans la version 7.6.3, mais le fichier nécessaire n'est pas déployé correctement par l'installateur. Le bogue est corrigé dans cette version. De plus, Markdown est disponible dans chaque paquet de cette version. », est-il écrit dans la note de version de Notepad++ 7.6.4.

Si vous voulez essayer la nouvelle version de Notepad++, téléchargez-la ici.

Source : Site Officiel

Et vous ?

Qu’en pensez vous ?
Que risque NotePad++ 7.6.4 est se passant du certificat de signature de code ?
Avez-vous déjà utilisé Notepad++ ? Que pensez-vous de l’éditeur open source ?

Lire aussi

Notepad ++ : la version 7.6.2 de l'éditeur open source pour Windows est disponible, avec l'estampille « édition gilets jaunes »
Notepad++ : la mise à jour 7.3.3 corrige la faille exploitée par la CIA, mais est-elle suffisante pour assurer la sécurité des utilisateurs ?
Quelles sont les entreprises qui contribuent le plus aux projets open source ? Microsoft positionné en tête sur GitHub
Un logiciel libre doit-il être en mesure de restreindre les tâches que ses utilisateurs peuvent effectuer avec son aide ? Non, pour Richard Stallman
La France sacrée championne d'Europe du logiciel libre et de l'open source, devant l'Allemagne et le Royaume-Uni

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Aiekick
Membre chevronné https://www.developpez.com
Le 09/03/2019 à 2:32
je vois pas bien en quoi un éditeur de texte peut représenter un risque pour la sécurité...
Avatar de LittleWhite
Responsable 2D/3D/Jeux https://www.developpez.com
Le 09/03/2019 à 21:37
Bonjour,

J'ai envie de dire, que n'importe quel logiciel peu représenter un risque pour la sécurité. Il suffit de provoquer une simple erreur de segmentation pour y arriver. Hypothétiquement, tout logiciel acceptant un flux en entrée (données audio, vidéo, texte...) peut être mis en défaut. Pour s'en rendre compte, il faut regarder comment les hacker arrive à pénétrer dans tel ou tel système, et ce, même s'il est protégé (voir les hacks des consoles, par exemple).
Avatar de Elthorn
Membre habitué https://www.developpez.com
Le 09/03/2019 à 21:41
Il est en open source, tu peux donc le modifier pour y insérer des fonctions malveillantes et faire croire que c'est l'original.... ça peut devenir un trojan
Avatar de Steinvikel
Membre éprouvé https://www.developpez.com
Le 10/03/2019 à 19:38
Qu’en pensez vous ?
Que risque NotePad++ 7.6.4 en se passant du certificat de signature de code ?
Utiliser un certificat c'est ajouter un élément de confiance supplémentaire, techniquement, ça fiabilise un peut plus, mais ça rend pas le soft blindé à toute épreuve.
Se passer du certificat rend le logiciel statistiquement moins fiable aux yeux de l'utilisateur, mais permet de se soustraire de certains problèmes que l'on à pu lire dans l'actu IT ces 2-3 dernières années.
Que risque-t-on ? --> déclencher l'UAC ...qui de toute manière est désactivé chez les 3/4 des gens. Ou de se retrouver à utiliser un NotePad++ mouchardé provenant 01net, clubic, softonic, etc. pensant pourtant avoir téléchargé la version originale. Eh oui, les gens téléchargent des logiciels sur des tas de plateformes pointé par Google, parce qu'il ne prennent pas la peine de chercher le site (ou serveur) du développeur pour le récupérer chez lui, beaucoup on une méconnaissance de se que l'on peut rajouter dans un logiciel... ce qui explique surement en partie ce phénomène.

PS : NotePad++ n'est pas seulement Open-Source, sa licence GNU GPLv2 (v2+?) en fait un logiciel libre par essence.
Et perso, si le soft est orienté sécurité, je préfère qu'il soit codé par un langage lui permétant d'être proche des composants. En se qui concerne npp, il est codé en C++ & C pour la majeure partie, bien que C++ possède encore de nombreux cas de figure référencé dans sa définition (de plus de 1000 pages) comme ayant des états non déterminés, un programmeur rigoureux prendra soin d'utiliser une syntaxe afin de les éviter (vive le multi-paradigme !!).

Avez-vous déjà utilisé Notepad++ ? Que pensez-vous de l’éditeur open source ?
J'ai adoré facilité de gestion d'indentation et de modification de caractère.
Ex 1 : sélectionner un paver et appuyer sur 'tab' ou 'shift'+'tab', qui à pour effet d'ajouter une tabulation (ou de la retirer) à chaque ligne.
Ex 2 : sélectionner un pavé et appuyer sur 'alt'+'shift' pour tout mettre en capitale... d'autres fonctions pour tout en minuscule, inverser, etc.
Ex 3 : visibilité et facilité d'accès au caractéristiques du fichier lui même (encodage, BOM, charset, etc.)
Ex 4 : recherche et remplacement multiple (automatisé ou non), gestion des expressions régulières
Ex 5 : possibilité d'éditer sois-même l'intégralité des raccourcis
Ex 6 : le grand choix des langages profitant de colorations syntaxiques normés (dommage que BASH n'y soit pas) =/

Je me trompe peut-être, mes ces fonctions étaient soit précurseurs, soit limités à quelques appli métier ...maintenant beaucoup les ont intégrés --> merci aux code source ouvert ! ; )

 
Contacter le responsable de la rubrique Accueil

Partenaire : Hébergement Web