La faille, référencée sous le numéro CVE-2026-20841, a été classée comme une vulnérabilité permettant l’exécution de code à distance (RCE). Elle provenait de la manière dont Notepad traitait les protocoles spéciaux dans les liens cliquables. Notepad existe depuis les débuts de Windows 1.0 et a longtemps été connu comme un simple éditeur de texte permettant de prendre rapidement des notes ou d’ouvrir des fichiers en texte brut. Pour une mise en forme plus élaborée, on utilisait autrefois Windows Write, puis WordPad.
Avec Windows 11, Microsoft a toutefois mis fin à WordPad. À la place, le Bloc-notes a fait l’objet d’une refonte en profondeur. L’application prend désormais en charge Markdown, ce qui vous permet de mettre en forme votre texte à l’aide de symboles simples et d’ajouter des liens cliquables.
Tu peux par exemple utiliser le texte « Markdown » suivant pour créer un lien cliquable dans le Bloc-notes :
**Dit is vette tekst**
[Link naar Clickx.be](https://www.clickx.be)
Notepad permet non seulement de créer des liens vers des pages web, mais aussi d’ouvrir, de modifier et d’enregistrer des fichiers .md. Le problème résidait dans la manière dont Notepad traitait certains liens. Des pirates pouvaient créer un fichier Markdown spécialement conçu, contenant des liens vers des fichiers exécutables via des liens file:// et des URI spécifiques tels que ms-appinstaller://. Lorsqu’un utilisateur ouvrait un tel fichier .md dans le Bloc-notes (version 11.2510 ou antérieure) et le visualisait en mode Markdown, ces liens apparaissaient comme des éléments cliquables. Il suffisait alors d’utiliser Ctrl + clic pour lancer automatiquement le programme associé, sans l’avertissement Windows habituel.
Selon Microsoft, une telle attaque pouvait permettre à des protocoles non vérifiés de charger et d’exécuter des fichiers externes. Le code malveillant s’exécutait alors avec les mêmes droits que l’utilisateur qui avait ouvert le fichier. En théorie, les pirates pouvaient même pointer vers des fichiers exécutables situés sur des lecteurs réseau SMB externes, qui étaient alors lancés sans notification de sécurité supplémentaire.
Comment l’exécution de code à distance (RCE) a-t-elle pu se produire ?
Le cœur du problème réside dans le fait que Windows n’affichait aucun avertissement lors de l’exécution de ces programmes. Normalement, le système d’exploitation devrait afficher une boîte de dialogue de sécurité lorsqu’un fichier inconnu ou potentiellement dangereux est ouvert. Microsoft considère l’exécution silencieuse d’un programme sans avertissement comme une exécution de code à distance, même si une action de l’utilisateur (cliquer sur le lien) est toujours nécessaire.
Le correctif ajoute des avertissements
Microsoft a désormais corrigé cette faille. Dans la dernière version de Bloc-notes, un avertissement s’affiche désormais lorsque vous cliquez sur un lien qui n’utilise pas les protocoles standard http:// ou https://-protocol. Pour les liens utilisant des protocoles tels que file:, ms-settings:, ms-appinstaller:, mailto: et ms-search, Bloc-notes affiche désormais une fenêtre de confirmation avant toute exécution. Cela soulève toutefois des questions. Microsoft aurait également pu choisir de bloquer complètement les protocoles non standard. À présent, il reste possible de convaincre les utilisateurs, par le biais de techniques d’ingénierie sociale, de cliquer tout de même sur « Oui ».
Impact probablement limité
L’impact de cette faille semble limité. Dans Windows 11, le Bloc-notes est mis à jour automatiquement via le Microsoft Store, ce qui permet de déployer le correctif en silence sur la plupart des systèmes. La vulnérabilité se distingue donc surtout par son originalité : on ne s’attend pas forcément à ce qu’un éditeur de texte classique puisse lancer des programmes via des liens Markdown sans avertissement.
