Selon une annonce de Microsoft, la faille portant le code CVE-2026-20841 est considérée comme très grave, avec un score de 8/8/7.7 selon l'échelle CVSS (un système de normes industrielles ouvertes, utilisé pour évaluer et quantifier la gravité des failles de sécurité logicielles/matérielles).
Cette faille permet à l'agresseur de tromper les utilisateurs en leur faisant cliquer sur un lien malveillant inséré dans le fichier Markdown ouvert avec le Bloc-notes.
Dans ce cas, l'application peut lancer des protocoles non vérifiés, télécharger et exécuter des fichiers à distance.
En d'autres termes, les pirates informatiques peuvent créer un fichier Markdown contenant des liens malveillants. Si l'utilisateur clique accidentellement dessus, le logiciel malveillant peut être téléchargé et exécuté sur le système, ouvrant ainsi la voie au contrôle de l'appareil, au vol de données ou à l'installation de logiciels espions.
La faille a été corrigée dans la mise à jour Patch Tuesday de février 2026. Microsoft recommande aux utilisateurs de Windows d'installer rapidement le dernier correctif pour assurer la sécurité.
L'entreprise a également déclaré qu'au moment de l'annonce, aucun cas d'exploitation publique de cette faille n'avait été enregistré.
Il est à noter que l'événement s'est produit un jour seulement après que le développeur Notepad++ (un outil de traitement de texte alternatif populaire) a annoncé que son infrastructure avait été piratée, suscitant des inquiétudes quant à la sécurité des outils de traitement de texte.
Auparavant, le Bloc-notes n'était qu'un simple éditeur de texte, fonctionnant hors ligne. Cependant, à partir de mai de l'année dernière, Microsoft a redessiné l'application, en ajoutant la prise en charge de Markdown et des fonctionnalités en ligne.
En particulier, le Bloc-notes peut désormais se connecter à Internet pour servir l'assistant IA Microsoft Copilot.
L'extension de cette fonctionnalité amène de nombreux utilisateurs à se demander si un éditeur de texte de base a besoin d'accéder régulièrement au réseau?
Ces dernières années, Microsoft a suscité de nombreuses critiques pour avoir intégré Copilot et des outils d'IA dans des applications de base telles que Notepad ou Paint.
Cependant, les experts en sécurité soulignent que le plus grand risque ne réside pas dans l'application elle-même, mais dans le manque de vigilance des utilisateurs face aux fichiers et liens étranges.
La mise à jour régulière du système reste la mesure la plus importante pour protéger les appareils contre les menaces de plus en plus sophistiquées.
