Faille critique dans Notepad : CVE-2026-20841 permet une exécution de code à distance via un fichier Markdown piégé sur Windows 11

Une faille à 8,8/10 dans Notepad, oui, le vieux Bloc-notes que tu ouvres pour trois lignes de texte. Microsoft vient de colmater CVE-2026-20841 dans les mises à jour de février 2026, après la découverte d’un scénario d’exécution de code à distance via des fichiers Markdown piégés. Le genre de truc qui commence par “ouvre juste ce fichier, c’est un compte rendu” et qui finit par “pourquoi mon PC rame et mon antivirus crie”.

KB5077181 déployée : Microsoft colmate une faille critique Notepad (CVE-2026-20841) exploitée via protocoles non vérifiés

Le truc, c’est que Notepad n’est plus juste Notepad. Depuis sa modernisation sur Windows 11, l’appli gère le Markdown, des liens cliquables, et tout un tas de petites commodités. Résultat: une surface d’attaque qui grossit, et une vulnérabilité qui repose sur une interaction humaine bête comme chou: ouvrir un fichier, cliquer un lien. Microsoft dit ne pas avoir vu d’exploitation active, mais ça n’a jamais été une raison pour traîner.

CVE-2026-20841: comment un fichier Markdown mène au RCE

Le scénario décrit par Microsoft tient en quelques étapes, et c’est justement ce qui le rend inquiétant. Un attaquant te fait parvenir un fichier Markdown (un. md) qui a l’air banal: notes de réunion, procédure, README d’un projet. Tu l’ouvres dans Notepad, tu vois un lien, tu cliques. Et là, Notepad peut lancer des protocoles non vérifiés qui vont charger puis exécuter des fichiers distants.

On parle bien d’exécution de code à distance (RCE). Pas “un pop-up gênant”, pas “un plantage”, mais la capacité de faire tourner du code sur ta machine. Et le niveau de gravité affiché est clair: 8,8 sur 10 en CVSS. Dans la vraie vie, ça veut dire que l’attaque peut être très rentable pour un pirate, surtout si elle s’insère dans une campagne de phishing un peu bien faite.

Le point clé, c’est l’autorisation. D’après la description, l’attaquant obtient les mêmes droits que l’utilisateur. Si tu bosses en session standard, tu limites la casse, mais tu ne l’annules pas. Si tu es en local admin – et on sait tous que beaucoup de PC “familiaux” tournent comme ça – tu lui ouvres la porte du salon, de la cuisine, et du coffre à outils.

Et oui, il faut une interaction: ouvrir le fichier et cliquer. Mais soyons honnêtes deux minutes: c’est exactement ce que les gens font toute la journée. Le Markdown est devenu un format de travail courant, parce qu’il est lisible, léger, et utilisé partout. Du coup, un fichier. md ne déclenche pas la méfiance instinctive qu’un. exe ou un. js provoquerait. C’est là que l’attaque devient crédible.

Pourquoi Notepad est devenu une cible depuis le support Markdown

Notepad, pendant des années, c’était l’outil le plus ennuyeux de Windows. Du texte brut, point. Puis Microsoft l’a “modernisé” sur Windows 11: support Markdown, rendu plus riche, liens cliquables. Sur le papier, c’est pratique. Dans un contexte pro, ça permet d’ouvrir un README, une doc interne, une checklist, sans installer autre chose. Mais chaque “petit confort” ajoute des chemins d’exécution.

Le Markdown, c’est justement un langage de balisage fait pour mêler texte et structure: titres, listes, liens. Et les liens, c’est l’entrée royale pour les abus. Là, le souci vient de la manière dont Notepad gère certains éléments spéciaux dans ces liens, jusqu’à déclencher le lancement de protocoles non vérifiés. Dit autrement: tu penses ouvrir une page, tu déclenches un mécanisme beaucoup plus dangereux.

Ce qui surprend, c’est le contraste entre l’image du logiciel et sa réalité actuelle. Tout le monde a encore en tête le Bloc-notes “outil système” quasi intouchable. Sauf que sur Windows 11, la version moderne est distribuée et mise à jour, avec des fonctionnalités qui évoluent vite. Quand ça bouge vite, ça casse parfois. Et quand ça casse côté sécurité, tu te retrouves avec une faille critique sur un outil installé par défaut.

J’ai eu un admin sys au téléphone ce matin – une PME de 200 personnes, rien d’exotique – qui m’a dit un truc très simple: “On pensait que Notepad, c’était hors sujet dans nos audits. Maintenant, on doit l’ajouter à la liste des applis à surveiller.” Voilà le vrai impact. Tu changes un composant “banal”, tu changes aussi la charge mentale et la discipline de mise à jour autour.

Le Patch Tuesday de février 2026 et KB5077181 sur Windows 11

La bonne nouvelle, c’est que le correctif est déjà là. Microsoft a intégré la correction de CVE-2026-20841 dans le Patch Tuesday de février 2026. Sur Windows 11, la mise à jour citée pour embarquer le fix est KB5077181. Et ce n’est pas un patch “optionnel pour les curieux”: c’est typiquement le genre de correctif qui doit passer vite, parce que le détail technique finit toujours par circuler.

Microsoft précise qu’il n’y a pas de preuve d’exploitation dans la nature à ce stade. Tant mieux. Mais l’histoire de la cybersécurité, c’est une collection de “pas d’exploitation connue” qui se transforment en “campagne active” dès que les attaquants comprennent comment reproduire le bug. Une vulnérabilité RCE notée 8,8, sur un outil installé partout, ça attire du monde. Du monde patient, et du monde pressé.

Concrètement, si tu veux vérifier, tu passes par Windows Update. Et si ton PC ne te propose rien, tu peux activer l’option qui permet de recevoir les mises à jour dès qu’elles sont disponibles. Ce détail a l’air anodin, mais il joue sur le timing. Sur une flotte d’entreprise, le déploiement peut être piloté. À la maison, c’est souvent “je verrai plus tard”, jusqu’au jour où tu ouvres le mauvais fichier.

Petit rappel utile: la faille touche la version moderne de Notepad, celle qui est populaire parce qu’elle est là, par défaut. Et c’est exactement le piège. Les gens ne “téléchargent” pas Notepad, donc ils ne pensent pas “mettre à jour Notepad”. Ils mettent à jour Windows, quand ils y pensent. Du coup, la discipline à adopter est simple: laisse Windows Update faire son boulot, et évite de repousser les redémarrages pendant une semaine.

Phishing, droits utilisateur: le scénario le plus réaliste

Le mode opératoire le plus crédible, c’est la bonne vieille arnaque par message. Un mail qui ressemble à un partage interne, un fichier attaché ou un lien vers un. md, et une phrase qui te pousse à agir vite: “Peux-tu valider ce point?”, “Clique sur la procédure”, “Voici la note, dis-moi si c’est bon”. Tu ouvres dans Notepad parce que c’est ce que Windows fait naturellement. Tu cliques parce que tu veux juste finir ta tâche.

Ce qui rend le Markdown dangereux dans ce contexte, c’est sa normalité. Dans le dev, c’est un standard. Dans les équipes produit, c’est courant. Même dans l’associatif, on partage des docs en. md parce que c’est léger et lisible. Donc l’attaquant n’a pas besoin de te vendre un fichier exotique. Il te vend un fichier “de travail”. Et ça, statistiquement, ça passe mieux que les macros Word, dont tout le monde se méfie un peu plus.

Ensuite, il y a la question des droits. “Même autorisations que l’utilisateur”, ça veut dire que la protection dépend de ton hygiène. Si tu as une session sans privilèges, si ton système est bien cloisonné, tu compliques la vie du pirate. Mais si tu es admin local, ou si tu as accès à des partages réseau sensibles, tu transformes une compromission individuelle en point d’entrée vers plus gros. Et dans une entreprise, c’est là que ça devient cher.

J’insiste sur un truc: le patch ne remplace pas les réflexes. Tu peux mettre à jour et continuer à cliquer sur tout ce qui brille, tu trouveras une autre tuile tôt ou tard. Le bon combo, c’est mise à jour rapide + méfiance sur les fichiers inattendus + règle simple: un. md peut être piégé, comme un PDF ou un doc. C’est triste, mais en 2026, c’est la base.

Le revers de la médaille: plus de fonctions, plus d’angles morts

Cette histoire relance un débat qui revient à chaque fois que Microsoft “améliore” un outil historique: est-ce qu’on avait vraiment besoin de ça? Notepad qui affiche du Markdown, c’est cool cinq minutes. Notepad avec intégration IA via Copilot, ça fait grincer des dents pas mal de monde, surtout les puristes. Et pas juste par nostalgie: plus tu ajoutes de couches, plus tu ajoutes des dépendances, des appels, des comportements inattendus.

On l’a vu dans les mêmes mises à jour de sécurité: il n’y a pas que Notepad dans la vie. D’autres failles sévères tournent autour du contournement de protections Windows, avec des scores CVSS à 8,8 aussi, et des composants comme Windows Shell, MSHTML ou même Microsoft Word. Le point commun, c’est la désactivation ou l’évitement des garde-fous auxquels les utilisateurs se sont habitués, comme SmartScreen. Quand les alertes disparaissent, tu perds un filet de sécurité.

Le revers, c’est que la modernisation rend l’écosystème plus difficile à auditer pour le grand public. Avant, tu pouvais te dire: “Notepad, c’est du texte brut, je risque rien.” Maintenant, il faut connaître les formats, les protocoles, les interactions. Et ça, c’est un luxe. Tout le monde n’a pas le temps de lire des notes de patch. Du coup, la responsabilité retombe sur l’éditeur: sécuriser par défaut, corriger vite, et pousser les mises à jour sans friction.

Il y a quand même une porte de sortie pour ceux qui veulent minimiser la surface d’attaque: revenir à Notepad. exe “classique” via les réglages de Windows 11, d’après ce qui est remonté ces derniers jours. Ce n’est pas une solution miracle – le système reste le système – mais c’est un choix cohérent si tu veux un éditeur texte simple, sans rendu, sans liens cliquables, sans surprises. Et si tu bosses dans un environnement sensible, ce genre de sobriété, ça se défend.