Le développeur de Notepad++ a annoncé le mercredi dernier la disponibilité immédiate de la version 7.6.4 à plus d’un mois de la sortie de la version précédente. La toute dernière version du très populaire éditeur de texte générique à code source Open Source, fonctionnant sous Windows et intégrant la coloration syntaxique de code source pour divers langages, bénéficie de la correction de quelques problèmes de vulnérabilité et bogues grâce à l'aide de l'équipe HackerOne, a écrit le développeur.
La version précédente a également bénéficié du programme d'audit de logiciels libres et open source de la Commission européenne, le projet EU-FOSSA (EU-Free and Open Source Software Auditing : Programme de prime au bogue), qui a permis d’identifier et d’améliorer certains problèmes de sécurité.
Cependant, le développeur de Notepad++, Don Ho, a annoncé que le programme supprimera la signature de code à partir de cette nouvelle version 7.6.4. En effet, le dernier certificat qu’utilisait le projet et qui lui avait été offert il y a 3 ans par DigiCert, une autorité de certification privée américaine, a expiré depuis le début de cette année.
Le temps perdu à essayer d'obtenir un nouveau certificat de signature et le prix déraisonnable d'un tel produit étaient les deux principales causes évoquées par Don Ho qui ont conduit à la décision d'abandonner la signature de code de la version Notepad+++ 7.6.4 et des versions ultérieures.
Dans la note de version, le développeur a exprimé sa décision en ces propres termes :
« J'essayais d'acheter un autre certificat à un prix raisonnable. Cependant, je ne peux pas utiliser « Notepad+++ » comme CN pour signer parce que Notepad++ n'existe pas en tant que société ou organisation. J'ai perdu des heures et des heures pour obtenir un certificat approprié au lieu de travailler sur des choses essentielles – projet Notepad++. Je me rends compte que le certificat de signature de code n'est qu'un jouet masturbateur surévalué des auteurs de FOSS – Notepad++ se passe de certificat depuis plus de 10 ans, je ne vois pas pourquoi je devrais ajouter la dépendance maintenant (et être un complice de cette industrie surévaluée). Je décide de m'en passer. », a écrit Don Ho sur le site officiel du projet.
En effet, la signature de code est la signature numérique de fichiers exécutables et de scripts pour confirmer l'identité de l'auteur du code et garantir que le code n'a pas été modifié ou corrompu depuis qu'il a été signé. Les développeurs de logiciels utilisent ces certificats pour signer numériquement les logiciels qu'ils créent (applications, pilotes, etc.) afin de permettre à leurs utilisateurs de vérifier que le binaire ou le code qu'ils exécutent ou téléchargent n'a pas été modifié ou compromis par un tiers. Ces certificats comprennent des informations sur le développeur du logiciel signé, y compris une signature, le nom de la société et un horodatage.
De plus, les certificats de signature de code sont vérifiés par Windows lorsque le logiciel est lancé et, lorsqu'il n'est pas présent, le système d'exploitation affiche un avertissement de contrôle de compte d'utilisateur (UAC) pendant l'installation ou au démarrage du programme. Toutefois, selon le développeur, l’absence du certificat de signature de code ne signifie pas qu'il n'y aura plus de sécurité dans Notepad++ 7.6.4 et dans les versions à venir.
« Le hachage SHA256 de l'installateur et d'autres paquets seront fournis pour chaque version comme d'habitude. », a écrit Don Ho dans la note de Version. « Notepad+++ vérifiera le SHA256 de tous les composants (SciLexer.dll, GUP.exe et nppPluginList.dll) utilisés par le programme. », a-t-il ajouté.
La note de version dit également que le langage de balisage Markdown est parfaitement intégré à Notepad++ 7.6.4. « Markdown est censé fonctionner dans la version 7.6.3, mais le fichier nécessaire n'est pas déployé correctement par l'installateur. Le bogue est corrigé dans cette version. De plus, Markdown est disponible dans chaque paquet de cette version. », est-il écrit dans la note de version de Notepad++ 7.6.4.
Si vous voulez essayer la nouvelle version de Notepad++, téléchargez-la ici.
Source : Site Officiel
Et vous ?
Qu’en pensez vous ?
Que risque NotePad++ 7.6.4 est se passant du certificat de signature de code ?
Avez-vous déjà utilisé Notepad++ ? Que pensez-vous de l’éditeur open source ?
Lire aussi
Notepad ++ : la version 7.6.2 de l'éditeur open source pour Windows est disponible, avec l'estampille « édition gilets jaunes »
Notepad++ : la mise à jour 7.3.3 corrige la faille exploitée par la CIA, mais est-elle suffisante pour assurer la sécurité des utilisateurs ?
Quelles sont les entreprises qui contribuent le plus aux projets open source ? Microsoft positionné en tête sur GitHub
Un logiciel libre doit-il être en mesure de restreindre les tâches que ses utilisateurs peuvent effectuer avec son aide ? Non, pour Richard Stallman
La France sacrée championne d'Europe du logiciel libre et de l'open source, devant l'Allemagne et le Royaume-Uni
Notepad++ 7.6.4 est disponible sans le certificat de signature de code surévalué,
Mais toujours sécurisé
Notepad++ 7.6.4 est disponible sans le certificat de signature de code surévalué,
Mais toujours sécurisé
Le , par Stan Adkens
Une erreur dans cette actualité ? Signalez-nous-la !