Publié le 11 février 2026 19:06:00. Microsoft a récemment corrigé une faille de sécurité critique dans l’application Bloc-notes de Windows 11, potentiellement exploitable via des liens malveillants dans les fichiers Markdown. Cette vulnérabilité, découverte alors que l’éditeur de texte bénéficie de nouvelles fonctionnalités, souligne les défis liés à l’ajout de capacités modernes aux outils système traditionnels.
- Une vulnérabilité d’exécution de code à distance (RCE) a été identifiée dans le Bloc-notes, affectant les fichiers Markdown.
- L’exploitation de cette faille se fait via des liens malveillants incitant l’utilisateur à cliquer, permettant l’exécution de code à distance.
- Microsoft affirme qu’il n’y a actuellement aucune preuve d’exploitation active de cette vulnérabilité (CVE-2026-20841), mais un correctif a été déployé.
Selon les notes de mise à jour de Microsoft, un attaquant pourrait exploiter cette vulnérabilité en incitant une victime à ouvrir un fichier Markdown contenant un lien malveillant dans le Bloc-notes. En cliquant sur ce lien, des protocoles non vérifiés seraient lancés, ouvrant la voie à l’exécution de fichiers malveillants sur l’ordinateur de l’utilisateur. Microsoft précise qu’aucune exploitation de cette faille (CVE-2026-20841) n’a été observée à ce jour, mais a rapidement publié un correctif dans le cadre de sa mise à jour de sécurité du mardi.
Cette découverte intervient quelques mois après l’introduction par Microsoft d’un support amélioré pour le langage de formatage Markdown dans le Bloc-notes, en mai dernier, dans le cadre de Windows 11. Cette décision avait suscité des critiques, certains utilisateurs accusant Microsoft de gonfler son système d’exploitation avec des fonctionnalités superflues, notamment en intégrant des éléments d’intelligence artificielle dans des applications comme le Bloc-notes et Paint.
Le Bloc-notes n’est pas le seul éditeur de texte à avoir récemment été confronté à des problèmes de sécurité. L’application tierce Notepad++, a également révélé que certains de ses utilisateurs avaient potentiellement téléchargé une mise à jour compromise, liée à des attaques attribuées à des acteurs soutenus par l’État chinois. Plus d’informations sur l’incident concernant Notepad++.
Microsoft a déployé un correctif pour la vulnérabilité du Bloc-notes dans sa dernière mise à jour de sécurité. Les utilisateurs sont encouragés à s’assurer que leurs systèmes sont à jour pour se protéger contre cette menace potentielle. Détails de la vulnérabilité CVE-2026-20841 sur le site de Microsoft.