Pendant des décennies, le Bloc-notes a été l'un des composants les plus simples de Windows. L'application se lançait instantanément, offrait un champ de texte épuré et était pratiquement inintéressante pour les cybercriminels. Cette image est désormais brisée. Une faille de sécurité a été découverte dans Windows 11, permettant le contrôle à distance d'un ordinateur via un fichier texte ouvert dans le Bloc-notes. Le problème a été révélé par Bleeping Computer, qui a indiqué la possibilité d'une exécution de code à distance. Il s'agit d'un des scénarios les plus graves en matière de sécurité informatique, car il permet l'exécution de programmes arbitraires sur l'ordinateur d'une victime à son insu. Cette vulnérabilité démontre que l'extension d'outils simples engendre de nouveaux risques, notamment lorsque la sécurité est en retard par rapport aux fonctionnalités.Le mécanisme d'attaque est étonnamment simple. Il suffit à l'utilisateur d'ouvrir un fichier Markdown et de cliquer sur un lien à l'intérieur en utilisant Ctrl + clic gauche. Ce geste, dans les versions récentes du Bloc-notes , active le gestionnaire de lien actif. Markdown est un langage de balisage populaire depuis des années, utilisé dans la documentation technique, les dépôts GitHub et les outils de collaboration d'équipe. Son intégration dans le Bloc-notes était censée plaire aux développeurs et aux utilisateurs techniques. Cependant, la mise en œuvre de cette fonctionnalité a malheureusement engendré une faille importante.

Microsoft a confirmé que cette vulnérabilité provient d'un filtrage insuffisant des caractères spéciaux dans les commandes traitées par le Bloc-notes. Dans un bulletin de sécurité, l'entreprise a reconnu qu'un attaquant non authentifié pourrait exploiter cette faille pour exécuter du code sur le réseau. Cette vulnérabilité, référencée CVE-2026-20841, présente un score CVSS v3.1 de 8,8, ce qui la classe comme présentant un risque élevé. Les versions 11.0.0 à 11.2510 du Bloc-notes, installées par défaut sur Windows 11, sont concernées. Après avoir cliqué sur le lien approprié, le système exécute un script qui télécharge le logiciel malveillant. L'ensemble du processus se déroule sans aucun message d'avertissement visible. De ce fait, l'attaquant peut obtenir un accès complet au système, dans la limite des privilèges du compte utilisateur. Des experts ont rapidement reconstitué un exemple d'exploit. Celui-ci utilise des liens basés sur les protocoles « file:// » et « ms-appinstaller:// ». Le premier permet à Windows d'exécuter un fichier local ou réseau spécifique. Le second lance le téléchargement et l'installation d'un package appx, également sans avertissement explicite. Malgré la gravité de la menace, les analystes soulignent un facteur limitant l'ampleur de l'attaque : il faut inciter l'utilisateur à ouvrir un fichier et à cliquer sur un lien. Sans cela, la vulnérabilité reste inactive. C'est précisément pourquoi le score CVSS n'a pas atteint le niveau maximal. Microsoft a déclaré ne disposer d'aucune donnée concernant l'exploitation de cette vulnérabilité lors d'attaques réelles. L'entreprise a également préparé un correctif qui sera déployé via Windows Update le 10 février 2026.

Les experts s'accordent à dire qu'une telle faille de sécurité n'aurait pas existé dans le Bloc-notes classique d'antan. Pendant longtemps, WordPad, solution intermédiaire entre un simple éditeur et une suite bureautique complète, a répondu aux besoins des utilisateurs les plus exigeants.La décision de Microsoft d'abandonner WordPad en 2024 a suscité de vives critiques. De nombreux utilisateurs l'appréciaient pour sa rapidité d'édition de documents RTF, DOCX et ODT. Parallèlement, le Bloc-notes s'est enrichi de nouvelles fonctionnalités, allant de la mise en forme du texte et du comptage des caractères à l'intégration avec l'IA générative de Copilot. La prise en charge de Markdown, introduite en mai 2025, a constitué l'étape suivante de cette transformation.