Se préparer à l'expiration des certificats Windows Secure Boot

Plusieurs certificats concernant Secure Boot de Windows arrivent bientôt à échéance. Si pour la plupart les mises à jour se feront automatiquement, certains environnements nécessiteront des efforts supplémentaires. Tour d'horizon de ce qu'il faut savoir pour assurer une transition en douceur.

La vie des utilisateurs et des administrateurs de systèmes Windows s’apprête à être bouleversée. Microsoft compte en effet apporter une modification importante du mode de démarrage sécurisé (Secure Boot) de son système d’exploitation. Le problème est plus précisément lié aux certificats de Secure Boot : émis il y a 15 ans par la firme de Redmond ils arrivent à échéance et sont donc en cours de remplacement par d’autres plus récents. Mais pour continuer à bénéficier des protections de sécurité les plus récentes pour le processus de démarrage Windows, les utilisateurs comme les administrateurs IT doivent s'assurer que leurs systèmes Windows en sont bien équipés. Voici ce qu’il faut savoir pour assurer une transition sereine.

Qu’est-ce que Secure Boot ?

Il s'agit d'une fonction de sécurité qui vérifie, au démarrage de Windows, que tous les logiciels intégrés au micrologiciel sont signés par un certificat de confiance. En cas de non-correspondance, le logiciel est bloqué. Tout ce processus se déroule immédiatement au démarrage, avant même que l’OS ou tout autre élément ne se charge. Disponible sur les PC tournant sur un BIOS UEFI, cette fonction est apparue en 2011 pour assurer que seul un code signé et de confiance puisse s'exécuter lors du démarrage et éviter toute compromission initiale. D’abord disponible en option dans Windows 8 et 10, Secure Boot a ensuite intégré en standard Windows 11.

Que se passe-t-il avec les certificats Secure Boot ?

Pour faire face aux récentes menaces, Microsoft a émis en 2023 de nouveaux certificats Secure Boot pour remplacer ceux de 2011. Leur déploiement sur les terminaux Windows a commencé en 2024 et, selon l’éditeur, la quasi-totalité des PC et serveurs commercialisés à partir de 2025 intègrent déjà les certificats de 2023. Cependant, la plupart des systèmes plus anciens (fabriqués entre 2012 et 2024) sur lesquels Secure Boot est activé utilisent encore les certificats de 2011. Or ces derniers commenceront à expirer en juin.

Trois certificats Secure Boot de Windows arrivent à expiration cette année :

- KEK CA 2011 qui autorise les modifications apportées à la base de données Secure Boot et expirera le 27 juin 2026 ;

- UEFI CA 2011 qui signe les pilotes tiers pour permettre aux composants matériels de charger leur micrologiciel lors du démarrage, et expirera le 27 juin 2026 ;

- Windows Production PCA 2011 qui signe le chargeur d'amorçage Windows lui-même, le composant logiciel essentiel qui charge Windows depuis le lecteur vers la mémoire et expirera le 19 octobre 2026.

Pour les terminaux qui n'ont pas été livrés avec les certificats 2023 préinstallés, Microsoft déploie actuellement ces certificats via Windows Update.

Qu'advient-il des terminaux ne disposant pas des certificats mis à jour une fois que les anciens ont expiré ?

Sans ces derniers certificats, le PC continuera de fonctionner et recevra toujours les mises à jour Windows habituelles, mais plus celles de sécurité relatives au processus de démarrage. Les dernières protections pour le gestionnaire de démarrage Windows ne s'installeront donc pas et les mises à jour de la base de données Secure Boot ne s'appliqueront pas. Les listes de révocation bloquant les malwares connus ne seront pas non plus actualisées. Le système sera alors pratiquement sans défense face aux menaces au niveau du démarrage. À long terme, l'absence des certificats actuels peut également entraîner des problèmes de compatibilité avec les prochains systèmes d'exploitation, micrologiciels, matériels ou logiciels dépendant de Secure Boot.

Comment les certificats Secure Boot sont-ils mis à jour ?

Pour la plupart des terminaux dont les mises à jour Windows sont gérées par Microsoft (notamment grand public mais aussi certains pour les entreprises et l'enseignement), les certificats récents seront installés automatiquement via Windows Update dans le cadre du processus d'actualisation mensuelle habituel, sans qu'aucune intervention supplémentaire ne soit nécessaire. L'éditeur déploie progressivement ces certificats depuis juin 2025 ; il est donc possible que votre système en dispose déjà.

Mais certains terminaux peuvent nécessiter une mise à jour du micrologiciel fournie par le fabricant avant que le système puisse appliquer les derniers certificats Secure Boot. En effet, ils doivent être enregistrés dans les bases de données UEFI de la carte mère, auxquelles Secure Boot fait appel lors du processus de démarrage. HP, Dell, Lenovo et d'autres grands fabricants de PC ont publié des évolutions du BIOS spécialement conçues pour garantir que leurs systèmes puissent accepter correctement ces certificats. Microsoft recommande à ses clients de consulter les pages d'assistance de leur fabricant d'équipement d'origine (OEM) pour vérifier si des mises à jour du micrologiciel sont disponibles et de les installer si nécessaire. L’éditeur tient aussi à jour une liste des pages d'assistance des OEM concernant la préparation aux mises à jour de Secure Boot.

Les systèmes managés par des entreprises peuvent suivre différents processus de mise à jour et nécessitent généralement l'intervention d'un administrateur informatique. Microsoft propose un mini-site complet intitulé « Mises à jour des certificats Secure Boot : conseils à l'intention des professionnels de l'informatique et des entreprises », qui traite notamment de la vérification de l'état de Secure Boot, de la préparation, des considérations relatives au micrologiciel, des options de déploiement (y compris automatisé), de la surveillance et de la correction, ainsi que du dépannage.

Quels PC et serveurs recevront automatiquement les certificats mis à jour ?

Seuls les équipements fonctionnant sous des versions de Windows actuellement prises en charge par Microsoft recevront les certificats Secure Boot mis à jour via Windows Update :

- Windows 11 24H2, 25H2 et 26H1 (toutes les éditions) ; les éditions Entreprise et Education de Windows 11 23H2 ; et les éditions 2024 de Windows 11 Long-Term Servicing Channel (LTSC) ;

- Windows 10 22H2 inscrits au programme Extended Security Updates (ESU) et toutes les éditions de Windows 10 Long-Term Servicing Branch (LTSB) /LTSC 2016, 2019 et 2021 jusqu'à leurs dates de fin de prise en charge LTSC ;

- Windows Server 2019, 2022 et 2025 : couverts par des instructions distinctes dans le guide Secure Boot Playbook pour Windows Server.

Comment savoir si les derniers certificats Secure Boot ont été installés ?

Les particuliers et les utilisateurs professionnels ou du secteur de l'éducation bénéficiant de mises à jour gérées par Microsoft peuvent vérifier dans Sécurité Windows > Sécurité de l'appareil > Secure Boot. Des icônes et des messages d'état indiquent si votre appareil est entièrement à jour et si des mesures doivent être prises. Pour plus de détails, consultez la page d'assistance de Microsoft intitulée « État de la mise à jour des certificats Secure Boot dans l'application Sécurité Windows. »

Que savoir d'autre concernant les mises à jour des certificats Secure Boot ?

Le Secure Boot étant intégré au firmware, certains environnements peuvent nécessiter des étapes supplémentaires. Cela peut concerner des configurations matérielles spécialisées, certains systèmes virtualisés dans lesquels le fournisseur de la plateforme gère le comportement du micrologiciel, ou encore des terminaux qui dépendent de l'assistance du fabricant. Microsoft travaille en étroite collaboration avec ses partenaires matériels et de PC pour garantir une large compatibilité et une transition en douceur. Avec le Patch Tuesday de mai 2026 et les prochaines mises à jour mensuelles, certains terminaux pourraient nécessiter un redémarrage supplémentaire pendant l'installation. Il s'agit d'un redémarrage unique, prévu et documenté, permettant d'appliquer le dernier gestionnaire de démarrage une fois les certificats enregistrés dans le micrologiciel.

Quelles ressources sont disponibles pour vous aider à déployer et à résoudre les problèmes liés aux nouveaux certificats Secure Boot ?

- aka.ms/getsecureboot : une ressource de référence que Microsoft tient à jour avec toutes les informations et recommandations concernant les mises à jour des certificats Secure Boot ;

- Terminaux Windows pour les particuliers, les entreprises et les établissements scolaires avec mises à jour gérées par Microsoft : comprend une section de dépannage pour les problèmes liés à la récupération BitLocker ou à un système qui ne démarre pas après l'installation des nouveaux certificats ;

- Guides pratiques Secure Boot pour les clients Windows et les serveurs Windows : ils accompagnent les administrateurs informatiques tout au long du processus de planification et de déploiement dans des environnements automanagés ;

- Guide de dépannage Secure Boot destiné aux administrateurs système ;

- Rapport d'état Secure Boot dans Windows Autopatch qui sert à surveiller à l'échelle du parc informatique, sans frais supplémentaires.