À l’occasion du Patch Tuesday de février 2026, Microsoft a corrigé une vulnérabilité au sein de l’application Bloc-notes (Notepad) de Windows 11. Cette faille permet à des attaquants de lancer des programmes malveillants simplement en incitant l’utilisateur à cliquer sur un lien formaté en Markdown, le tout sans générer la moindre alerte de sécurité sur Windows.

Bloc-notes : une mauvaise gestion du Markdown

L’époque où le Bloc-notes n’était qu’un simple éditeur de texte rudimentaire est révolue. Ces dernières années, Microsoft a pris la décision de supprimer WordPad et de moderniser cet outil historique toujours apprécié des utilisateurs de Windows. Parmi les nouvelles fonctionnalités ajoutées par Microsoft, il y a notamment la prise en charge du format Markdown.

C’est justement dans la façon dont le Bloc-notes interprète le texte formaté en Markdown qu’une faille de sécurité a été découverte par trois chercheurs en sécurité. Cette vulnérabilité, associée à la référence CVE-2026-20841, a été révélée par le Patch Tuesday de février 2026 et elle transforme le Markdown en un vecteur d’attaque.

En effet, elle repose sur une mauvaise gestion des liens hypertextes au sein des fichiers (extension Markdown). Concrètement, un attaquant peut exploiter cette vulnérabilité pour insérer des liens pointant non pas vers des sites web, mais vers des exécutables locaux ou distants via des protocoles spécifiques.

“Une neutralisation incorrecte des éléments spéciaux utilisés dans une commande (« injection de commande ») dans l’application Bloc-notes Windows permet à un attaquant non autorisé d’exécuter du code sur un réseau.“, précise Microsoft.

Ainsi, au lieu d’avoir un lien classique comme celui-ci :

L’attaquant n’aura qu’à créer un fichier Markdown contenant un lien malveillant utilisant des protocoles comme pour pointer vers un exécutable (ou tout autre fichier) ou .

Si un utilisateur venait à ouvrir ce fichier dans une version vulnérable du Bloc-notes (11.2510 et antérieures) et cliquait sur le lien (via la manipulation Ctrl+clic), Windows exécuterait alors la commande immédiatement. Aucun avertissement ne serait affiché : le Bloc-notes lance l’exécutable sans se poser de questions.

Voici un exemple récupéré à partir d’un PoC sur GitHub :

Correctif de Microsoft : l’ajout d’un garde-fou

Dans le cadre des mises à jour de février 2026, Microsoft va déployer une nouvelle version du Bloc-notes à destination des utilisateurs de Windows 11. Celle-ci est distribuée directement via le Microsoft Store.

Il est à noter que ce patch de sécurité ne bloque pas l’utilisation des liens, mais introduit une analyse du type de liens. Le comportement sera donc le suivant :

• Protocoles web (http://, https://) : le comportement reste inchangé, le lien s’ouvre dans le navigateur.
• Protocoles à risque (file:, ms-appinstaller:, ms-settings:, etc.) : une boîte de dialogue d’avertissement s’affiche désormais.

Voici à quoi ressemble cet avertissement :

L’utilisateur se retrouve donc face à un message lui demandant de confirmer l’action, ce qui empêche l’exécution automatique. Désormais, c’est bien à l’humain d’être vigilant… Bien que cette faille ne soit pas exploitée à l’heure actuelle, il n’est pas à exclure que cette technique fasse parler d’elle dans les semaines et mois à venir.