Récemment, Microsoft a intégré la prise en charge du Markdown dans la version 24H2 de Windows 11, une nouveauté qui s’accompagne malheureusement d’une vulnérabilité critique. En permettant à Notepad d’interpréter et d’afficher des fichiers Markdown (.md), la société a ouvert une porte à une faille de sécurité exploitée via une injection de commande à distance. Cette faille, identifiée sous le nom CVE-2026-20841, est d’une importance « importante » car elle requiert simplement que l’utilisateur clique sur un lien malveillant pour que le code à distance s’exécute sur la machine ciblée.
Le problème réside dans le fait que le parser Markdown, désormais intégré à Notepad, ne filtre pas correctement certains protocoles URL comme file:// ou ms-msdt://. Ainsi, un utilisateur qui ouvre un fichier Markdown contenant des liens piégés peut, en un clic, lancer l’exécution de scripts malveillants, compromettant potentiellement la sécurité de son système. Microsoft a corrige cette vulnérabilité lors du dernier Patch Tuesday de février 2026, qui a également permis de combler 58 autres failles, dont six déjà exploitées activement par des attaques. Cependant, cette faille souligne la complexité accrue et les nouvelles surfaces d’attaque introduites par l’intégration de fonctionnalités IA dans les outils Windows.
La mise en place du Markdown et de l’IA dans Notepad a transformé un éditeur de texte simple en une usine à gaz connectée, augmentant ainsi la surface d’attaque de Windows.
Il est à noter que cette vulnérabilité ne concerne que la version Windows 11 24H2. En effet, Windows 10 conserve sa version classique de Notepad, dépourvue de Markdown et d’IA, ce qui le met à l’abri de cette faille spécifique. Cependant, Microsoft ne semble pas prêt à s’arrêter là : ses autres outils basiques comme Paint, Photos ou la Capture d’écran sont aussi en train de subir des transformations, traitant désormais des images, du texte ou des objets de façon de plus en plus connectée et sophistiquée. Ces évolutions ouvrent d’importantes portes pour des attaques potentielles, accentuant l’importance de maintenir ses systèmes à jour.
En conclusion, cette nouvelle faille illustre que l’addition de fonctionnalités avancées comme l’IA dans des outils aussi fondamentaux que Notepad ne va pas sans risques. La simplicité du logiciel n’aura duré que peu de temps, laissant place à une complexité accrue et à de nouveaux vecteurs d’attaque. La seule solution pour se prémunir contre ce genre de vulnérabilités reste d’appliquer rapidement les correctifs fournis par Microsoft lors du Patch Tuesday, tout en restant vigilant face à la multiplication des surfaces d’attaque dans l’univers Windows.
