Vieux PC, Boot UEFI, Windows 11, troubles en vue
-
Les certificats de démarrage sécurisé d’origine de Windows expirent en juin
Les PC dépourvus des nouveaux certificats pourraient à terme rencontrer des difficultés à démarrer les nouveaux systèmes d’exploitation.Cette date d’expiration des certificats n’est pas une nouveauté : Microsoft et la plupart des grands fabricants de PC en parlent depuis des mois, voire des années, et le travail préparatoire pour l’écosystème Windows est en cours depuis un certain temps. Le renouvellement des certificats de sécurité est une opération courante que la plupart des utilisateurs ne remarquent que lorsqu’un problème survient .
L’inconvénient est que l’expiration des certificats peut poser problème aux PC qui n’auront pas téléchargé les correctifs avant juin 2026. Bien que ces PC continuent de fonctionner, les certificats expirés peuvent empêcher Microsoft de corriger les nouvelles vulnérabilités de démarrage sécurisé et les empêcher de démarrer et d’installer les versions plus récentes du système d’exploitation utilisant les certificats de 2023.
« Si un appareil ne reçoit pas les nouveaux certificats de démarrage sécurisé avant l’expiration des certificats de 2011, le PC continuera de fonctionner normalement et les logiciels existants continueront de s’exécuter », écrit Nuno Costa, chef de projet au sein de la division Maintenance et distribution de Windows chez Microsoft.
« Toutefois, l’appareil passera dans un état de sécurité dégradé, ce qui limitera sa capacité à recevoir de futures protections au niveau du démarrage. À mesure que de nouvelles vulnérabilités au niveau du démarrage seront découvertes, les systèmes concernés seront de plus en plus exposés, car ils ne pourront plus installer de nouvelles mesures d’atténuation. À terme, cela peut également entraîner des problèmes de compatibilité, car les systèmes d’exploitation, les microprogrammes, le matériel ou les logiciels dépendants du démarrage sécurisé plus récents risquent de ne pas se charger. »
Assurez-vous d’avoir les nouveaux certificats
Pour la plupart des systèmes, y compris les plus anciens qui ne sont plus activement pris en charge par leurs fabricants, Microsoft s’appuie sur Windows Update pour fournir les certificats mis à jour. Pour les PC entièrement à jour et fonctionnels exécutant des versions prises en charge de Windows avec le démarrage sécurisé activé, la transition devrait être transparente, et vous utilisez peut-être déjà les nouveaux certificats sans le savoir.
Ceci est possible car les systèmes UEFI disposent d’une petite quantité de NVRAM permettant de stocker des variables entre les redémarrages. En général, les systèmes d’exploitation Windows et Linux utilisant LVFS pour les mises à jour du firmware devraient pouvoir mettre à jour la NVRAM de n’importe quel système avec les nouveaux certificats. Les PC ne rencontreront de problèmes pour déployer les nouveaux certificats que si la NVRAM est pleine ou fragmentée, ou si le fabricant du PC fournit un firmware défectueux ne prenant pas en charge ce type de mise à jour.
Comme indiqué sur une page d’assistance Dell , le moyen le plus simple de vérifier si votre PC possède les nouveaux certificats consiste à exécuter une commande PowerShell qui vérifie le certificat stocké dans la « base de données active », c’est-à-dire celle actuellement utilisée pour démarrer le PC.
Capture d’écran d’un PC Windows 11 utilisant déjà les nouveaux certificats de démarrage sécurisé 2023 (la première commande a renvoyé « true ») mais dont le firmware UEFI ne les intègre pas (la seconde commande a renvoyé « false »). Ce comportement est normal pour les PC plus anciens ; pour les PC plus récents, vérifiez si une mise à jour du BIOS est disponible.
Si la deuxième commande renvoie « true », cela signifie que les nouveaux certificats sont également intégrés au micrologiciel de votre PC. Les systèmes récents devraient disposer de mises à jour du BIOS incluant ces nouveaux certificats.Pour vérifier cela, cliquez avec le bouton droit sur l’application PowerShell ou Terminal et exécutez-la en tant qu’administrateur, puis saisissez : ([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match ‘Windows UEFI CA 2023’)
Si cette commande renvoie « true », votre PC utilise le nouveau certificat et tout est en ordre.Si la réponse est « false », voici quelques étapes pour permettre à Windows Update d’installer les nouveaux certificats pour vous.
- Assurez-vous d’utiliser une version de Windows prise en charge. Pour Windows 11, il s’agit des versions 24H2 ou 25H2. Pour Windows 10, vous devez inscrire votre PC au programme de mises à jour de sécurité étendues (ESU) , ce qui est gratuit pour les particuliers après avoir suivi quelques étapes simples.
- Assurez-vous que le démarrage sécurisé est activé dans le BIOS et qu’il fonctionne correctement. Sous Windows, appuyez sur les touches Windows + R pour ouvrir la fenêtre Exécuter, saisissez msinfo32 et appuyez sur Entrée. Dans l’application msinfo32, vérifiez que l’état du démarrage sécurisé est défini sur « activé ».
- Vérifiez si une mise à jour du micrologiciel est disponible pour votre PC. Celle-ci peut corriger des bogues empêchant l’installation des nouveaux certificats.
- Pour les PC plus anciens, notamment ceux livrés initialement avec Windows 8 ou Windows 10, il peut être utile de réinitialiser les clés de démarrage sécurisé (Secure Boot) depuis les paramètres du BIOS. Cela permet de libérer suffisamment d’espace dans la mémoire NVRAM pour stocker les nouveaux certificats.
- Si vous effectuez cette opération sur un système dont le chiffrement BitLocker est activé, assurez-vous d’avoir votre clé de récupération à portée de main afin de pouvoir déverrouiller votre disque.
La deuxième chose à vérifier est la base de données par défaut, qui indique si les nouveaux certificats de démarrage sécurisé sont intégrés au microprogramme de votre PC. Si c’est le cas, même en réinitialisant les paramètres de démarrage sécurisé par défaut dans le BIOS de votre PC, vous pourrez toujours démarrer les systèmes d’exploitation utilisant les nouveaux certificats.
Pour vérifier cela, ouvrez à nouveau PowerShell ou Terminal et saisissez:
([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbdefault).bytes) -match ‘Windows UEFI CA 2023’)
Si cette commande renvoie « true », votre système exécute un BIOS à jour intégrant les nouveaux certificats de démarrage sécurisé. Les PC plus anciens et les systèmes sans mise à jour du BIOS installée renverront « false ».Selon Costa de Microsoft, « de nombreux PC récents, construits depuis 2024, et la quasi-totalité des appareils livrés en 2025, intègrent déjà les certificats » et n’auront donc pas besoin d’être mis à jour. Les PC plus anciens pourront quant à eux obtenir les certificats via une mise à jour du BIOS.
Aux États-Unis, Dell , HP , Lenovo et Microsoft publient des listes de systèmes et de versions de firmware spécifiques, tandis qu’Asus fournit des informations plus générales sur la manière d’obtenir les nouveaux certificats via Windows Update, l’application MyAsus ou le site web d’Asus. Les PC les plus anciens de la liste datent généralement de 2019 ou 2020. Si votre PC était livré avec Windows 11, une mise à jour du BIOS contenant les nouveaux certificats devrait être disponible. Cependant, cela n’est pas garanti pour tous les systèmes compatibles avec la mise à niveau vers Windows 11.
Microsoft encourage les particuliers qui ne parviennent pas à installer les nouveaux certificats à contacter son service d’ assistance . Une documentation détaillée est également disponible pour les entreprises informatiques et les grandes organisations qui gèrent leurs propres mises à jour.
« La mise à jour du certificat de démarrage sécurisé marque une refonte majeure du système de confiance sur lequel s’appuient les PC modernes au démarrage », écrit Costa. « En renouvelant ces certificats, l’écosystème Windows garantit que les futures innovations matérielles, logicielles et de systèmes d’exploitation pourront continuer à reposer sur un processus de démarrage sécurisé et conforme aux normes de l’industrie. »
Ou alors, passez a Linux.
Nulle loi d’airain gravée au marbre des remparts, car tout client dépend d’un serveur aux hasards. (ChatGPT)
-
Les certificats de démarrage sécurisé d’origine de Windows expirent en juin
Les PC dépourvus des nouveaux certificats pourraient à terme rencontrer des difficultés à démarrer les nouveaux systèmes d’exploitation.Cette date d’expiration des certificats n’est pas une nouveauté : Microsoft et la plupart des grands fabricants de PC en parlent depuis des mois, voire des années, et le travail préparatoire pour l’écosystème Windows est en cours depuis un certain temps. Le renouvellement des certificats de sécurité est une opération courante que la plupart des utilisateurs ne remarquent que lorsqu’un problème survient .
L’inconvénient est que l’expiration des certificats peut poser problème aux PC qui n’auront pas téléchargé les correctifs avant juin 2026. Bien que ces PC continuent de fonctionner, les certificats expirés peuvent empêcher Microsoft de corriger les nouvelles vulnérabilités de démarrage sécurisé et les empêcher de démarrer et d’installer les versions plus récentes du système d’exploitation utilisant les certificats de 2023.
« Si un appareil ne reçoit pas les nouveaux certificats de démarrage sécurisé avant l’expiration des certificats de 2011, le PC continuera de fonctionner normalement et les logiciels existants continueront de s’exécuter », écrit Nuno Costa, chef de projet au sein de la division Maintenance et distribution de Windows chez Microsoft.
« Toutefois, l’appareil passera dans un état de sécurité dégradé, ce qui limitera sa capacité à recevoir de futures protections au niveau du démarrage. À mesure que de nouvelles vulnérabilités au niveau du démarrage seront découvertes, les systèmes concernés seront de plus en plus exposés, car ils ne pourront plus installer de nouvelles mesures d’atténuation. À terme, cela peut également entraîner des problèmes de compatibilité, car les systèmes d’exploitation, les microprogrammes, le matériel ou les logiciels dépendants du démarrage sécurisé plus récents risquent de ne pas se charger. »
Assurez-vous d’avoir les nouveaux certificats
Pour la plupart des systèmes, y compris les plus anciens qui ne sont plus activement pris en charge par leurs fabricants, Microsoft s’appuie sur Windows Update pour fournir les certificats mis à jour. Pour les PC entièrement à jour et fonctionnels exécutant des versions prises en charge de Windows avec le démarrage sécurisé activé, la transition devrait être transparente, et vous utilisez peut-être déjà les nouveaux certificats sans le savoir.
Ceci est possible car les systèmes UEFI disposent d’une petite quantité de NVRAM permettant de stocker des variables entre les redémarrages. En général, les systèmes d’exploitation Windows et Linux utilisant LVFS pour les mises à jour du firmware devraient pouvoir mettre à jour la NVRAM de n’importe quel système avec les nouveaux certificats. Les PC ne rencontreront de problèmes pour déployer les nouveaux certificats que si la NVRAM est pleine ou fragmentée, ou si le fabricant du PC fournit un firmware défectueux ne prenant pas en charge ce type de mise à jour.
Comme indiqué sur une page d’assistance Dell , le moyen le plus simple de vérifier si votre PC possède les nouveaux certificats consiste à exécuter une commande PowerShell qui vérifie le certificat stocké dans la « base de données active », c’est-à-dire celle actuellement utilisée pour démarrer le PC.
Capture d’écran d’un PC Windows 11 utilisant déjà les nouveaux certificats de démarrage sécurisé 2023 (la première commande a renvoyé « true ») mais dont le firmware UEFI ne les intègre pas (la seconde commande a renvoyé « false »). Ce comportement est normal pour les PC plus anciens ; pour les PC plus récents, vérifiez si une mise à jour du BIOS est disponible.
Si la deuxième commande renvoie « true », cela signifie que les nouveaux certificats sont également intégrés au micrologiciel de votre PC. Les systèmes récents devraient disposer de mises à jour du BIOS incluant ces nouveaux certificats.Pour vérifier cela, cliquez avec le bouton droit sur l’application PowerShell ou Terminal et exécutez-la en tant qu’administrateur, puis saisissez : ([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match ‘Windows UEFI CA 2023’)
Si cette commande renvoie « true », votre PC utilise le nouveau certificat et tout est en ordre.Si la réponse est « false », voici quelques étapes pour permettre à Windows Update d’installer les nouveaux certificats pour vous.
- Assurez-vous d’utiliser une version de Windows prise en charge. Pour Windows 11, il s’agit des versions 24H2 ou 25H2. Pour Windows 10, vous devez inscrire votre PC au programme de mises à jour de sécurité étendues (ESU) , ce qui est gratuit pour les particuliers après avoir suivi quelques étapes simples.
- Assurez-vous que le démarrage sécurisé est activé dans le BIOS et qu’il fonctionne correctement. Sous Windows, appuyez sur les touches Windows + R pour ouvrir la fenêtre Exécuter, saisissez msinfo32 et appuyez sur Entrée. Dans l’application msinfo32, vérifiez que l’état du démarrage sécurisé est défini sur « activé ».
- Vérifiez si une mise à jour du micrologiciel est disponible pour votre PC. Celle-ci peut corriger des bogues empêchant l’installation des nouveaux certificats.
- Pour les PC plus anciens, notamment ceux livrés initialement avec Windows 8 ou Windows 10, il peut être utile de réinitialiser les clés de démarrage sécurisé (Secure Boot) depuis les paramètres du BIOS. Cela permet de libérer suffisamment d’espace dans la mémoire NVRAM pour stocker les nouveaux certificats.
- Si vous effectuez cette opération sur un système dont le chiffrement BitLocker est activé, assurez-vous d’avoir votre clé de récupération à portée de main afin de pouvoir déverrouiller votre disque.
La deuxième chose à vérifier est la base de données par défaut, qui indique si les nouveaux certificats de démarrage sécurisé sont intégrés au microprogramme de votre PC. Si c’est le cas, même en réinitialisant les paramètres de démarrage sécurisé par défaut dans le BIOS de votre PC, vous pourrez toujours démarrer les systèmes d’exploitation utilisant les nouveaux certificats.
Pour vérifier cela, ouvrez à nouveau PowerShell ou Terminal et saisissez:
([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbdefault).bytes) -match ‘Windows UEFI CA 2023’)
Si cette commande renvoie « true », votre système exécute un BIOS à jour intégrant les nouveaux certificats de démarrage sécurisé. Les PC plus anciens et les systèmes sans mise à jour du BIOS installée renverront « false ».Selon Costa de Microsoft, « de nombreux PC récents, construits depuis 2024, et la quasi-totalité des appareils livrés en 2025, intègrent déjà les certificats » et n’auront donc pas besoin d’être mis à jour. Les PC plus anciens pourront quant à eux obtenir les certificats via une mise à jour du BIOS.
Aux États-Unis, Dell , HP , Lenovo et Microsoft publient des listes de systèmes et de versions de firmware spécifiques, tandis qu’Asus fournit des informations plus générales sur la manière d’obtenir les nouveaux certificats via Windows Update, l’application MyAsus ou le site web d’Asus. Les PC les plus anciens de la liste datent généralement de 2019 ou 2020. Si votre PC était livré avec Windows 11, une mise à jour du BIOS contenant les nouveaux certificats devrait être disponible. Cependant, cela n’est pas garanti pour tous les systèmes compatibles avec la mise à niveau vers Windows 11.
Microsoft encourage les particuliers qui ne parviennent pas à installer les nouveaux certificats à contacter son service d’ assistance . Une documentation détaillée est également disponible pour les entreprises informatiques et les grandes organisations qui gèrent leurs propres mises à jour.
« La mise à jour du certificat de démarrage sécurisé marque une refonte majeure du système de confiance sur lequel s’appuient les PC modernes au démarrage », écrit Costa. « En renouvelant ces certificats, l’écosystème Windows garantit que les futures innovations matérielles, logicielles et de systèmes d’exploitation pourront continuer à reposer sur un processus de démarrage sécurisé et conforme aux normes de l’industrie. »
Ou alors, passez a Linux.
@duJambon Microsoft a permis à ceux qui le souhaitaient d’opter pour le protocole ESU et, ainsi, obtenir l’extension des mises a jour de w10. Ne serait ce pas logique que Microsoft fasse une mise à jour des certificats pour un an de plus?
-
@duJambon Microsoft a permis à ceux qui le souhaitaient d’opter pour le protocole ESU et, ainsi, obtenir l’extension des mises a jour de w10. Ne serait ce pas logique que Microsoft fasse une mise à jour des certificats pour un an de plus?
@Pluton9 Je ne suis pas devin
Il est possible aussi que microsoft laisse encore passer des nouvelles installations de W11 (en trichant) comme ils l’ont fait par le passé.
ça dépendra probablement des parts de marché de W11 le moment venu.Pour info, j’ai testé un portable Asus d’un an qui me retourne un beau false déjà à la première commande.
Je vais aller voir s’il y a une mise à jour du boot chez asus.Edit: c’est fait, zob la mouche de ce côté, reste plus qu’a compter sur les mises à jour microsoft.
Nulle loi d’airain gravée au marbre des remparts, car tout client dépend d’un serveur aux hasards. (ChatGPT)
-
@duJambon Microsoft a permis à ceux qui le souhaitaient d’opter pour le protocole ESU et, ainsi, obtenir l’extension des mises a jour de w10. Ne serait ce pas logique que Microsoft fasse une mise à jour des certificats pour un an de plus?
@Pluton9 la date d’expiration d’un certificat est choisie lorsque celui-ci est générée et il n’est plus possible de la modifier après coup. Le principe d’un certificat c’est qu’il ne puisse pas être falsifié. La seule solution c’est de générer un nouveau certificat avec une date d’expiration plus tardive, c’est ce que M$ a fait et il le déploie depuis des mois avec ses mises à jour.
-
@Pluton9 Je ne suis pas devin
Il est possible aussi que microsoft laisse encore passer des nouvelles installations de W11 (en trichant) comme ils l’ont fait par le passé.
ça dépendra probablement des parts de marché de W11 le moment venu.Pour info, j’ai testé un portable Asus d’un an qui me retourne un beau false déjà à la première commande.
Je vais aller voir s’il y a une mise à jour du boot chez asus.Edit: c’est fait, zob la mouche de ce côté, reste plus qu’a compter sur les mises à jour microsoft.
@duJambon a dit dans Vieux PC, Boot UEFI, Windows 11, troubles en vue :
Pour info, j’ai testé un portable Asus d’un an qui me retourne un beau false déjà à la première commande.
Je vais aller voir s’il y a une mise à jour du boot chez asus.Mon PC portable aussi mais je pense que c’est parce que le secure boot est désactivé.
-
Perso j’ai reçu les nouveaux certif via une simple mise à jour Windows Update… (KB5074109)
Beaucoup vont chouiner pour des pc vieillots dans la majorité des cas.
Sinon, si le fabricant propose peau de zob, passer à Linux et cassé pas les rouleaux 🤪
(humour… Ou pas) -
@Pluton9 la date d’expiration d’un certificat est choisie lorsque celui-ci est générée et il n’est plus possible de la modifier après coup. Le principe d’un certificat c’est qu’il ne puisse pas être falsifié. La seule solution c’est de générer un nouveau certificat avec une date d’expiration plus tardive, c’est ce que M$ a fait et il le déploie depuis des mois avec ses mises à jour.
Va falloir que tu me donnes des cours @Raccoon, je suis largué un mot sur deux
-
@duJambon a dit dans Vieux PC, Boot UEFI, Windows 11, troubles en vue :
Pour info, j’ai testé un portable Asus d’un an qui me retourne un beau false déjà à la première commande.
Je vais aller voir s’il y a une mise à jour du boot chez asus.Mon PC portable aussi mais je pense que c’est parce que le secure boot est désactivé.
@Raccoon a dit dans Vieux PC, Boot UEFI, Windows 11, troubles en vue :
Mon PC portable aussi mais je pense que c’est parce que le secure boot est désactivé.
J’ai contrôlé, mais c’est pas ça et vu que le pc a été livré sous W11, ça m’aurait étonné.
Plus qu’a attendre que microsoft se bouge l’oignon.
Nulle loi d’airain gravée au marbre des remparts, car tout client dépend d’un serveur aux hasards. (ChatGPT)
-
@Raccoon a dit dans Vieux PC, Boot UEFI, Windows 11, troubles en vue :
Mon PC portable aussi mais je pense que c’est parce que le secure boot est désactivé.
J’ai contrôlé, mais c’est pas ça et vu que le pc a été livré sous W11, ça m’aurait étonné.
Plus qu’a attendre que microsoft se bouge l’oignon.
@duJambon a dit dans Vieux PC, Boot UEFI, Windows 11, troubles en vue :
Plus qu’a attendre que microsoft se bouge l’oignon.
Pas trop quand même, autrement, ça va faire pleurer!
-
-
Je suis perplexe : la première commande me retourne false, la seconde true. Si j’ai bien compris, question BIOS c’est ok, reste le démarrage sécurisé. msinfo32 hop hop et là, surprise : le démarrage sécurisé est bien activé. Et c’est là que je perds pied : j’ai quelque chose à faire pour avoir true true ?
Je précise : NUC Extreme Intel I9 sous Windows 11 25H2. -
Attention, si vous êtes encore sous Windows 10, c’est là que ça se corse. En effet, Microsoft ne fournira les nouveaux certificats qu’aux utilisateurs qui ont souscrit le programme ESU (Extended Security Updates)… qui est payant. Du coup, tous les PC sous Windows 10 sans ESU vont rester avec les vieilles clés.
Je sens que vous êtes content ^^
Pour vérifier votre situation, ouvrez donc PowerShell en admin et tapez
Confirm-SecureBootUEFISi ça renvoie “True”, c’est bon. Si ça renvoie “False” ou que ça ne marche pas, c’est que votre BIOS n’a peut-être jamais activé le Secure Boot. Ensuite, vérifiez dans Windows Update que la KB5074109 est bien installée.
https://korben.info/microsoft-secure-boot-certificats-2026.html
-
Ouille ouille ouille, ça sent pas bon pour l’avenir.
-
Aujourd’hui:
-
Je suis dans le même cas que @veegee .
La première commande renvoie false. La seconde true. Le secure boot est bien activé et j’ai appliqué la dernière version du bios de ma carte mère. Même résultat.
En revanche je n’ai pas reçu la mise à jour KB5074109. Mieux vaut attendre que Windows update le propose ou bien la forcer ? -
Je suis dans le même cas que @veegee .
La première commande renvoie false. La seconde true. Le secure boot est bien activé et j’ai appliqué la dernière version du bios de ma carte mère. Même résultat.
En revanche je n’ai pas reçu la mise à jour KB5074109. Mieux vaut attendre que Windows update le propose ou bien la forcer ?@djuza413 encore 3 mois avant la date butoir, mieux vaut attendre, microsoft est encore capable de se vautrer et d’envoyer des clefs inutilisables.
)
Bonjour ! Vous semblez intéressé par cette conversation, mais vous n’avez pas encore de compte.
Marre de refaire défiler les mêmes messages ? Créez un compte pour retrouver votre position, recevoir des notifications des nouvelles réponses, sauvegarder vos favoris et voter pour les messages que vous appréciez.
Grâce à votre participation, ce message peut devenir encore meilleur 💗
S'inscrire Se connecter