Quand un utilitaire historiquement hors ligne adopte du rendu et des interactions plus riches, la frontière entre simple éditeur et composant sensible s’efface. Les correctifs de février 2026 soulignent à quel point l’empilement fonctionnel peut transformer un “petit” logiciel comme le Notepad de Windows en point d’entrée à grande échelle.
Décidément les éditeurs de texte ne sont pas dans une période faste. Après l’énorme faille de l’outil open source Notepad++ la semaine dernière, c’est au tour du « notepad » (le bloc-notes) de Windows de se retrouver sous les feux de l’actualité cyber.
La livraison du Patch Tuesday de février a en effet révélé l’existence d’une importante faille de sécurité affectant la version moderne de Notepad (connu en français sous le nom Bloc-Notes), l’éditeur de texte intégré à Windows. Identifiée sous la référence CVE‑2026‑20841, cette vulnérabilité de sévérité 8,8 (sur 10) permettait à un attaquant d’exécuter du code à distance sur un PC Windows, à condition de convaincre l’utilisateur d’ouvrir un fichier piégé et d’interagir avec son contenu. La faille a été colmatée dans la livraison Patch Tuesday diffusée depuis hier soir. Encore faut-il que les utilisateurs ne tardent pas à mettre à jour leur Windows, l’outil étant extrêmement populaire et installé par défaut.
Markdown, point d’entrée inattendu
Toutes les versions du Notepad Windows ne sont pas affectées par cette faille. Seules les versions les plus récentes (celles récemment enrichies de fonctionnalités IA notamment) sont touchées. Car le problème trouve son origine dans l’ajout récent du support Markdown à Notepad, une évolution introduite en 2025 pour enrichir les capacités de l’application et combler la disparition de Wordpad. Un fichier Markdown (.md) est un fichier texte simple qui utilise une syntaxe légère pour structurer le contenu afin de mettre en évidence des titres par exemple mais aussi d’afficher des liens cliquables. C’est précisément ce rendu de liens qui pose un problème.
En pratique, un fichier Markdown malveillant pouvait contenir un lien exploitant des protocoles non vérifiés. Un simple clic suffisait alors à déclencher le téléchargement et l’exécution de fichiers distants avec les droits de l’utilisateur courant, ouvrant la voie à une compromission complète du système.
Microsoft précise que l’attaque ne pouvait pas se produire sans interaction humaine et qu’aucune exploitation active n’a été observée à ce stade. Avec son score CVSS de 8,8 sur 10, la vulnérabilité n’en reste pas moins sévère en raison de la simplicité du scénario d’attaque et de l’exposition massive de Notepad sur les PC Windows.
Techniquement, la faille relève d’une injection de commande (CWE-77) : Notepad ne neutralisait pas correctement les éléments spéciaux intégrés dans les commandes de mise en forme.
Une application de plus en plus critiquée
Cette faille relance les critiques autour de l’évolution de Notepad, longtemps apprécié pour son ultra simplicité. L’intégration progressive de fonctionnalités avancées, du Markdown aux options liées à l’IA sur certaines versions de Windows 11, est perçue par une partie de la communauté Windows (notamment les développeurs et les administrateurs système) comme une source de complexité inutile qui introduit de nouveaux risques de sécurité.
Le collectif de chercheurs en malware vx-underground a résumé le sentiment dominant dans un message lapidaire sur X : « Un éditeur de texte n’a pas besoin de fonctionnalités réseau. »
Correctif disponible, mise à jour indispensable
Le correctif est déployé via le Microsoft Store pour la version moderne de Notepad. Contrairement aux mises à jour système classiques, l’installation peut nécessiter une action manuelle si les mises à jour automatiques des applications ne sont pas activées. Microsoft recommande également la prudence lors de l’ouverture de fichiers Markdown provenant de sources inconnues, même après l’application du correctif.
Six zero-days activement exploités : un Patch Tuesday sous haute tension
Au-delà de Notepad, ce Patch Tuesday de février 2026 s’impose comme l’un des plus lourds et des plus urgents à installer de ces derniers mois. Microsoft a corrigé 58 vulnérabilités au total, dont six failles zero-day déjà exploitées par des attaquants au moment de la publication des correctifs. La CISA américaine a immédiatement inscrit les six zero-days à son catalogue des vulnérabilités connues exploitées (KEV).
La faille la plus préoccupante (outre celle de Notepad) est sans doute CVE-2026-21510, notée 8,8 en CVSS. Elle permet de contourner les mécanismes de protection de Windows Shell, notamment SmartScreen, d’un simple clic sur un lien ou un fichier raccourci malveillant. En clair, les alertes de sécurité que Windows affiche habituellement avant l’exécution d’un contenu non approuvé sont purement et simplement désactivées. La faille touche toutes les versions actuellement supportées de Windows.
Dans le même registre, CVE-2026-21513 (là aussi CVSS 8,8) cible MSHTML, le moteur du navigateur par défaut de Windows, et CVE-2026-21514 affecte Microsoft Word. Comme la précédentes, ces deux failles contournent les mécanismes de protection auxquels les utilisateurs se sont habitués, ce qui les rend d’autant plus dangereuses puisque les victimes ne voient tout simplement plus les alertes qui devraient les protéger.
Deux failles d’élévation de privilèges complètent le tableau : CVE-2026-21533 dans Windows Remote Desktop Services et CVE-2026-21519 dans le Desktop Window Manager. Toutes deux permettent à un attaquant local disposant de droits limités d’obtenir un accès de niveau SYSTEM, c’est-à-dire un contrôle total sur la machine.
Enfin, CVE-2026-21525 vise le gestionnaire de connexions d’accès distant de Windows (RasMan), responsable du maintien des connexions VPN : un attaquant non authentifié peut provoquer un déni de service en faisant planter le service.
Dit autrement, ces failles n’autorisent aucun délai dans l’application des correctifs. Les six zero-days activement exploités touchent des composants fondamentaux de l’écosystème Windows (Shell, Office, Remote Desktop, VPN) et les vecteurs d’attaque, pour la plupart, ne requièrent qu’une interaction utilisateur minimale. Quant à Notepad, la leçon dépasse le simple correctif technique. Elle interroge la stratégie d’enrichissement fonctionnel systématique de Microsoft, qui transforme des outils historiquement simples en surfaces d’attaque inédites. Windows 11 n’avait pas franchement besoin d’une nouvelle polémique…
puis