Pendant des dÃ©cennies, le Bloc-notes a Ã©tÃ© l'un des composants les plus simples de Windows. L'application se lanÃ§ait instantanÃ©ment, offrait un champ de texte Ã©purÃ© et Ã©tait pratiquement inintÃ©ressante pour les cybercriminels. Cette image est dÃ©sormais brisÃ©e. Une faille de sÃ©curitÃ© a Ã©tÃ© dÃ©couverte dans Windows 11, permettant le contrÃ´le Ã distance d'un ordinateur via un fichier texte ouvert dans le Bloc-notes. Le problÃ¨me a Ã©tÃ© rÃ©vÃ©lÃ© par Bleeping Computer, qui a indiquÃ© la possibilitÃ© d'une exÃ©cution de code Ã distance. Il s'agit d'un des scÃ©narios les plus graves en matiÃ¨re de sÃ©curitÃ© informatique, car il permet l'exÃ©cution de programmes arbitraires sur l'ordinateur d'une victime Ã son insu. Cette vulnÃ©rabilitÃ© dÃ©montre que l'extension d'outils simples engendre de nouveaux risques, notamment lorsque la sÃ©curitÃ© est en retard par rapport aux fonctionnalitÃ©s.Le mÃ©canisme d'attaque est Ã©tonnamment simple. Il suffit Ã l'utilisateur d'ouvrir un fichier Markdown et de cliquer sur un lien Ã l'intÃ©rieur en utilisant Ctrl + clic gauche. Ce geste, dans les versions rÃ©centes du Bloc-notes , active le gestionnaire de lien actif. Markdown est un langage de balisage populaire depuis des annÃ©es, utilisÃ© dans la documentation technique, les dÃ©pÃ´ts GitHub et les outils de collaboration d'Ã©quipe. Son intÃ©gration dans le Bloc-notes Ã©tait censÃ©e plaire aux dÃ©veloppeurs et aux utilisateurs techniques. Cependant, la mise en Å“uvre de cette fonctionnalitÃ© a malheureusement engendrÃ© une faille importante.
Microsoft a confirmÃ© que cette vulnÃ©rabilitÃ© provient d'un filtrage insuffisant des caractÃ¨res spÃ©ciaux dans les commandes traitÃ©es par le Bloc-notes. Dans un bulletin de sÃ©curitÃ©, l'entreprise a reconnu qu'un attaquant non authentifiÃ© pourrait exploiter cette faille pour exÃ©cuter du code sur le rÃ©seau. Cette vulnÃ©rabilitÃ©, rÃ©fÃ©rencÃ©e CVE-2026-20841, prÃ©sente un score CVSS v3.1 de 8,8, ce qui la classe comme prÃ©sentant un risque Ã©levÃ©. Les versions 11.0.0 Ã 11.2510 du Bloc-notes, installÃ©es par dÃ©faut sur Windows 11, sont concernÃ©es. AprÃ¨s avoir cliquÃ© sur le lien appropriÃ©, le systÃ¨me exÃ©cute un script qui tÃ©lÃ©charge le logiciel malveillant. L'ensemble du processus se dÃ©roule sans aucun message d'avertissement visible. De ce fait, l'attaquant peut obtenir un accÃ¨s complet au systÃ¨me, dans la limite des privilÃ¨ges du compte utilisateur. Des experts ont rapidement reconstituÃ© un exemple d'exploit. Celui-ci utilise des liens basÃ©s sur les protocoles Â« file:// Â» et Â« ms-appinstaller:// Â». Le premier permet Ã Windows d'exÃ©cuter un fichier local ou rÃ©seau spÃ©cifique. Le second lance le tÃ©lÃ©chargement et l'installation d'un package appx, Ã©galement sans avertissement explicite. MalgrÃ© la gravitÃ© de la menace, les analystes soulignent un facteur limitant l'ampleur de l'attaque : il faut inciter l'utilisateur Ã ouvrir un fichier et Ã cliquer sur un lien. Sans cela, la vulnÃ©rabilitÃ© reste inactive. C'est prÃ©cisÃ©ment pourquoi le score CVSS n'a pas atteint le niveau maximal. Microsoft a dÃ©clarÃ© ne disposer d'aucune donnÃ©e concernant l'exploitation de cette vulnÃ©rabilitÃ© lors d'attaques rÃ©elles. L'entreprise a Ã©galement prÃ©parÃ© un correctif qui sera dÃ©ployÃ© via Windows Update le 10 fÃ©vrier 2026.
Les experts s'accordent Ã dire qu'une telle faille de sÃ©curitÃ© n'aurait pas existÃ© dans le Bloc-notes classique d'antan. Pendant longtemps, WordPad, solution intermÃ©diaire entre un simple Ã©diteur et une suite bureautique complÃ¨te, a rÃ©pondu aux besoins des utilisateurs les plus exigeants.La dÃ©cision de Microsoft d'abandonner WordPad en 2024 a suscitÃ© de vives critiques. De nombreux utilisateurs l'apprÃ©ciaient pour sa rapiditÃ© d'Ã©dition de documents RTF, DOCX et ODT. ParallÃ¨lement, le Bloc-notes s'est enrichi de nouvelles fonctionnalitÃ©s, allant de la mise en forme du texte et du comptage des caractÃ¨res Ã l'intÃ©gration avec l'IA gÃ©nÃ©rative de Copilot. La prise en charge de Markdown, introduite en mai 2025, a constituÃ© l'Ã©tape suivante de cette transformation.
