Les certificats de démarrage sécurisé d’origine de Windows expirent en juin
Les PC dépourvus des nouveaux certificats pourraient à terme rencontrer des difficultés à démarrer les nouveaux systèmes d’exploitation.
Cette date d’expiration des certificats n’est pas une nouveauté : Microsoft et la plupart des grands fabricants de PC en parlent depuis des mois, voire des années, et le travail préparatoire pour l’écosystème Windows est en cours depuis un certain temps. Le renouvellement des certificats de sécurité est une opération courante que la plupart des utilisateurs ne remarquent que lorsqu’un problème survient .
L’inconvénient est que l’expiration des certificats peut poser problème aux PC qui n’auront pas téléchargé les correctifs avant juin 2026. Bien que ces PC continuent de fonctionner, les certificats expirés peuvent empêcher Microsoft de corriger les nouvelles vulnérabilités de démarrage sécurisé et les empêcher de démarrer et d’installer les versions plus récentes du système d’exploitation utilisant les certificats de 2023.
« Si un appareil ne reçoit pas les nouveaux certificats de démarrage sécurisé avant l’expiration des certificats de 2011, le PC continuera de fonctionner normalement et les logiciels existants continueront de s’exécuter », écrit Nuno Costa, chef de projet au sein de la division Maintenance et distribution de Windows chez Microsoft.
« Toutefois, l’appareil passera dans un état de sécurité dégradé, ce qui limitera sa capacité à recevoir de futures protections au niveau du démarrage. À mesure que de nouvelles vulnérabilités au niveau du démarrage seront découvertes, les systèmes concernés seront de plus en plus exposés, car ils ne pourront plus installer de nouvelles mesures d’atténuation. À terme, cela peut également entraîner des problèmes de compatibilité, car les systèmes d’exploitation, les microprogrammes, le matériel ou les logiciels dépendants du démarrage sécurisé plus récents risquent de ne pas se charger. »
Assurez-vous d’avoir les nouveaux certificats
Pour la plupart des systèmes, y compris les plus anciens qui ne sont plus activement pris en charge par leurs fabricants, Microsoft s’appuie sur Windows Update pour fournir les certificats mis à jour. Pour les PC entièrement à jour et fonctionnels exécutant des versions prises en charge de Windows avec le démarrage sécurisé activé, la transition devrait être transparente, et vous utilisez peut-être déjà les nouveaux certificats sans le savoir.
Ceci est possible car les systèmes UEFI disposent d’une petite quantité de NVRAM permettant de stocker des variables entre les redémarrages. En général, les systèmes d’exploitation Windows et Linux utilisant LVFS pour les mises à jour du firmware devraient pouvoir mettre à jour la NVRAM de n’importe quel système avec les nouveaux certificats. Les PC ne rencontreront de problèmes pour déployer les nouveaux certificats que si la NVRAM est pleine ou fragmentée, ou si le fabricant du PC fournit un firmware défectueux ne prenant pas en charge ce type de mise à jour.
Comme indiqué sur une page d’assistance Dell , le moyen le plus simple de vérifier si votre PC possède les nouveaux certificats consiste à exécuter une commande PowerShell qui vérifie le certificat stocké dans la « base de données active », c’est-à-dire celle actuellement utilisée pour démarrer le PC.
Capture d’écran d’un PC Windows 11 utilisant déjà les nouveaux certificats de démarrage sécurisé 2023 (la première commande a renvoyé « true ») mais dont le firmware UEFI ne les intègre pas (la seconde commande a renvoyé « false »). Ce comportement est normal pour les PC plus anciens ; pour les PC plus récents, vérifiez si une mise à jour du BIOS est disponible.
Si la deuxième commande renvoie « true », cela signifie que les nouveaux certificats sont également intégrés au micrologiciel de votre PC. Les systèmes récents devraient disposer de mises à jour du BIOS incluant ces nouveaux certificats.
Pour vérifier cela, cliquez avec le bouton droit sur l’application PowerShell ou Terminal et exécutez-la en tant qu’administrateur, puis saisissez : ([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match ‘Windows UEFI CA 2023’)
Si cette commande renvoie « true », votre PC utilise le nouveau certificat et tout est en ordre.
Si la réponse est « false », voici quelques étapes pour permettre à Windows Update d’installer les nouveaux certificats pour vous.
- Assurez-vous d’utiliser une version de Windows prise en charge. Pour Windows 11, il s’agit des versions 24H2 ou 25H2. Pour Windows 10, vous devez inscrire votre PC au programme de mises à jour de sécurité étendues (ESU) , ce qui est gratuit pour les particuliers après avoir suivi quelques étapes simples.
- Assurez-vous que le démarrage sécurisé est activé dans le BIOS et qu’il fonctionne correctement. Sous Windows, appuyez sur les touches Windows + R pour ouvrir la fenêtre Exécuter, saisissez msinfo32 et appuyez sur Entrée. Dans l’application msinfo32, vérifiez que l’état du démarrage sécurisé est défini sur « activé ».
- Vérifiez si une mise à jour du micrologiciel est disponible pour votre PC. Celle-ci peut corriger des bogues empêchant l’installation des nouveaux certificats.
- Pour les PC plus anciens, notamment ceux livrés initialement avec Windows 8 ou Windows 10, il peut être utile de réinitialiser les clés de démarrage sécurisé (Secure Boot) depuis les paramètres du BIOS. Cela permet de libérer suffisamment d’espace dans la mémoire NVRAM pour stocker les nouveaux certificats.
- Si vous effectuez cette opération sur un système dont le chiffrement BitLocker est activé, assurez-vous d’avoir votre clé de récupération à portée de main afin de pouvoir déverrouiller votre disque.
La deuxième chose à vérifier est la base de données par défaut, qui indique si les nouveaux certificats de démarrage sécurisé sont intégrés au microprogramme de votre PC. Si c’est le cas, même en réinitialisant les paramètres de démarrage sécurisé par défaut dans le BIOS de votre PC, vous pourrez toujours démarrer les systèmes d’exploitation utilisant les nouveaux certificats.
Pour vérifier cela, ouvrez à nouveau PowerShell ou Terminal et saisissez:
([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbdefault).bytes) -match ‘Windows UEFI CA 2023’)
Si cette commande renvoie « true », votre système exécute un BIOS à jour intégrant les nouveaux certificats de démarrage sécurisé. Les PC plus anciens et les systèmes sans mise à jour du BIOS installée renverront « false ».
Selon Costa de Microsoft, « de nombreux PC récents, construits depuis 2024, et la quasi-totalité des appareils livrés en 2025, intègrent déjà les certificats » et n’auront donc pas besoin d’être mis à jour. Les PC plus anciens pourront quant à eux obtenir les certificats via une mise à jour du BIOS.
Aux États-Unis, Dell , HP , Lenovo et Microsoft publient des listes de systèmes et de versions de firmware spécifiques, tandis qu’Asus fournit des informations plus générales sur la manière d’obtenir les nouveaux certificats via Windows Update, l’application MyAsus ou le site web d’Asus. Les PC les plus anciens de la liste datent généralement de 2019 ou 2020. Si votre PC était livré avec Windows 11, une mise à jour du BIOS contenant les nouveaux certificats devrait être disponible. Cependant, cela n’est pas garanti pour tous les systèmes compatibles avec la mise à niveau vers Windows 11.
Microsoft encourage les particuliers qui ne parviennent pas à installer les nouveaux certificats à contacter son service d’ assistance . Une documentation détaillée est également disponible pour les entreprises informatiques et les grandes organisations qui gèrent leurs propres mises à jour.
« La mise à jour du certificat de démarrage sécurisé marque une refonte majeure du système de confiance sur lequel s’appuient les PC modernes au démarrage », écrit Costa. « En renouvelant ces certificats, l’écosystème Windows garantit que les futures innovations matérielles, logicielles et de systèmes d’exploitation pourront continuer à reposer sur un processus de démarrage sécurisé et conforme aux normes de l’industrie. »
Source: https://arstechnica.com/gadgets/2026/02/microsoft-sounds-the-alarm-about-secure-boot-certificates-expiring-later-this-year/
Ou alors, passez a Linux.
