Vulnérabilité d’exécution de code à distance CVE-2026-20841 dans l’application Bloc-notes de Windows

 (cve.org)
4 points par GN⁺ 2026-02-12 | 7 commentaires | Partager sur WhatsApp
  • Une vulnérabilité de command injection a été découverte dans l’application Bloc-notes de Windows, et permettrait une exécution de code à distance
  • Un attaquant non authentifié peut exécuter des commandes malveillantes via le réseau, avec une interaction utilisateur requise
  • La vulnérabilité affecte Windows Notepad des versions 11.0.0 jusqu’aux versions antérieures à 11.2510
  • Elle a reçu un score de 8.8 (élevé) selon le CVSS 3.1, avec un impact élevé sur la confidentialité, l’intégrité et la disponibilité
  • Microsoft l’a enregistrée sous l’identifiant CVE-2026-20841, et fournit un correctif de sécurité ainsi qu’un avis via le MSRC (Microsoft Security Response Center)

Présentation de CVE-2026-20841

  • Cette vulnérabilité est classée comme une vulnérabilité d’injection de commandes (CWE-77) dans l’application Windows Notepad App
    • Une neutralisation inadéquate des caractères spéciaux peut permettre la manipulation de commandes
    • Un attaquant peut réaliser une exécution de code à distance via le réseau
  • Le CNA (autorité d’enregistrement officielle) est Microsoft Corporation, le CVE a été publié le 10 février 2026 puis mis à jour le 11 février 2026

Détails techniques

  • Type de vulnérabilité : Improper Neutralization of Special Elements used in a Command (‘Command Injection’)
  • Périmètre affecté : Windows Notepad versions 11.0.0 et supérieures, mais antérieures à 11.2510
  • Évaluation CVSS 3.1 :
    • Score : 8.8 (High)
    • Vecteur : AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C
    • Accès réseau possible, faible complexité, interaction utilisateur requise

Impact et niveau de risque

  • Un attaquant peut obtenir une exécution de code à distance sans authentification
  • La confidentialité (C), l’intégrité (I) et la disponibilité (A) du système sont toutes fortement impactées
  • L’état de base de la vulnérabilité est indiqué comme « affected », et les versions touchées sont précisées

Références et réponse

  • L’avis de sécurité officiel de Microsoft est disponible dans le guide des mises à jour MSRC
  • Le programme CVE inclut des informations supplémentaires sur cette vulnérabilité, et CISA-ADP est mentionné comme éditeur de données approuvé
  • Parmi les références externes associées figure un post Hacker News (https://news.ycombinator.com/item?id=46971516)

Résumé

  • CVE-2026-20841 est une vulnérabilité d’exécution de code à distance dans l’application Bloc-notes de Windows, avec un niveau de gravité élevé (score de 8.8)
  • Microsoft l’a officiellement enregistrée et déploie un correctif, les utilisateurs doivent mettre à jour vers la dernière version
  • Cette vulnérabilité implique une possibilité d’attaque par injection de commandes et peut exposer les systèmes à des attaques basées sur le réseau

À lire aussi

7 commentaires

 
jwh926 2026-02-12

microslop.
 
mammal 2026-02-12

Franchement, j’aimerais qu’on se contente de fournir les bases pour des éléments aussi fondamentaux que l’OS et le navigateur, sans toutes ces cochonneries de cloud / IA / intégration.

Les fonctionnalités du fournisseur pourraient très bien être proposées par-dessus sous forme de couche supplémentaire, ce serait largement suffisant...
 
GN⁺ 2026-02-12
Réactions sur Hacker News

  • D’après le rapport annuel 2025, Windows n’est que la 5e source de revenus, même derrière LinkedIn
    On dirait que Microsoft ne se soucie plus vraiment de Windows ni de Notepad

    • Windows leur sert de cheval de Troie
    • Le rapport répartit les revenus en trois catégories — « Productivity and Business Processes », « Intelligent Cloud », « More Personal Computing » — et Windows ne fait partie que du troisième groupe. Du coup, je me demande sur quelle base il est classé 5e
    • Microsoft, c’est bientôt Windows à lui seul. Office a plein d’alternatives, ils n’ont pas de modèles d’IA, Github est instable, Azure est médiocre, Xbox est mort. Si Windows meurt, tout le reste construit dessus disparaîtra aussi

  • Le cœur du problème, c’est la gestion des liens
    Selon CVE-2026-20841, si un attaquant pousse quelqu’un à cliquer sur un lien malveillant dans un fichier Markdown, Notepad peut exécuter un protocole non vérifié et charger un fichier distant

    • Le fait que Notepad gère des liens donne l’impression d’une faille de chargement d’encre dans un crayon. L’ancienne blague « si Microsoft fabriquait des voitures » est devenue réalité (lien connexe)
    • Je ne sais pas si c’est vraiment si grave. Ça ne ressemble pas à un problème qu’on peut retrouver dans n’importe quelle appli qui affiche des liens cliquables — navigateur, client mail, etc. ?
    • Je me demande ce que veut dire « unverified protocols ». Il y a un schéma d’URL du genre exe:// sous Windows qui permettrait de lancer directement un exécutable ?

  • J’ai retrouvé Notepad de Windows 98 et je l’ai lancé sur Windows 11 : ça marche parfaitement. Saisie de texte, sauvegarde, chargement, tout fonctionne. Franchement, qu’est-ce qu’il faudrait de plus ? Et en prime, la police est délicieusement nostalgique

    • Le Notepad de Win9x ne peut ouvrir que jusqu’à 64 KB et ne prend en charge que l’encodage ANSI. Les versions suivantes ont apporté des améliorations utiles, comme le support de LF, mais les ajouts de Windows 11 ne sont que du poids inutile
    • Moi, j’ai extrait notepad.exe, calc.exe et mspaint.exe de Windows 7 pour les utiliser sur Windows 11. Ça fonctionne parfaitement
    • Si la fenêtre « About Notepad » affiche la version de Windows 11, c’est parce que le programme appelle l’API Windows pour afficher la version du système
    • En réalité, l’ancien notepad.exe est toujours là sous Windows 11. Il est simplement redirigé vers la nouvelle appli au lancement. Si on désactive « App execution aliases » dans les paramètres, on peut encore utiliser l’ancien Notepad tel quel
    • Je me demande comment utiliser Notepad Copilot pour Copilot 365 avec cette version

  • Il y a quelques jours, Notepad++ a été compromis par un acteur étatique, et aujourd’hui c’est le Notepad intégré à Windows qui se prend un CVE. On en est presque à se dire qu’il faudrait carrément supprimer Windows. Pas de sandboxing, une montagne de code legacy

    • Techniquement, les Unix aussi sont remplis de legacy, mais Windows, c’est juste une décharge géante
    • Dans l’affaire Notepad++, c’est un groupe d’attaque d’origine chinoise qui a compromis l’hébergeur. La vérification des mises à jour a été améliorée, il existe des alternatives comme scoop, l’attaque était très limitée et les IOC sont déjà publics
    • La compromission réelle n’a pas eu lieu il y a quelques jours mais il y a plusieurs mois, et elle a duré plusieurs semaines
    • J’utilise gvim sous Windows à la place de Notepad. Même sans plugins, ça suffit largement
    • Il ne manque plus qu’une RCE via l’icône de la souris. Là, on atteindra le vrai sommet

  • On est arrivé à la conclusion logique du pipeline surabondance de fonctionnalités → vulnérabilités
    Pendant 30 ans, Notepad a été la référence du simple visualiseur de texte, et maintenant il se retrouve avec un score CVSS de 8,8 : c’est l’effondrement du principe du moindre privilège. La question ne devrait pas être « peut-on ajouter cette fonctionnalité ? », mais « est-ce que cet éditeur de texte a besoin d’une pile de rendu réseau ? »

    • Et ils ne se sont pas arrêtés là : ils sont aussi allés jusqu’à se demander « faut-il de l’IA ? », et ont donné la mauvaise réponse
    • Cela dit, même avant, Notepad avait déjà des bugs absurdes comme « Bush hid the facts ». À l’époque, c’était un problème difficile d’Unicode et d’encodage ; aujourd’hui, on mène juste une autre guerre
    • Je suis complètement d’accord. Un éditeur de texte avec une pile réseau est un nid à vulnérabilités. C’est pour ça que j’ai développé moi-même un éditeur de texte local uniquement en Rust. Pas de permissions réseau, stockage chiffré, OpenSSL compatible FIPS. À voir sur FIPSPad
    • Mais ce bug-ci ne semble pas lié à une pile de rendu réseau ni à l’IA. D’après le MSRC, le problème vient du fait qu’un attaquant peut inciter à cliquer sur un lien dans un fichier Markdown pour lancer un fichier distant. Par exemple, un lien comme \\evil.example\virus.exe pourrait être exécuté au clic
    • Le vrai problème, c’est qu’on peut même se demander si Microsoft a seulement réalisé qu’ils avaient ajouté une pile de rendu réseau

  • Ce qui est amusant, c’est que les navigateurs ont introduit depuis longtemps des avertissements utilisateur avant l’exécution d’un protocole, alors que Microsoft a ajouté des liens cliquables dans Notepad en sautant complètement cette étape. Ce n’est pas seulement un problème de surabondance de fonctionnalités, c’est le fait de réinventer un problème déjà résolu en oubliant les garde-fous

  • J’ai été surpris de lire qu’« un clic sur un lien malveillant dans un fichier Markdown peut exécuter un fichier distant ». Je ne savais même pas que Notepad faisait du rendu Markdown

    • Si Notepad commence à rendre d’autres formats, alors la raison même pour laquelle je l’utilise — sa pureté comme outil pour supprimer le formatage — disparaît. La magie de Notepad, c’était justement cette simplicité qui ignorait la mise en forme des équipes marketing
    • Ça ressemble sans doute à une fonction ajoutée récemment. Je l’utilise tous les jours, et je n’ai vu le rendu Markdown apparaître que la semaine dernière
    • Ça me fait penser à « la souffrance continuera jusqu’à amélioration du moral »

  • L’époque où Notepad se contentait d’afficher du texte me manque

    • C’est pour ça que j’utilise Notepad2. L’ancien Notepad affichait mal les retours à la ligne LF, alors que Notepad2 offre un peu plus de fonctions tout en restant léger et propre
    • À l’époque de XP, des alternatives comme Metapad étaient encore meilleures

  • Il est peut-être temps désormais d’abandonner Windows lui-même

    • Ce n’est même pas une blague : cette année, le nombre de personnes qui passent à Linux parce que « Windows est devenu vraiment trop mauvais » a fortement augmenté. J’ai fait pareil l’an dernier. Pendant des décennies, c’était « bon, ça passe », et maintenant c’est devenu « là, ça ne va plus du tout »

  • Le rôle de Notepad, c’était simplement d’afficher du texte, et Microsoft y a ajouté une surface d’attaque.
    Pas besoin d’attendre « l’année du desktop Linux » — si Windows continue comme ça, cela suffira à lui seul

    • Mais en pratique, on verra sans doute plutôt l’ère de Mac OS arriver. Dès que les puces de série M descendront sur toute l’entrée de gamme, tout le monde migrera de ce côté
 
savvykang 2026-02-12

Depuis la mise à niveau forcée vers Windows 11, le contenu du Bloc-notes se corrompt parfois, on dirait vraiment que Microsoft ne se ressaisit pas.
 
sudosudo 2026-02-12

Arrêtez de modifier le Bloc-notes, sérieusement..
 
kayws426 2026-02-12

Un bug absurde du genre « Bush hid the facts »
Que de souvenirs.
 
ssolarsystem 2026-02-12

Avec la suppression de WordPad, on a sans doute commencé à mettre en Markdown des textes formatés qu’il était délicat de placer dans un traitement de texte, et voilà qu’un incident a éclaté. D’un point de vue sécurité, ne vaudrait-il pas mieux aller dans les paramètres et désactiver à la fois l’IA et les fonctions de mise en forme ?