Une nouvelle faille de sécurité a été découverte dans l'application Bloc-notes de Microsoft pour Windows 11, causée par ses dernières fonctionnalités « innovantes », notamment Markdown

Une nouvelle faille de sécurité a été découverte dans l'application Bloc-notes de Microsoft pour Windows 11, causée par ses dernières fonctionnalités « innovantes », notamment la gestion des liens Markdown

Microsoft a corrigé une vulnérabilité d'« exécution de code à distance » dans le Bloc-notes de Windows 11. Cette faille de sécurité, référencée sous l'identifiant CVE-2026-20841, permettait à des pirates d'exécuter des programmes locaux ou distants en incitant les utilisateurs à cliquer sur des liens Markdown spécialement conçus, sans affichage d'avertissement de sécurité de la part de Windows. Bien qu'aucune exploitation active n'ait été signalée, cet incident met en lumière la manière dont l'ajout de fonctionnalités récentes, telles que le rendu Markdown, les liens cliquables, l'enregistrement automatique et les fonctions d'intelligence artificielle (IA), ont transformé le Bloc-notes au-delà de sa fonction initiale d'édition de texte, augmentant ainsi ses fonctionnalités, mais aussi son exposition aux risques de sécurité.

Le Bloc-notes Windows, également appelé simplement Bloc-notes, est un éditeur de texte simple pour Windows qui permet de créer et de modifier des documents en texte brut. Il a été lancé pour la première fois en 1983 afin de promouvoir la souris d'ordinateur sous MS-DOS. En 2022, Microsoft a commencé à déployer une nouvelle version repensée du Bloc-notes pour tous les utilisateurs de Windows 11.

Présent depuis plus de quarante ans dans l’écosystème Windows, le Bloc-notes est longtemps resté un éditeur de texte minimaliste apprécié pour sa simplicité, sa gratuité et le fait qu'il ne nécessite pas de compte utilisateur. Cette stabilité fonctionnelle constituait l'un de ses principaux atouts. Cependant, avec l'arrivée de Windows 11, Microsoft a transformé le Bloc-notes en y intégrant des fonctionnalités basées sur l'IA générative, dont certaines nécessitent désormais l'utilisation d'un compte Microsoft. L’application, qui était autrefois cantonnée à l’édition de texte brut, évolue ainsi vers un environnement enrichi, marquant une rupture avec son positionnement initial.

Le 10 février dernier, Microsoft a confirmé l'existence d'une vulnérabilité de haute gravité permettant l'exécution de code à distance dans l'application Bloc-notes moderne de Windows 11, référencée sous le numéro CVE-2026-20841, avec un score CVSS de base de 8,8. Le problème était lié à une injection de commande causée par une mauvaise gestion des éléments spéciaux dans les liens Markdown, ce qui permettait au Bloc-notes de lancer des gestionnaires de protocole non vérifiés. Un lien spécialement conçu dans un fichier Markdown pouvait ainsi récupérer du contenu distant et l'exécuter avec les autorisations de l'utilisateur ayant ouvert le fichier.


Les pirates auraient besoin d'inciter quelqu'un à ouvrir un fichier Markdown spécialement conçu dans le Bloc-notes et à cliquer sur un lien malveillant. L'impact dépend des privilèges de l'utilisateur, car le code s'exécute dans le contexte de sécurité de cet utilisateur. Microsoft estime que l'impact est élevé en termes de confidentialité, d'intégrité et de disponibilité, avec des conséquences potentielles telles que le vol de données, des modifications non autorisées et l'instabilité du système.

Le risque est étroitement lié à la récente extension des fonctionnalités du Bloc-notes au-delà de l'édition de texte brut dans Windows 11, puisque Microsoft a ajouté des fonctionnalités telles que le rendu Markdown et les liens cliquables, ainsi que des onglets et l'enregistrement automatique, sans oublier plusieurs fonctionnalités d'IA grâce à l'intégration de Copilot. Cela signifie que le Bloc-notes analyse désormais le contenu structuré et interagit avec les protocoles système d'une manière que la version classique n'a jamais fait. Dans ce cas, c'est précisément la gestion des liens Markdown qui a créé la faille. Microsoft affirme n'avoir constaté aucune exploitation active et le correctif est en cours de déploiement dans le cadre de la mise à jour Patch Tuesday de février 2026 via Windows Update et le Microsoft Store.

Le repositionnement du Bloc-notes par Microsoft s'inscrit dans une tendance plus large d'intégration systématique de l'IA dans les composants natifs de Windows. Depuis l’arrivée de Windows 11, Microsoft a engagé une modernisation soutenue de l’application, la faisant évoluer d’un outil minimaliste et peu mis à jour vers une solution enrichie. L’interface a été revue, un correcteur orthographique a été ajouté et plusieurs fonctionnalités avancées ont été déployées. Cette évolution divise toutefois les utilisateurs : si certains saluent ces nouvelles fonctionnalités, d'autres estiment que la valeur du Bloc-notes résidait précisément dans sa simplicité originelle.

Source : Microsoft

Et vous ?

Quel est votre avis sur le sujet ?
Trouvez-vous l'initiative de Microsoft d'intégrer l'IA dans le Bloc-notes crédible ou pertinente ?

Voir aussi :

Microsoft place la fonction d'IA Rewrite du Bloc-notes derrière un abonnement payant et déclenche une polémique, les critiques considèrent que cela dénature la simplicité originelle de l'application

Le nouveau Bloc-notes Windows 11 utilise RichEdit et s'accompagne de plusieurs améliorations d'édition RichEdit standard, telles que Alt+x pour saisir des caractères Unicode

Bloc-notes de Windows 11 se dote enfin d'un correcteur orthographique et d'une fonction d'autocorrection, en mettant en évidence les erreurs et en proposant des suggestions pour les corriger