Le Bloc-notes n’est plus le logiciel inoffensif qu’il a été pendant quarante ans. Microsoft a corrigé une faille de sécurité critique dans son éditeur de texte. En cause : la prise en charge du Markdown ajoutée en 2025. Un simple clic sur un lien piégé suffisait à vous pirater.
La vulnérabilité porte la référence CVE-2026-20841. Elle a été corrigée dans le Patch Tuesday du 10 février 2026, heureusement moins touché par des bugs que celui de janvier. Son score CVSS v3.1 atteint 8,8 sur 10. Microsoft l’a classé comme “Grave”. Elle concerne juste la version moderne du Bloc-notes, celle disponible sur le Microsoft Store. L’ancien notepad.exe n’est pas concerné.
Le Bloc-notes suffisait à pirater votre PC sous Windows
Le problème vient d’une injection de commande. Les garde-fous de l’application ne nettoyaient pas correctement les caractères spéciaux dans certaines commandes. Un pirate pouvait créer un fichier Markdown (.md) avec des liens frauduleux. Si vous ouvriez le Bloc-notes et cliquiez sur l’un de ces liens, un script capable de télécharger puis d’exécuter du code malveillant se déclenchait. Pour les pirates : le contrôle du PC avec les mêmes autorisations que l’utilisateur.
L’attaque ne demandait pas de compétences poussées en ingénierie sociale. Il suffisait de convaincre quelqu’un d’ouvrir un fichier et de cliquer sur un lien. Rien de plus, aussi simple que ça contrairement à d’autres attaques plus techniques. Le Bloc-notes est installé par défaut sur tous les PC sous Windows, la surface d’attaque est énorme. Microsoft précise n’avoir recensé aucune exploitation de cette faille avant la publication du correctif.
Le Bloc-notes a connu une transformation radicale ces deux dernières années. Microsoft a ajouté des onglets, un mode sombre, la correction orthographique. Puis en mai 2025, le Markdown a fait son apparition. Ce langage de balisage permet de mettre en forme du texte avec des titres, des listes, du gras et des liens cliquables. Le Bloc-notes peut désormais afficher et interpréter ces éléments. C’est précisément cette interprétation des liens qui a créé la faille.
Avant le Markdown, le Bloc-notes ne faisait rien avec les URL. Il les affichait comme du texte brut. Aucune exécution possible et aucun risque. Le Markdown a ajouté un mécanisme de traitement des protocoles que le Bloc-notes n’a jamais eu besoin de gérer. Les vérifications de sécurité n’étaient pas à la hauteur.
Le Bloc-notes boosté à l’IA et connecté à Internet est rejeté
Cette faille donne des arguments aux puristes qui critiquent la direction prise par Microsoft. Le Bloc-notes était un logiciel sans prétention. Il ouvrait du texte. Il fermait du texte. Rien de plus. Depuis deux ans, Microsoft l’a transformé en mini-traitement de texte dopé à l’IA. Réécriture, résumé et génération de texte via Copilot sont venus s’ajouter au Markdown et aux tableaux. Toutes ces fonctions demandent une connexion internet et un compte Microsoft. On en a marre, pour être familier.
Pour les adeptes de la première heure, le Bloc-notes n’a aucune raison d’être connecté au réseau. Sa vocation a toujours été locale. Chaque fonctionnalité réseau ajoutée est une surface d’attaque supplémentaire. La CVE-2026-20841 en est la démonstration concrète.
Pour se protéger, la marche à suivre reste la même : installer les mises à jour Windows et maintenir ses applications à jour via le Microsoft Store. Le Markdown et Copilot sont désactivables dans les paramètres du Bloc-notes. Ceux qui préfèrent un éditeur de texte sans fioritures ont la possibilité de restaurer l’ancien notepad.exe de Windows 10.
- Microsoft a corrigé la faille CVE-2026-20841 dans le Patch Tuesday du 10 février 2026.
- La vulnérabilité touche uniquement le Bloc-notes moderne du Microsoft Store et vient de la prise en charge du Markdown.
- Un clic sur un lien piégé dans un fichier Markdown pouvait lancer du code malveillant et compromettre un PC.
Source : Microsoft
Réagissez à cet article !