Publié le 12 février 2026 à 11h34. L’éditeur de texte Bloc-notes de Microsoft, autrefois réputé pour sa simplicité, présente désormais une vulnérabilité de sécurité critique permettant l’exécution de code à distance, suite à l’ajout de nouvelles fonctionnalités comme la prise en charge du format Markdown.
- Une faille de sécurité dans le Bloc-notes permettrait à des attaquants d’exécuter du code malveillant sur l’ordinateur d’un utilisateur via des fichiers Markdown spécialement conçus.
- Cette vulnérabilité, classée avec un score élevé (8,8/7,7 sur l’échelle CVSS), est actuellement sans correctif disponible.
- La prudence reste la meilleure protection : éviter de télécharger et d’ouvrir des fichiers Markdown provenant de sources non fiables.
Le Bloc-notes, l’application de prise de notes la plus élémentaire fournie avec Windows, a longtemps été apprécié par certains utilisateurs pour sa légèreté et son absence de fioritures. Microsoft a cependant considérablement enrichi le programme ces derniers mois, notamment en intégrant la prise en charge de fonctionnalités avancées et, plus récemment, de l’intelligence artificielle via Copilot. Cette évolution, bien qu’appréciable pour certains, a introduit des failles de sécurité inattendues.
La dernière concerne la prise en charge du format Markdown, un langage de balisage léger permettant de formater du texte. Microsoft l’a ajouté en juillet 2025, ouvrant la porte à une vulnérabilité d’exécution de code à distance (RCE). Une RCE permet à un programme externe de s’exécuter sur un système sans l’autorisation de l’utilisateur, un scénario particulièrement préoccupant dans un éditeur de texte censé être simple et sécurisé.
Comment les attaquants exploitent la vulnérabilité
Microsoft a mis en évidence ce problème dans un bulletin de sécurité. Le mécanisme d’attaque est le suivant : un utilisateur télécharge un fichier Markdown malveillant, puis l’ouvre avec le Bloc-notes. La prise en charge de Markdown permet alors l’affichage d’un lien, qui peut sembler inoffensif, comme un lien vers un site web (exemple de rendu). Cependant, ce lien peut également déclencher le téléchargement et l’exécution de code à distance, une capacité que le Bloc-notes n’avait pas il y a encore peu de temps.
« Les attaquants pourraient inciter les utilisateurs à cliquer sur un lien malveillant dans un fichier Markdown ouvert dans le Bloc-notes. Cela amène l’application à lancer des protocoles non vérifiés qui chargent et exécutent des fichiers distants. Le code malveillant serait exécuté dans le contexte de sécurité des utilisateurs ayant ouvert le fichier Markdown. Cela donnerait à l’attaquant les mêmes autorisations qu’aux utilisateurs. »
Microsoft
Microsoft attribue à cette vulnérabilité une cote CVSS de 8,8/7,7, ce qui la classe comme une menace de sécurité élevée. À l’heure actuelle, aucun correctif n’est disponible.
Comment se protéger
L’exploitation de cette faille nécessite un téléchargement de fichier spécifique et une interaction volontaire de l’utilisateur, ce qui rend une attaque réussie plus complexe. La règle de prudence de base reste donc de ne télécharger et d’ouvrir que des fichiers provenant de sources fiables.
Important : il est crucial de ne pas confondre le Bloc-notes de Microsoft avec l’outil open source Notepad++, qui est un logiciel distinct.
Cet article a été publié pour la première fois dans notre publication sœur PCMonde et a été traduit et adapté pour le public francophone.