Notepad devait devenir moderne et séduisant. L'application a surtout ouvert une porte dérobée. Une vulnérabilité classée 8,8 sur 10 permettait d'exécuter du code malveillant sans la moindre alerte Windows.
Le 10 février 2026, Microsoft a discrètement corrigé la CVE-2026-20841 dans son Patch Tuesday mensuel. Cette faille de sécurité touchait Notepad sur Windows 11, transformant un simple fichier Markdown en vecteur d'attaque potentiel. Il suffisait qu'un utilisateur clique sur un lien spécialement conçu pour que du code s'exécute dans le contexte de ses privilèges, sans aucun avertissement de sécurité.
Quand le Markdown devient cheval de Troie
Microsoft a ajouté le support Markdown à Notepad lors de la refonte de Windows 11, après avoir abandonné WordPad. L'objectif affiché était de transformer l'éditeur minimaliste en outil polyvalent, capable d'afficher des liens cliquables et du texte formaté. Mais cette nouvelle fonctionnalité contenait une faiblesse critique : l'application ne validait pas correctement les protocoles utilisés dans les liens.
Concrètement, un attaquant pouvait créer un fichier .md contenant des liens utilisant les protocoles file://, ms-appinstaller:// ou ms-settings://. Lorsqu'un utilisateur ouvrait ce fichier dans Notepad version 11.2510 ou antérieure et cliquait sur le lien via Ctrl+clic, le système exécutait le fichier ou le protocole visé sans afficher le moindre avertissement Windows. Cette absence de validation transformait un éditeur de texte en lanceur d'applications non vérifiées.
Le score de gravité attribué à cette faille, 8,8 sur 10 selon l'échelle CVSS, reflète son potentiel destructeur. Si la victime dispose de privilèges administrateur, l'attaquant hérite des mêmes permissions pour exécuter son code malveillant. Les chercheurs en sécurité Cristian Papa, Alasdair Gorniak et Chen ont identifié cette vulnérabilité et l'ont signalée à Microsoft.
Un correctif bancal qui pose question
Microsoft a déployé un correctif via le Microsoft Store pour toutes les installations de Notepad sur Windows 11. La solution adoptée consiste à afficher une boîte de dialogue d'avertissement lorsqu'un utilisateur tente de cliquer sur un lien utilisant un protocole autre que http:// ou https://. Tous les protocoles file:, ms-settings:, ms-appinstaller:, mailto: et ms-search: déclenchent désormais cette alerte de sécurité.
Pourtant, cette approche soulève des interrogations légitimes. Pourquoi ne pas tout simplement bloquer ces protocoles non standard dans les liens Markdown ? Le correctif actuel laisse encore la porte ouverte à l'ingénierie sociale : un attaquant suffisamment convaincant peut persuader un utilisateur de cliquer sur « Oui » dans la boîte de dialogue. Cette demi-mesure révèle une logique de sécurité bancale.
Cette faille s'inscrit dans un Patch Tuesday chargé, avec 58 vulnérabilités corrigées dont six zero-days déjà exploités activement. La modernisation à marche forcée de composants historiquement simples et stables crée manifestement plus de problèmes qu'elle n'en résout. Notepad était un éditeur de texte fiable pendant des décennies, précisément parce qu'il ne faisait rien d'autre qu'éditer du texte.
La mise à jour automatique via le Microsoft Store devrait limiter l'exposition, mais le mal est fait : même les outils les plus basiques de Windows ne sont plus à l'abri des compromissions.
Source : Bleeping Computer
