Microsoft a publié un correctif d’urgence pour boucher une faille de sécurité permettant à un pirate de prendre le contrôle total d’un ordinateur Windows en exploitant Bloc-notes. La faille CVE-2026-20841, notée 8.8 sur l’échelle CVSS (sévérité élevée), touche la version moderne de l’éditeur de texte distribuée via le Microsoft Store et touche spécifiquement le traitement des fichiers Markdown (.md).
La vulnérabilité repose sur la capacité du logiciel à traiter des liens sans filtrer correctement les caractères spéciaux dans certaines commandes. Un hacker peut créer un fichier Markdown malveillant contenant des liens spécialement conçus qui, une fois ouverts par la victime, déclenchent un script capable de télécharger et d’exécuter du code à distance. L’attaquant obtient alors les permissions complètes de l’utilisateur sur le PC compromis.
Microsoft classe cette vulnérabilité comme « Importante » dans sa grille de sévérité maximale et indique qu’aucun hacker n’a profité de cette faille de sécurité avant la disponibilité du correctif au sein de la mise à jour Patch Tuesday de février 2026. L’entreprise recommande d’installer immédiatement les dernières mises à jour de Windows 11 et de maintenir Bloc-notes à jour.
La connexion Internet du Bloc-notes alimente la controverse
La découverte de cette faille a ravivé les critiques d’utilisateurs contestant la nécessité d’une connectivité réseau permanente pour un simple éditeur de texte. Microsoft justifie cette architecture par l’intégration de Copilot dans Bloc-notes, fonctionnalité qui exige un accès Internet constant pour interroger les modèles d’intelligence artificielle hébergés à distance.
Ce débat s’inscrit dans une contestation plus large accusant Microsoft de transformer son système d’exploitation en bloatware. L’ajout du support Markdown dans Bloc-notes sur Windows 11 en mai dernier, bien que techniquement pertinent pour les développeurs et rédacteurs techniques, illustre une complexification excessive d’outils historiquement minimalistes.
Bloc-notes et Paint, icônes logicielles de Windows depuis des décennies pour leur simplicité, se voient progressivement équipés de capacités avancées et d’intelligence artificielle. Cette stratégie produit un effet paradoxal : en élargissant les fonctionnalités, Microsoft multiplie les surfaces d’attaque potentielles sur des applications qui n’en présentaient aucune dans leurs versions originales.
Un commentaire pour cet article :