Discussion :

[Alex]

Microsoft commencera à renouveler les certificats Secure Boot en mars pour les utilisateurs de Windows 11 et Windows 10 ESU, car les certificats Secure Boot d'origine arriveront à expiration en juin 2026

Les utilisateurs de Windows sont invités à vérifier Windows Update, car il y a de fortes chances que vous ayez de nouveaux certificats Secure Boot à installer. Microsoft vient d'annoncer qu'il allait renouveler ces certificats, qui avaient été introduits à l'origine lors du lancement de Secure Boot en 2011, par mesure de sécurité. Sans les nouveaux certificats Secure Boot, Microsoft affirme que votre système continuera de fonctionner normalement, mais qu'il entrera dans « un état de sécurité dégradé qui limitera sa capacité à recevoir de futures protections au niveau du démarrage ».

En mai 2024, Microsoft avait fait une annonce qui a choqué le monde. L'entreprise avait annoncé que le support de Windows 10 prendrait fin le 14 octobre 2025. Une décision qui marquait la fin d’une ère pour le système d’exploitation lancé en 2015. La raison ? « Microsoft encourage les utilisateurs à passer à Windows 11, son dernier système d’exploitation, qui offre une expérience améliorée et une sécurité renforcée. La fin du support de Windows 10 est une étape naturelle dans le cycle de vie des produits technologiques, permettant à l’entreprise de se concentrer sur l’innovation et de nouvelles offres. » La fin du support de Windows 10 est un rappel que la technologie évolue rapidement et que la maintenance des systèmes est essentielle pour la sécurité et la performance.

Récemment, les utilisateurs de Windows sont invités à vérifier Windows Update, car il y a de fortes chances que vous ayez de nouveaux certificats Secure Boot à installer. Microsoft vient d'annoncer qu'il allait renouveler ces certificats, qui avaient été introduits à l'origine lors du lancement de Secure Boot en 2011, par mesure de sécurité. Secure Boot était un moyen pour Microsoft de protéger les systèmes contre l'exécution de codes non signés et potentiellement malveillants avant le lancement de Windows. Il est ensuite devenu une exigence d'installation pour Windows 11, ainsi que pour les logiciels anti -triche utilisés dans Valorant, Call of Duty: Black Ops 6/7 et Battlefield 6.

Sans les nouveaux certificats Secure Boot, Microsoft affirme que votre système continuera de fonctionner normalement, mais qu'il entrera dans « un état de sécurité dégradé qui limitera sa capacité à recevoir de futures protections au niveau du démarrage ». En gros, vous ne serez pas protégé contre les logiciels malveillants et les virus qui ciblent les vulnérabilités des anciennes versions de Windows. Comme prévu, Microsoft précise également que les versions non prises en charge de Windows ne recevront pas les nouveaux certificats Secure Boot. Ils ne seront disponibles que sur les systèmes Windows 11, ainsi que sur les PC Windows 10 abonnés aux mises à jour de sécurité étendues de Microsoft.

Microsoft indique que de nombreux utilisateurs pourront obtenir les certificats Secure Boot mis à jour en se rendant sur Windows Update, mais que certains devront peut-être effectuer des mises à jour supplémentaires du micrologiciel auprès du fabricant de leur système (ou de leur carte mère). Vous pourrez également suivre l'état de vos certificats de sécurité dans l'application Windows Security dans les « mois à venir ».

« À mesure que la sécurité cryptographique évolue, les certificats et les clés doivent être renouvelés périodiquement afin de maintenir une protection efficace », a déclaré Nuno Costa, directeur partenaire de Windows Servicing and Delivery. « Le retrait des anciens certificats et l'introduction de nouveaux certificats est une pratique courante dans le secteur qui permet d'éviter que les identifiants obsolètes ne deviennent un point faible et de maintenir les plateformes en phase avec les attentes modernes en matière de sécurité. »

Costa indique que Microsoft travaille avec des fabricants OEM tels que Dell et HP afin d'assurer une transition en douceur vers les nouveaux certificats Secure Boot. De nombreux nouveaux systèmes construits en 2024 disposent déjà des certificats mis à jour, tandis que « presque tous » les appareils commercialisés l'année dernière en sont également équipés. Microsoft informe également ses clients informatiques de cette transition depuis l'année dernière.

Ces efforts de Microsoft montre l'équilibre que Microsoft cherche à trouver entre la sécurité et la promotion de l'innovation. Cela rappelle que Microsoft avait déployé différentes options pour les utilisateurs aux États-Unis et en Europe afin de prolonger gratuitement les mises à jour de sécurité pour Windows 10 jusqu'en octobre 2026. Si cette année gratuite permet de gagner du temps, elle souligne néanmoins le passage inévitable vers de nouvelles plateformes, avec des implications à long terme pour la sécurité numérique et l'autonomie des utilisateurs.

Voici l'annonce de Microsoft :

Actualisation de la racine de confiance : collaboration industrielle sur les mises à jour des certificats Secure Boot

Secure Boot est une fonctionnalité de sécurité fondamentale de Windows et Windows Server, qui assure une protection dès la mise sous tension d'un appareil. Introduit en 2011, Secure Boot s'exécute au démarrage, avant le chargement de Windows, et permet de garantir que seuls les logiciels fiables et signés numériquement peuvent s'exécuter. En bloquant les codes non fiables dès les premières étapes du processus de démarrage, Secure Boot aide à se défendre contre les menaces sophistiquées qui peuvent être difficiles à détecter par la suite.

Cette confiance est renforcée par des certificats stockés dans le micrologiciel d'un PC. Après plus de 15 ans de service continu, les certificats Secure Boot d'origine arrivent à la fin de leur cycle de vie prévu et commenceront à expirer fin juin 2026.

À mesure que la sécurité cryptographique évolue, les certificats et les clés doivent être renouvelés périodiquement afin de maintenir une protection solide. Le retrait des anciens certificats et l'introduction de nouveaux certificats est une pratique courante dans le secteur qui permet d'éviter que les identifiants obsolètes ne deviennent un point faible et de maintenir les plateformes conformes aux exigences de sécurité modernes.

Nous avons commencé à déployer de nouveaux certificats dans le cadre des mises à jour mensuelles régulières de Windows pour les appareils Windows pris en charge destinés aux particuliers, aux entreprises et aux établissements scolaires bénéficiant de mises à jour gérées par Microsoft. Les organisations ont également la possibilité de gérer elles-mêmes le processus de mise à jour à l'aide de leurs outils de gestion préférés.

Préparation de Microsoft et de l'écosystème des appareils

Le renouvellement des nouveaux certificats représente l'un des plus grands efforts coordonnés de maintenance de la sécurité dans l'écosystème Windows, couvrant la maintenance Windows, les mises à jour du micrologiciel et des millions de configurations d'appareils uniques fournies par les fabricants de matériel ou les fabricants d'équipements d'origine (OEM) dans le monde entier. Comme Secure Boot fonctionne au niveau du micrologiciel et affecte le démarrage d'un PC, ces changements ont nécessité une préparation minutieuse afin de minimiser les perturbations tout en maintenant la sécurité et la fiabilité des appareils à grande échelle.

Ce travail a nécessité une étroite collaboration avec les fabricants d'appareils et les fournisseurs de micrologiciels responsables de l'interface UEFI (Unified Extensible Firmware Interface) dans le cadre d'une approche basée sur des normes. Cet effort a également consisté à ajouter des capacités et des outils de maintenance pour permettre un déploiement progressif et contrôlé, ainsi que des améliorations du micrologiciel afin de garantir que les mises à jour des certificats puissent être appliquées en toute sécurité.

Nos partenaires de l'écosystème jouent un rôle essentiel dans la transition vers les nouveaux certificats Secure Boot. Les OEM ont fourni des certificats mis à jour sur les nouveaux appareils et de nombreux PC plus récents construits depuis 2024, et presque tous les appareils expédiés en 2025 incluent déjà les certificats et ne nécessitent aucune action de la part des clients. Les partenaires OEM ont également travaillé en étroite collaboration avec nos équipes d'ingénieurs pour s'assurer que les appareils commercialisés puissent appliquer les mises à jour de manière transparente et ont fourni leurs propres conseils pour aider les clients à se préparer à la transition. Voici quelques informations fournies par nos OEM qui apportent un éclairage supplémentaire :

« La sécurité fait partie intégrante de tout ce que nous construisons chez Dell Technologies, et les mesures de sécurité Secure Boot sont essentielles pour maintenir la confiance dans les appareils. Nous avons collaboré dès le début avec les équipes d'ingénieurs de Microsoft afin de préparer un processus de transition en douceur pour nos clients. Nous avons planifié en fonction des besoins réels, des parcs étroitement gérés dans les secteurs réglementés aux systèmes résilients à la périphérie, afin que les clients, quels que soient leurs cas d'utilisation, disposent d'un chemin de migration clair. Cet effort complexe et à grande échelle offre aux entreprises une transition Secure Boot bien prise en charge qui renforce la sécurité des appareils. » – Rick Martinez, Dell Fellow et vice-président, CTO Security, Dell Technologies.

« HP travaille en étroite collaboration avec Microsoft pour garantir la disponibilité des mises à jour du micrologiciel afin que tous les PC HP pris en charge fonctionnant sous Windows 11 puissent adopter les nouveaux certificats Secure Boot avant l'expiration des anciens certificats. Nous travaillons également en étroite collaboration avec nos clients pour nous assurer que leurs opérations commerciales ne sont pas affectées et qu'ils sont préparés avec le niveau approprié de validation et de contrôle. Notre collaboration favorise une confiance continue, minimise les perturbations et renforce notre engagement commun en faveur de la sécurité. » – Vali Ali, HP Fellow et Chief Technologist, Security and Privacy, HP Inc.

« La préparation à l'expiration des certificats Secure Boot a fait l'objet d'un effort coordonné entre Lenovo et Microsoft à travers plusieurs équipes. En travaillant en étroite collaboration tout au long des phases de planification, de test et de déploiement, nous contribuons à garantir la protection, l'information et l'assistance des clients, sans interruption de leurs activités. » – Tom Butler, VP Worldwide Commercial Portfolio and Product Management, Lenovo PC.

Que se passe-t-il lorsque les certificats expirent ?

Si un appareil ne reçoit pas les nouveaux certificats Secure Boot avant l'expiration des certificats 2011, le PC continuera à fonctionner normalement et les logiciels existants continueront à fonctionner. Cependant, l'appareil entrera dans un état de sécurité dégradé qui limitera sa capacité à recevoir de futures protections au niveau du démarrage.

À mesure que de nouvelles vulnérabilités au niveau du démarrage sont découvertes, les systèmes affectés deviennent de plus en plus exposés car ils ne peuvent plus installer de nouvelles mesures d'atténuation. Au fil du temps, cela peut également entraîner des problèmes de compatibilité, car les nouveaux systèmes d'exploitation, micrologiciels, matériels ou logiciels dépendant du démarrage sécurisé peuvent ne pas se charger.

Il est important de noter que les appareils fonctionnant avec des versions non prises en charge (Windows 10 et versions antérieures, à l'exception de ceux qui ont souscrit aux mises à jour de sécurité étendues) ne reçoivent pas les mises à jour Windows et ne recevront pas les nouveaux certificats. Nous continuons à encourager nos clients à toujours utiliser une version prise en charge de Windows pour bénéficier des meilleures performances et de la meilleure protection.

Quelles mesures les utilisateurs doivent-ils prendre ?

Pour la plupart des particuliers et des entreprises qui autorisent Microsoft à gérer les mises à jour de leurs PC, les nouveaux certificats seront installés automatiquement dans le cadre du processus mensuel régulier de mise à jour de Windows, sans qu'aucune action supplémentaire ne soit nécessaire. Certains systèmes spécialisés, tels que certains serveurs ou appareils IoT, peuvent suivre des processus de mise à jour différents et doivent être évalués dans le cadre de la planification du déploiement. Pour une partie des appareils, une mise à jour distincte du micrologiciel par le fabricant de l'appareil peut être nécessaire avant que le système puisse appliquer les nouveaux certificats Secure Boot fournis via Windows Update. Pour se préparer, nous recommandons aux clients de consulter les pages d'assistance de leur fabricant OEM afin de s'assurer qu'ils disposent des dernières mises à jour du micrologiciel.

Au cours des prochains mois, des messages sur l'état de la mise à jour des certificats seront disponibles dans l'application Windows Security afin d'aider les consommateurs à suivre de plus près les mises à jour des certificats.

Pour les organisations, les nouveaux certificats sont fournis via les mises à jour mensuelles régulières de Windows, lorsque les appareils fournissent suffisamment de données de diagnostic pour valider leur état de préparation.

Dans les cas où les appareils ne peuvent pas être validés de manière fiable grâce à cette approche, les organisations doivent prévoir de déployer et de surveiller les nouveaux certificats à l'aide du guide de l'administrateur informatique et de leurs outils de gestion existants.

Prochaines étapes et assistance

Nous déployons ces nouveaux certificats en collaboration avec nos partenaires de l'écosystème, selon une approche prudente et progressive, fondée sur des tests approfondis, un déploiement par étapes basé sur des données et une coordination avec les fabricants d'appareils. Malgré cela, compte tenu de la diversité des modèles d'appareils, des versions de micrologiciels et des scénarios d'utilisation, un nombre limité d'appareils peut nécessiter une assistance supplémentaire pendant le processus de mise à jour.

Si des particuliers ou des organisations rencontrent un problème, une aide est disponible. Voici les premières mesures à prendre si vous rencontrez un problème :

- Assurez-vous que les appareils exécutent les dernières mises à jour mensuelles de Windows.

- Vérifiez que la dernière version du micrologiciel est installée en consultant la page d'assistance de votre fabricant OEM.

- Si cela ne fonctionne pas, contactez l'assistance :

Les propriétaires d'appareils utilisant des comptes Windows personnels et familiaux peuvent utiliser les canaux d'assistance en ligne et les numéros de téléphone.

Les entreprises peuvent compter sur les canaux d'assistance informatique et la documentation existants de Microsoft pour garantir une mise à jour sans heurts.

Microsoft et les fabricants d'appareils ont préparé des équipes d'assistance aux consommateurs et aux entreprises avec des conseils spécifiques liés aux mises à jour des certificats Secure Boot et sont prêts à aider les clients.

Une base sécurisée pour l'avenir

La mise à jour des certificats Secure Boot marque un renouvellement générationnel de la base de confiance sur laquelle s'appuient les PC modernes au démarrage. En renouvelant ces certificats, l'écosystème Windows garantit que les innovations futures en matière de matériel, de micrologiciels et de systèmes d'exploitation pourront continuer à s'appuyer sur un processus de démarrage sécurisé et conforme aux normes de l'industrie.

La sécurité à ce niveau n'est pas un événement ponctuel, mais une responsabilité permanente partagée entre Microsoft et l'écosystème PC au sens large. Tout au long de cet effort, nous avons apprécié la collaboration des fabricants d'appareils et des partenaires de micrologiciels pour soutenir un déploiement efficace et sûr. Cette collaboration s'est concentrée sur la planification proactive, la transparence et la fourniture de la visibilité, des outils et des conseils dont les clients ont besoin pour naviguer dans la transition en toute confiance.

Avec cette mise à jour en cours, les clients peuvent s'attendre à ce que Secure Boot reste une base de sécurité fiable et résiliente pour les appareils Windows, prenant en charge à la fois les systèmes actuels et la prochaine génération de PC.

Source : Annonce de Microsoft

Et vous ?

Pensez-vous que cette annonce est crédible ou pertinente ?
Quel est votre avis sur le sujet ?

Voir aussi :

Microsoft reconnaît que Windows 11 souffre d'un problème de confiance et promet de se concentrer sur les corrections en 2026, donnant la priorité absolue aux performances, fiabilité et expérience de l'OS

Satya Nadella veut recentrer Microsoft sur la qualité technique et la sécurité. Il nomme un nouveau tsar de la qualité de l'ingénierie après le désastre des dernières mises à jour de Windows 11

9 mois plus tard, Microsoft corrige enfin le bogue qui empêchait les distributions Linux de démarrer sur les PC dual-boot avec Secure Boot activé, Microsoft avait créé le problème en mettant à jour le GRUB

[Eric80]

Merci pour l article sur un sujet sur lequel j'ai bcp lu ces derniers jours.

Petite précision si pas de MAJ des certificats:

un état de sécurité dégradé qui limitera sa capacité à recevoir de futures protections au niveau du démarrage ». En gros, vous ne serez pas protégé contre les logiciels malveillants et les virus qui ciblent les vulnérabilités des anciennes versions de Windows.

ceci n'est pas correct: on ne parle que de protection au niveau du démarrage.

À mesure que de nouvelles vulnérabilités au niveau du démarrage sont découvertes, les systèmes affectés deviennent de plus en plus exposés car ils ne peuvent plus installer de nouvelles mesures d'atténuation. Au fil du temps, cela peut également entraîner des problèmes de compatibilité, car les nouveaux systèmes d'exploitation, micrologiciels, matériels ou logiciels dépendant du démarrage sécurisé peuvent ne pas se charger.

c'est mieux.

Windows restera protégé avec les MAJ contre toutes les attaques SAUF contre les NOUVELLES qui touchent le démarrage (et SecureBoot donc). Avec SecureBoot actif avec les certificats de 2011, la machine reste protégée contre les attaques du démarrage connue jusque 2026 mais pas les éventuelles nouvelles attaques.
L'avenir nous dira si il y aura vraiment de telles attaques....
Sont affectés aussi les logiciels qui utilisent SecureBoot pour fonctionner pleinement. Apparentement il aurait qques jeux qui font cela. Cela pourraient ne plus fonctionner correctement.


Comme tout logiciel, il y a une fin de vie et de support. Certains crieront à l’obsolescence programmée. Un certificat de sécurité peut être vu ainsi puisque la date d expiration est connue dès la date de création.

Un pt important a comprendre sur la MAJ des certificats: ceux de 2023 seront AJOUTÉS dans les listes, cad un système MAJ aura aussi bien ceux de 2011 (jusqu'à une révocation future) que ceux de 2023.
Un système sans MAJ aura QUE les certifs de 2011.

Pour les certificats SecureBoot, il y a tjs 2 sets:

1. le set de certificats actuels / actifs sur les OS, notamment sur la partition EFI. Windows Update va modifié ceux là.
2. le set de certificats "par défaut" enregistrés dans le bios/firmware UEFI. Seule une MAJ du bios peut modifier ceux là. Si on fait un reset du bios ou juste de la partie SecureBoot, ces certificats sont restaurés, cad les "défaut" deviendront les "actuels".

Le jeu de scripts de https://github.com/cjee21/Check-UEFISecureBootVariables permet de vérifier l'état des certificats. Ces scripts fonctionnent désormais sur toutes les architectures supportées (x64, arm64, x86 récemment ajouté avec ma contribution, et même arm32 alors qu'il n'y a aucun win10 récent pour ARM32).
Il liste tout les certificats par défaut et tout les actuels.

Pour les certificats actuels
On peut aussi simplement vérifier les certifs 2023 avec ces commandes dans une invite Powershell administrateur:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI DB).Bytes) -match 'Windows UEFI CA 2023'
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI DB).Bytes) -match 'Microsoft UEFI CA 2023'
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI KEK).Bytes) -match 'Microsoft Corporation KEK 2K CA 2023'

Par ailleurs, on peut aussi vérifier manuellement les fichiers sur sa partition EFI (qu'on peut monter avec 'mount x: /s'), si le fichier \EFI\Microsoft\boot\bootmgfw.efi ('dir x:EFI\Microsoft\Boot\bootmgfw.efi'):

• correspond à celui de C:\Windows\Boot\EFI\bootmgfw.efi -> les certificats de 2011 sont encore utilisés
• correspond à celui de C:\Windows\Boot\EFI_EX\bootmgfw.efi ou bootmgfw_EX.efi -> les certificats de 2023 sont utilisés

Pour les certificats par défaut
Toutes les machines assez récentes devraient recevoir une MAJ bios pour les certificats par défaut. Mais les + anciennes machines n'auront PAS une telle MAJ et resteront donc tjs avec les certificats de 2011.

On aura alors différents cas:

1. machine actuelle avec Windows MAJ -> all 2023 ok
2. machine actuelle avec MAJ bios 2023 mais sans la MAJ Windows lui tjs en 2011 -> pas de pb, comme le set récent contient aussi les
3. machine ancienne SANS Windows MAJ des certif -> all 2011. Pas top mais au moins pas de conflits.
4. machine ancienne avec Windows MAJ -> bios par default en 2011, Windows boot en 2023. Fonctionne bien tant qu'on touche pas à la partie SecureBoot du bios: si jamais les certifs par default de 2011 sont restaurés, le Windows ne pourra pas démarrer. Et il faudra réparer Windows en faisant un retour au fichiers EFI avec le certif 2011.

Il n'y a donc que le 4eme cas qui peut poser pb. Au pire, on peut tjs désactiver SecureBoot dans le bios et c'est reparti comme en 14..

L'autre cas est aussi ceux qui ont des clefs USB avec EFI utilisés sur plusieurs machines -> il est préférable de laisser la partition EFI avec les fichiers certifiés 2011 qui permet de démarrer partout.


Sources: compréhension de la doc MS et de la session AskMicrosoftAnything de la semaine dernière sur SecureBoot: https://techcommunity.microsoft.com/...e-boot/4486023

[Mathis Lucas]

Microsoft dévoile ce qu'il adviendra des PC sous Windows 11 si vous ne respectez pas la date limite fixée pour la mise à jour des certificats Secure Boot en juin 2026
mais le processus est jugé trop complexe

Microsoft a entamé une transition vers de nouveaux certificats Secure Boot d'ici juin 2026 pour remplacer les normes obsolètes datant de 2011. Redmond insiste sur le fait que ce changement critique est nécessaire pour pallier un certain nombre de problèmes. Si les utilisateurs ignorent cette mise à jour, leurs PC continueront de fonctionner, mais leur sécurité sera compromise, car ils ne recevront plus de correctifs critiques pour le démarrage. Ce processus technique s'effectue par étapes via des mises à jour logicielles, nécessitant parfois plusieurs redémarrages pour inscrire les nouveaux certificats Secure Boot dans le micrologiciel de la carte mère.

Secure Boot est une fonctionnalité de sécurité essentielle de Windows qui garantit que seuls les composants fiables et signés sont autorisés à s'exécuter pendant le processus de démarrage. Les certificats actuellement utilisés dans l'écosystème Windows ont été introduits en 2011 et arrivent désormais en fin de vie. Secure Boot est un mécanisme de sécurité intégré au firmware UEFI (Unified Extensible Firmware Interface) des ordinateurs modernes.

Avant même que Windows se charge, l'UEFI du PC vérifie que les programmes au démarrage qui se lancent sont bien ce qu'ils prétendent être ; c'est le rôle du Secure Boot. Pour fonctionner, il s'appuie sur des certificats cryptographiques (semblables à des pièces d'identité numériques) qui confirment que les composants de démarrage proviennent d'une source de confiance. Ce qui empêche des maliciels de s'exécuter très tôt dans la séquence de démarrage.

Comme tout certificat numérique, ceux utilisés par le Secure Boot ont une durée de validité de 15 ans. Les certificats en service depuis 2011 arrivent donc à expiration en 2026, avec des dates précises : Microsoft Corporation KEK CA 2011 le 24 juin, Microsoft Corporation UEFI CA 2011 et Microsoft Option ROM UEFI CA 2011 le 27 juin, et Microsoft Windows Production PCA 2011 le 19 octobre 2026. Microsoft a amorcé le remplacement de ces certificats.

L'impératif de la transition vers les certificats de 2023

Pour éviter que des millions de machines ne deviennent vulnérables ou incapables de démarrer, Microsoft déploie actuellement de nouveaux certificats datant de 2023. Cette transition est particulièrement délicate, car elle modifie directement le micrologiciel UEFI. Le démarrage sécurisé est une norme fondamentale qui vérifie les signatures cryptographiques des logiciels lors de l'allumage pour s'assurer que seul du code de confiance est exécuté.

Le déploiement de la mise à jour s'adapte intelligemment aux capacités du matériel. Les ordinateurs plus anciens qui fonctionnent encore avec un BIOS hérité ne sont physiquement pas capables de supporter le démarrage sécurisé, et le système ignorera donc totalement la tentative de mise à jour pour ces appareils.

Si un PC est compatible, mais que le démarrage sécurisé a été désactivé manuellement dans le BIOS, Microsoft bloquera intentionnellement l'installation de la mise à jour pour éviter de rendre le système inutilisable. La mise à jour vers les certificats 2023 exige au préalable que les utilisateurs corrigent eux-mêmes les erreurs de configuration de leur BIOS, puis plusieurs redémarrages afin de préparer, appliquer et charger les nouveaux gestionnaires.

Il n'est pas nécessaire de désactiver le chiffrement BitLocker durant cette procédure, car le système gère automatiquement la protection des clés à travers les différents redémarrages. Dans le cas des organisations, le déploiement automatisé n'est pas recommandé pour les grandes flottes informatiques d'entreprise.

Microsoft déconseille fortement aux administrateurs d'appliquer massivement cette mise à jour sans l'avoir préalablement testée sur des modèles matériels spécifiques. Les environnements professionnels utilisant le démarrage réseau (PXE) devront également planifier cette transition avec soin, car il est techniquement impossible de proposer simultanément les gestionnaires de démarrage de 2011 et de 2023 sur une même image de déploiement.

Les serveurs et les machines virtuelles, comme ceux sous Hyper-V ou Windows Server 2025, exigent une approche manuelle. Ces systèmes critiques ne bénéficient pas du déploiement automatisé grand public et nécessitent des interventions directes via des commandes spécifiques pour appliquer les certificats.

Conséquences du non-respect de l'échéance de juin 2026

Il est possible de vérifier facilement si un ordinateur est à jour en consultant la section « Sécurité de l'appareil » dans l'application « Sécurité Windows », où un indicateur vert confirme la bonne application des certificats. Par ailleurs, Microsoft met en garde : si un utilisateur ignore cette mise à jour et dépasse la date butoir, son ordinateur continuera de démarrer et de fonctionner, mais « son niveau de sécurité subira une dégradation permanente ».

Sans le certificat de 2023, Microsoft cessera d'envoyer des mises à jour de sécurité pour le processus de démarrage, ainsi que les listes noires permettant de bloquer les nouveaux maliciels. À plus long terme, l'absence de ces certificats entraînera le blocage intentionnel des futures mises à jour majeures du système d'exploitation Windows, une mesure préventive pour éviter que la machine ne se retrouve dans un état empêchant tout redémarrage.

Ces nouveaux certificats de 2023 offrent une tranquillité d'esprit sur le long terme, puisque leur date d'expiration est fixée à l'année 2038. (Leur durée de vie correspond à 15 ans comme les certificats de 2011.) Bien que l'industrie informatique anticipe déjà une transition vers la cryptographie post-quantique à l'horizon 2030 pour les matériels futurs, les appareils actuels resteront protégés par les clés de 2023 jusqu'à la fin de leur cycle de vie utile.

Obsolescence programmée et dépendance aux fabricants

La critique technique la plus vive concerne la dépendance de cette mise à jour vis-à-vis des fabricants de matériel. Des utilisateurs font remarquer que l'installation des nouvelles clés nécessite souvent une mise à jour préalable du BIOS de la carte mère. Si un fabricant décide de ne plus proposer de support pour un modèle spécifique, l'ordinateur se retrouvera bloqué, ce qui est perçu comme une forme d'obsolescence programmée intégrée au matériel.

De plus, l'approche de Microsoft suscite de la frustration, des critiques estimant que l'entreprise agit comme si elle était l'unique propriétaire des PC vendus. La décision de Microsoft de couper l'accès aux nouvelles listes noires de maliciels pour les machines non mises à jour est qualifiée de mesure injuste et punitive. Selon les critiques, l'antivirus Windows Defender devrait pouvoir continuer à utiliser les listes indépendamment du démarrage sécurisé.

Par ailleurs, la procédure exigée pour la mise à jour des certificats est perçue comme beaucoup trop complexe pour l'utilisateur moyen, qui peine à en comprendre les détails techniques. Face aux étapes requises, comme la mise à jour manuelle du BIOS, certains affirment qu'ils préfèrent délibérément ne rien faire.

Cette réticence est amplifiée par un manque de confiance dans la stabilité des mises à jour de Microsoft : certains utilisateurs rappellent que de précédentes mises à jour ont déjà corrompu leur système de démarrage, les forçant à formater entièrement leur disque dur. Windows 11 a multiplié les mises à jour défectueuses ces derniers mois, remettant en cause la stabilité du système et poussant certains utilisateurs à étudier des options comme Linux.

Source : Microsoft (1, 2, 3)

Et vous ?

Quel est votre avis sur le sujet ?
Que pensez-vous du processus de migration vers les certificats Secure Boot de 2023 ?
Le processus de mise à jour est jugé trop complexe pour l'utilisateur moyen. Qu'en pensez-vous ?

Voir aussi

Microsoft commencera à renouveler les certificats Secure Boot en mars pour les utilisateurs de Windows 11 et Windows 10 ESU, car les certificats Secure Boot d'origine arriveront à expiration en juin 2026

Un ex responsable de Microsoft affirme que l'entreprise a raté le train de l'IA, tout comme ce fut le cas avec Internet et le mobile. L'IA Copilot dans Windows 11 fait l'objet de sarcasmes et rejets

La nouvelle faille de sécurité zero-day YellowKey de BitLocker sous Windows, permet en étant muni d'une clé USB de déverrouiller des disques chiffrés sous Windows 11 et Windows Server 2022/2025

[Anselme45]

Plus recevoir d'update de sécurité?

J'en rêve!!!!

Les derniers updates de sécurité installés à la mi-mai 2026 sans mon accord ont rendu mon PC win11 bancal: A chaque mise sous tension, win11 essaie de redémarrer 3 fois et à la 3ème fois l'horloge n'est pas à l'heure mais affiche le jour et l'heure à laquelle le PC a été précédemment éteint... Puis après quelques minutes, l'horloge affiche l'heure correcte (et ce n'est pas la pile interne du PC, je précise)

Bien sûr, impossible de désinstaller ces merdes d'updates!!!!!


win11 est bien un OS mal pensé, mal maintenu, mal supporté, mal mis à jour... En bref? Une saloperie sans nom!!!

[gabi7756]

Passe sous linux non ?

[Mingolito]

Bill Gates était une espèce d'enfoiré qui s'est fait des milliards en entubant royalement tous le monde,
mais c'était un vrai génie et un vrai saint si on le compare au nouveau Microsoft 2026,
qui n'est qu'un ramassis de dangereux escrocs incompétents et irresponsables

[rthomas]

Beaucoup d'utilisateurs font fausse route en blâmant uniquement Windows. Le véritable coupable de cette complexité, c’est le BIOS/UEFI de la carte mère, et non pas le système d'exploitation.
Je trouve surtout qu'il est idiot d'avoir limité la durée de vie de ces certificats à 15 ans. Pourquoi ?

[Eric80]

Microsoft n'est pas le seul à rappeler l importance de ces certificats, l'agence cert ssi du gouvernement le fait aussi:
https://www.cert.ssi.gouv.fr/actuali...-2026-ACT-014/

et précise bien qu'il y a 2 niveaux de MAJ (ce que la doc de Microsoft et l'article ici ne précisent pas très bien):

L’installation des nouveaux certificats de Microsoft sur les appareils doit être faite à deux niveaux :
1. Au niveau de l’UEFI, soit par l’application d’une mise à jour UEFI de l’ordinateur et fournie par le fabricant (dans le cas d’une machine virtuelle, c’est l’hyperviseur que le fait pour l’UEFI virtuel), soit par l’ajout manuel des nouveaux certificats dans l’UEFI. Sans mise à jour des certificats au niveau UEFI, une restauration des paramètres par défaut de l'UEFI de l’appareil pourrait se solder par l’impossibilité de démarrer en démarrage sécurisé.
2. Au niveau du système d’exploitation, dans le cadre de ses mises à jour. Plusieurs étapes étalées dans le temps sont nécessaires pour parvenir à la mise à jour complète de la séquence de démarrage. Sur des systèmes Windows autonomes (appareils de particuliers notamment), le déroulement de ces étapes est automatique. Sur des systèmes gérés (membres d’un domaine Active Directory ou enrôlés et gérés via Windows Intune), elle peut nécessiter une intervention qui relève généralement des équipes informatiques de l’organisation. Les opérations à réaliser sont détaillées dans les documentations de Microsoft listées ci-après.

Et rappelle aussi que le problème de ces certificats touche TOUT les OS, aussi bien Linux que Windows, puisqu'on parle du contenu de l'UEFI AVANT le démarrage d'un OS!

Tjs au niveau de la communication, celle de Microsoft ne précise tjs pas si on pourra faire la MAJ des certificats après juin 26, par ex pour un PC resté inutilisé pendant plusieurs mois.

[Eric80]

Sur la partie technique, il y a quelques outils bien pratiques pour accompagner cette MAJ des certificats. J'en cite 2 que j'ai utilisé dernièrement:

1. https://github.com/cjee21/Check-UEFISecureBootVariables pour vérifier l'état des MAJ. Le script distingue les catégories "default" (certificats du bios réappliqués en cas de reset) et "current" (certificats actifs)
2. https://github.com/pbatard/Mosby pour faire les MAJ des certificats HORS de l'OS.

Voici un exemple du script 'Check UEFI PK, KEK, DB and DBX' sur un PC de 2014 sous Windows 10 (avec ESU):

Default UEFI PK
WARNING: Failed to query UEFI variable PKDefault

Current UEFI KEK
√ Microsoft Corporation KEK CA 2011 (revoked: False)
X Microsoft Corporation KEK 2K CA 2023

Default UEFI KEK
WARNING: Failed to query UEFI variable 'KEKDefault'

Current UEFI DB
√ Microsoft Windows Production PCA 2011 (revoked: False)
√ Microsoft Corporation UEFI CA 2011 (revoked: False)
√ Windows UEFI CA 2023 (revoked: False)
X Microsoft UEFI CA 2023
√ Microsoft Option ROM UEFI CA 2023 (revoked: False)

Default UEFI DB
WARNING: Failed to query UEFI variable 'DBDefault'

Current UEFI DBX
2025-10-14 (v1.6.0) [x64] : SUCCESS: 431 successes detected

- pour les "default", cela n'est modifiable que avec une MAJ Bios/firmware/UEFI. Ceci n'est possible QUE pour les PC/carte mères assez récent encore supportés par leur fabricants, en gros > 2020.
- pour les "current", cad les certificats dans la NVRAM du UEFI, une série de MAJ logicielles peu les mettre à jour. Normalement, les MAJ mensuelles de Windows (10 et 11) fait le job.

Toutefois, pour certains vieux PC comme le miens, cela ne fonctionne pas bien. Sur l'ex au dessus, ces MAJ mensuelles de Windows 10 ont pu modifié certains certificats (dont le `Windows UEFI CA 2023`), mais pas tous: il manque le `Microsoft UEFI CA 2023` et surtout la partie KEK.

C'est là que Mosby devient un super outil. Installé sur une clef USB démarrant un shell UEFI, Mosby propose de mettre à jour tout les certificats, et surtout de définir sa propre clef PK (auto généré par l'outil) qui permet ensuite d'avoir la MAJ KEK et ensuite les DB/DBX.
La procédure est assez simple:
- d'abord préparer sa clef USB avec Rufus par ex (du même auteur)
- ensuite dans le bios, faire le reset des certificats SecureBoot pour forcer le UEFI à se mettre en mode "setup".
- Ensuite tout de suite après, démarrer sur la clef USB et tapper "Mosby" pour lancer l'outil. Acceptez la création de clef PK.

Appliqué à mon PC de 2014, le script de vérification de 'Check UEFI PK, KEK, DB and DBX' donne ensuite cela sur les parties "current" (sachant que les "default" ne peuvent PAS être MAJ):

Secure Boot status: Enabled

Current UEFI PK
√ Mosby Generated PK [2026.05.21]

Current UEFI KEK
√ Microsoft Corporation KEK CA 2011 (revoked: False)
√ Microsoft Corporation KEK 2K CA 2023 (revoked: False)

Current UEFI DB
√ Microsoft Windows Production PCA 2011 (revoked: False)
√ Microsoft Corporation UEFI CA 2011 (revoked: False)
√ Windows UEFI CA 2023 (revoked: False)
√ Microsoft UEFI CA 2023 (revoked: False)
√ Microsoft Option ROM UEFI CA 2023 (revoked: False)
√ MosbyKey [2026.05.21]

Tout est désormais à jour. Notez la "Mosby Generated PK" qui a permis cela.

Chacun peut appliquer cela, notamment sur les PC < 2020.

[der§en]

Vivement la retraite, sur je migre enfin sur SteamOS !

[Eric80]

à nouveau, changer d'OS n'est PAS la solution ultime si vous voulez continuer d'utliser SecureBoot.

Le pb est bien lié à Microsoft puisque c'est MS qui a défini les certificats de SecureBoot, mais pas lié à Windows: Linux ou n'importe quel OS avec SecureBoot a le même soucis de mettre à jour ces certificats.

Evidemment, désactiver SecureBoot est une solution de facilité, qui s'applique aussi bien sous Linux que Windows (quoique je ne sais pas si Win11 démarre bien une fois SecureBoot off) mais n'est pas la solution de sécurité.