Microsoft déclenche une opération discrète, mais importante : le remplacement automatique des certificats Secure Boot utilisés au démarrage des PC Windows. Objectif : éviter que la « génération » de certificats introduite en 2011 n’arrive à échéance entre juin et octobre 2026 — un moment qui ferait basculer certains PC dans un mode de sécurité dégradé. Secure Boot s’appuie […]
Microsoft a pu se lancer dans la course à l’IA grâce à ses investissements et son partenariat stratégique avec OpenAI. Mais, petit à petit, la firme de Redmond s’éloigne du créateur de ChatGPT. Et, dans une interview avec le Financial Times, le patron de Microsoft AI a confirmé que l’objectif de l’entreprise est désormais d’atteindre une pleine autonomie en matière d’IA.
Microsoft vient d’ajouter silencieusement l’un des RPG fantasy les plus appréciés de la décennie 2000 à son catalogue Xbox Game Pass. Diablo 2: Resurrected rejoint le service sans annonce préalable, offrant aux abonnés Ultimate et Premium l’accès à ce classique remasterisé. La manœuvre intervient au moment où Blizzard dévoile simultanément une extension inédite pour le ... Lire plus
La firme de Redmond déploie des correctifs d’urgence pour neutraliser plusieurs vulnérabilités zero-day dans Windows et Office. Ces failles constituent une menace majeure puisque des pirates informatiques les exploitent déjà pour infiltrer les systèmes des utilisateurs. L’attaque ne requiert qu’un seul clic, permettant aux assaillants d’installer des logiciels malveillants ou d’accéder aux machines ciblées avec ... Lire plus
Microsoft alerte sur six failles zero-day activement exploitées dans Windows. Des attaques sont en cours et les correctifs sont déjà disponibles via Windows Update.
Pendant des décennies, le Bloc-notes a été l'un des composants les plus simples de Windows. L'application se lançait instantanément, offrait un champ de texte épuré et était pratiquement inintéressante pour les cybercriminels. Cette image est désormais brisée. Une faille de sécurité a été découverte dans Windows 11, permettant le contrôle à distance d'un ordinateur via un fichier texte ouvert dans le Bloc-notes. Le problème a été révélé par Bleeping Computer, qui a indiqué la possibilité d'une exécution de code à distance. Il s'agit d'un des scénarios les plus graves en matière de sécurité informatique, car il permet l'exécution de programmes arbitraires sur l'ordinateur d'une victime à son insu. Cette vulnérabilité démontre que l'extension d'outils simples engendre de nouveaux risques, notamment lorsque la sécurité est en retard par rapport aux fonctionnalités.Le mécanisme d'attaque est étonnamment simple. Il suffit à l'utilisateur d'ouvrir un fichier Markdown et de cliquer sur un lien à l'intérieur en utilisant Ctrl + clic gauche. Ce geste, dans les versions récentes du Bloc-notes , active le gestionnaire de lien actif. Markdown est un langage de balisage populaire depuis des années, utilisé dans la documentation technique, les dépôts GitHub et les outils de collaboration d'équipe. Son intégration dans le Bloc-notes était censée plaire aux développeurs et aux utilisateurs techniques. Cependant, la mise en œuvre de cette fonctionnalité a malheureusement engendré une faille importante.
Microsoft a confirmé que cette vulnérabilité provient d'un filtrage insuffisant des caractères spéciaux dans les commandes traitées par le Bloc-notes. Dans un bulletin de sécurité, l'entreprise a reconnu qu'un attaquant non authentifié pourrait exploiter cette faille pour exécuter du code sur le réseau. Cette vulnérabilité, référencée CVE-2026-20841, présente un score CVSS v3.1 de 8,8, ce qui la classe comme présentant un risque élevé. Les versions 11.0.0 à 11.2510 du Bloc-notes, installées par défaut sur Windows 11, sont concernées. Après avoir cliqué sur le lien approprié, le système exécute un script qui télécharge le logiciel malveillant. L'ensemble du processus se déroule sans aucun message d'avertissement visible. De ce fait, l'attaquant peut obtenir un accès complet au système, dans la limite des privilèges du compte utilisateur. Des experts ont rapidement reconstitué un exemple d'exploit. Celui-ci utilise des liens basés sur les protocoles « file:// » et « ms-appinstaller:// ». Le premier permet à Windows d'exécuter un fichier local ou réseau spécifique. Le second lance le téléchargement et l'installation d'un package appx, également sans avertissement explicite. Malgré la gravité de la menace, les analystes soulignent un facteur limitant l'ampleur de l'attaque : il faut inciter l'utilisateur à ouvrir un fichier et à cliquer sur un lien. Sans cela, la vulnérabilité reste inactive. C'est précisément pourquoi le score CVSS n'a pas atteint le niveau maximal. Microsoft a déclaré ne disposer d'aucune donnée concernant l'exploitation de cette vulnérabilité lors d'attaques réelles. L'entreprise a également préparé un correctif qui sera déployé via Windows Update le 10 février 2026.
Les experts s'accordent à dire qu'une telle faille de sécurité n'aurait pas existé dans le Bloc-notes classique d'antan. Pendant longtemps, WordPad, solution intermédiaire entre un simple éditeur et une suite bureautique complète, a répondu aux besoins des utilisateurs les plus exigeants.La décision de Microsoft d'abandonner WordPad en 2024 a suscité de vives critiques. De nombreux utilisateurs l'appréciaient pour sa rapidité d'édition de documents RTF, DOCX et ODT. Parallèlement, le Bloc-notes s'est enrichi de nouvelles fonctionnalités, allant de la mise en forme du texte et du comptage des caractères à l'intégration avec l'IA générative de Copilot. La prise en charge de Markdown, introduite en mai 2025, a constitué l'étape suivante de cette transformation. (Lire la suite)
Microsoft a publié un correctif d’urgence pour boucher une faille de sécurité permettant à un pirate de prendre le contrôle total d’un ordinateur Windows en exploitant Bloc-notes. La faille CVE-2026-20841, notée 8.8 sur l’échelle CVSS (sévérité élevée), touche la version moderne de l’éditeur de texte distribuée via le …
Microsoft prend ses distances avec OpenAI. Mustafa Suleyman, patron de l’IA à Redmond, a confirmé au Financial Times un virage stratégique majeur en misant désormais sur « l’autosuffisance totale » en matière d’intelligence artificielle.
Ce repositionnement fait suite à une restructuration des liens entre les deux partenaires en octobre dernier. Concrètement, Microsoft développe désormais ses technologies les plus avancées en interne, plutôt que de s’appuyer sur un partenaire externe.
« Nous devons développer nos propres modèles de fondation, à la pointe absolue de la technologie, avec une puissance de calcul à l’échelle du gigawatt et certaines des meilleures équipes d’entraînement d’IA au monde », explique l’ancien cofondateur de Google DeepMind, arrivé chez Microsoft en 2024.
Microsoft investit massivement dans l’assemblage et l’organisation des vastes ensembles de données nécessaires à l’entraînement de systèmes avancés. Selon Suleyman, les premiers modèles développés en interne devraient être lancés « dans le courant de l’année ».
Un pari à 140 milliards de dollars
Jusqu’à présent, Microsoft s’appuyait sur les modèles d’OpenAI pour alimenter ses outils d’IA, notamment l’assistant logiciel Copilot. L’accord négocié l’an dernier lui garantit une participation de 135 milliards $ dans la société inventeur de ChatGPT et l’accès à ses modèles les plus avancés jusqu’en 2032.
Mais cet arrangement offre également à OpenAI davantage de liberté pour rechercher de nouveaux investisseurs et partenaires d’infrastructure, le transformant potentiellement en concurrent direct.
Pour limiter les risques, Microsoft a diversifié ses investissements dans d’autres créateurs de modèles comme Anthropic et Mistral, tout en accélérant le développement de ses propres solutions.
L’ambition affichée : conquérir le marché des entreprises avec une « AGI de niveau professionnel » – des outils d’IA suffisamment puissants pour accomplir les tâches quotidiennes des travailleurs du savoir. « La plupart des tâches des cols blancs assis devant un ordinateur – avocat, comptable, chef de projet ou marketeur – seront entièrement automatisées par une IA d’ici 12 à 18 mois », prédit Suleyman.
Microsoft prévoit 140 milliards $ de dépenses d’investissement pour son exercice fiscal se terminant en juin, principalement pour construire l’infrastructure nécessaire à l’IA.
Au-delà de l’univers des entreprises, Microsoft cible aussi la santé avec l’objectif de construire une « superintelligence médicale » capable d’aider à résoudre les crises de personnel et les temps d’attente dans les systèmes de santé surchargés. L’année dernière, l’éditeur a dévoilé un outil de diagnostic qui surpasserait les médecins sur certaines tâches.
À force d’empiler les formules, Xbox Game Pass ressemble parfois à une gamme tarifaire d’opérateur mobile : puissante, mais illisible. Selon plusieurs sources, Microsoft étudierait justement une fusion de deux offres clés — PC Game Pass et Xbox Game Pass Premium — une manœuvre qui pourrait clarifier l’ensemble… tout en rebattant les cartes côté prix et […]
Après la sortie de Windows 11 25H2 en fin d'année dernière, voici qu'une nouvelle mise à jour majeure du système d'exploitation de Microsoft est maintenant disponible.
Microsoft vient-il de bouleverser le modèle mental et opérationnel auquel les admins de parcs Windows se sont habitués ?
Le groupe américain a eu droit à ce commentaire à propos de Windows 11 26H1.
Cette version, stable depuis le 10 février, est particulière à plusieurs titres. D’abord, elle ne cible pour le moment qu’une plate-forme : les Snapdragon X2 (les premiers PC qui en seront équipés sont attendus pour mars-avril). Ensuite, comme elle a son propre cœur Windows, elle aura aussi son propre chemin de mise à niveau – non défini pour l’heure. Autrement dit, elle ne pourra pas basculer vers le futur Windows 11 26H2.
Dans ce contexte, Windows 11 24H2 et 25H2 restent les versions recommandées pour les déploiements en entreprise, explique Microsoft. Il faut voir Windows 11 26H1 comme le moyen d’évaluer de nouvelles plates-formes… même si les Insiders ont pu l’expérimenter sur des appareils Arm existants comme Surface Laptop.
Windows 11 26H1, un simple glissement sémantique ?
À parité fonctionnelle avec Windows 11 25H2, Windows 11 26H1 suivra le même cycle de vie : 24 mois de support standard pour l’édition Pro, 36 mois pour l’édition Entreprise. En l’état, il ne gère pas le mécanisme des mises à jour correctives à chaud (hotpatch)*.
Pour les admins, c’est une nouvelle approche à assimiler, en tout cas sur le plan sémantique. À l’avenir, « mise à jour de fonctionnalités » pourrait ne plus rimer avec « deuxième semestre de l’année »… et donc avec « version H2 ». Ce qui pourrait avoir un impact en matière de planification et de gouvernance.
* Avec le hotpatch, les appareils reçoivent tous les trimestres une mise à jour cumulative de base qui nécessite un redémarrage. Mais les mois intercalaires, ils peuvent installer des correctifs de sécurité sans avoir à redémarrer.
Notepad, c'est je crois LE truc le plus basique de Windows depuis 40 ans (avec winver.exe... lol). C'est un éditeur de texte tellement simple qu'il n'avait même pas de correcteur orthographique jusqu'en 2024. Sauf que Microsoft a décidé d'y coller de l'IA, et avec l'IA est arrivé le support du Markdown... et c'est ce parser Markdown tout neuf qui a ouvert une faille permettant d'exécuter du code à distance.
Mais lol.
Car oui mes amis, dans la foulée des fonctions IA (AI Rewrite, tout ça), le bloc-notes de Windows 11 sait maintenant interpréter le Markdown. Il gère désormais les fichiers .md, affiche les liens cliquables, le formatage...etc... et c'est là que ça coince !
En effet, la faille CVE-2026-20841 exploite une injection de commande via des liens malveillants dans un fichier Markdown. Vous ouvrez le fichier, vous cliquez sur le lien, et hop, exécution de code à distance sur votre bécane. Personne chez M$ n'avait pensé à filtrer les protocoles des URL. Résultat, un lien du type file:///C:/Windows/System32/cmd.exe ou ms-msdt:// s'exécute comme si de rien n'était.
C'est con, c'était si simple de limiter ça à http+s ... Bref, tout ça parce que maintenant ce machin a besoin d'aller sur Internet... Roooh
Cette faille fait partie du Patch Tuesday de février 2026, qui corrige au passage 58 vulnérabilités dont 6 zero-days déjà activement exploités. Microsoft classe celle de Notepad comme "Important" (pas "Critical"), parce qu'il faut quand même que vous cliquiez sur le lien piégé. Tu m'étonne John !
À noter que seul Windows 11 version 24H2 est concerné car sur Windows 10, le Notepad reste cette bonne vieille version offline qu'on connait sans Markdown ni IA... et du coup, pas de faille. Comme quoi, des fois être has been, ça a du bon ^^.
Rassurez-vous, ça n'empêchera pas Microsoft de continuer à injecter de l'IA dans TOUS ses outils Windows. Paint génère des images, Photos supprime les objets, l'Outil Capture retranscrit du texte... Bref, chaque app basique se transforme en usine à gaz connectée, avec la surface d'attaque qui va avec. (Je me demande quand la calculatrice aura besoin d'être connectée au net...)
Pour vous protéger, lancez donc Windows Update et installez le correctif de février. Si vous faites partie de ceux qui
bloquent les mises à jour
, c'est le moment de faire une exception et si vous êtes plutôt
team Notepad++
... bah désolé pour vous aussi ^^.
Les certificats Secure Boot utilisés par Windows depuis 2011 arrivent à expiration en 2026. Microsoft prépare la transition mais certains PC risquent un « état de sécurité dégradé » s’ils ne sont pas mis à jour.
Le Patch Tuesday de février 2026 débute pour Windows 10 et Windows 11. Au programme des correctifs de sécurité, des corrections de bugs et des améliorations.
Microsoft a mis à jour son calendrier de fin de prise en charge des pilotes d’anciennes imprimantes sur Windows : les pilotes V3 et V4 ne peuvent plus être livrés via Windows Update, au profit d’une approche centrée sur Mopria. Pour les fabricants d’imprimantes, cela impose de basculer …
Windows 11 build 26220.7755 débarque sur le canal bêta avec de nouveaux emojis, des contrôles avancés pour les caméras et plusieurs améliorations de performance.
Windows a déjà un problème de sécurité À CAUSE des popups ("popup fatigue" qui fait que les utilisateurs cliquent désormais aveuglément sur les popups de confirmation, par exemple l'UAC).
La solution de Microsoft ?
ENCORE PLUS DE POPUPS! 🤦🏻♂️ (Permalink)
Un panneau stop, on se dit que c'est juste un bout de métal avec un peu de peinture rouge. On s'arrête, on repart, et puis voilà. Sauf que pour une IA qui pilote un gros engin à 4 roues, ce simple panneau peut devenir un véritable vecteur de tromperie visuelle !
Car oui je vous avais déjà parlé d'attaques de ce type par le passé, mais là, ça va encore plus loin. En effet, je suis tombé sur une étude des chercheurs de l'UCSC (University of California, Santa Cruz) qui en gros, ont trouvé un moyen d'induire en erreur des voitures autonomes et des drones en collant simplement des instructions sur des panneaux de signalisation customisés. Ils ont baptisé cette classe d'attaque CHAI pour Command Hijacking Against Embodied AI.
C'est un peu le même principe que l'injection de prompts dans un ChatGPT mais appliqué au monde physique et à la perception. Les chercheurs ont utilisé de l'IA pour "optimiser" des commandes comme "proceed" (avance) ou "turn left" (tourne à gauche) et les ont intégrées sur des panneaux en adaptant la police, la couleur ou même l'emplacement du texte pour que l'IA embarquée dans un robot ou une voiture, interprète ça comme un ordre de navigation.
Et là, ça peut faire mal... Car un prototype de véhicule autonome qui déciderait de foncer alors qu'il y a des gens sur un passage piétons juste parce qu'un "plaisantin" a collé un sticker malin sur le panneau d'en face, ça craint un max. Ce serait comme joué à "coucou caché" sur l'autoroute avec un chauffeur de car ^^.
Et nos chercheurs ont testé ça sur le modèle fermé GPT-4o d'OpenAI et le modèle open source InternVL-Chat-V1.5 et les résultats sont sans appel. Sur des simulations de conduite avec le dataset DriveLM, ils ont atteint 81,8% de réussite avec GPT-4o pour faire obéir l'IA à une commande injectée. Même en conditions réelles avec une petite voiture télécommandée équipée d'une caméra dans les couloirs de l'université, le taux de succès grimpe à 92,5% quand le panneau est au sol.
Et les drones ne sont pas épargnés non plus ! En utilisant CloudTrack pour le suivi d'objets, les chercheurs ont réussi à provoquer jusqu'à 95,5% d'erreurs d'identification en manipulant les panneaux sur des cibles.
Pire, ils ont trompé des drones cherchant une zone d'atterrissage sécurisée en plaçant des panneaux "Safe to land" sur des toits remplis de débris. Résultat, 68,1% de succès pour faire croire au drone que la zone était praticable. (genre, atterris là mon petit, c'est tout plat... et bam, le crash)
Ce genre d'attaque me rappelle
Charlie Miller et Chris Valasek
qui hackaient des Jeep à distance via le réseau mobile. Sauf que là c'est vraiment une attaque physique sur la couche de perception de ces systèmes. Plus besoin de trouver une faille logicielle complexe en fait... Il suffit d'une imprimante, d'un peu de colle et d'un bon emplacement. On est en plein dans ce que je racontais sur
LatentBreak et l'hypnose des IA
, sauf que là, le patient peut peser plusieurs tonnes.
Attention toutefois, ça ne marche que si l'IA utilise un LVLM (Large Vision Language Model) pour le contrôle direct, à moins que le système ne possède une redondance de capteurs (LiDAR, radar) qui contredirait l'image.
Alors oui, on peut se dire que c'est encore de la recherche et que nos voitures actuelles sont plus complexes. Mais ça montre surtout une fragilité fondamentale de l'IA quand elle doit interpréter le monde réel sans garde-fous stricts. Ces modèles sont tellement entraînés à suivre des instructions qu'ils finissent quasiment toujours par donner la priorité à un texte sur un panneau plutôt qu'aux règles de sécurité de base.
Bref, méfiez-vous des panneaux un peu trop "custom" lors de votre prochaine balade en voiture autonome... et espérons que les constructeurs intégreront vite des systèmes de vérification de cohérence avant que ces stickers ne deviennent la nouvelle arme fatale des hackers de bitume !
Connexion
