Windows 11 : mettez vite votre PC à jour, cette faille critique du Bloc-notes permet le piratage de votre appareil à distance

Longtemps cantonné à un simple logiciel de traitement de texte, le Bloc-notes a connu plusieurs évolutions ces derniers temps – qui n’ont pas forcément été au goût de tous. Une faille de sécurité majeure, corrigée par Microsoft, pourrait bien remettre de l’huile sur le feu.

Bloc-notes est le célèbre éditeur de texte de Windows. Initialement, il s’agissait d’un logiciel des plus basiques : il permettait de prendre des notes. Point. Puis Microsoft l’a enrichi de nombreuses fonctionnalités, notamment Réécrire et Résumer, toutes deux alimentées par ChatGPT, ou encore l’IA en streaming.

Au-delà de ces fonctions dopées à l’IA, qui font grincer des dents les puristes du Bloc-notes, la firme de Redmond a intégré dans son logiciel la prise en charge du support Markdown, un langage de balisage permettant de mettre en forme le texte. Et récemment, elle a même étendu ses capacités. Mais cette compatibilité a ouvert la porte à une vulnérabilité majeure, que Microsoft vient de corriger.

Lire aussi – Des pirates ont utilisé Notepad++ pour espionner les utilisateurs pendant 6 mois

Microsoft corrige une faille de sécurité critique dans le Bloc-notes

C’est ce que nous apprend le Guide des mises à jour de sécurité. Ce dernier fait état d’une « vulnérabilité d’exécution de code à distance ». Référencée sous le nom CVE-2026-20841, sa gravité est élevée : son score de base CVSS v3.1 est de 8,8 et Microsoft l’a classée comme « Important ».

Concrètement, les garde-fous de l’application étaient dysfonctionnels : ils ne bloquaient ni ne nettoyaient correctement des caractères spéciaux dangereux contenus dans certaines commandes. Ainsi, un pirate aurait pu créer un fichier Markdown (.md) frauduleux avec des liens l’étant tout autant. En ouvrant l’un d’eux dans le Bloc-notes, l’utilisateur aurait en réalité lancé un script, qui aurait téléchargé puis exécuté du code malveillant permettant à l’attaquant de prendre le contrôle du PC de la victime, avec les mêmes autorisations.

Puisque le vecteur d’attaque est de type réseau, cette faille pousse les adeptes du Bloc-notes à regretter la volonté de Microsoft d’enrichir les capacités de ce logiciel culte. Ils estiment qu’en tant que simple éditeur de texte – ce qui est sa vocation première –, le Bloc-notes n’a aucunement besoin d’être constamment connecté à Internet… ou d’intégrer Copilot – mais c’est un autre débat .

C’est par le biais du Patch Tuesday du 10 février 2026 que la firme de Redmond a corrigé cette vulnérabilité critique – tout en précisant qu’elle n’avait recensé aucune exploitation de ladite faille. Pour éviter d’exposer ses appareils à ce type d’attaques connues, il est vivement conseillé de les maintenir à jour, tout comme leurs applications.