Secure Boot : les certificats de Windows expirent en 2026 — voici ce que vous devez faire

Une mise à jour de sécurité majeure se prépare sur tous les PC Windows. Les certificats Secure Boot utilisés depuis 2011 arrivent à expiration en juin et octobre 2026. Pour la grande majorité des utilisateurs, la transition se fera en douceur et automatiquement via Windows Update, mais certains d’entre vous devront agir manuellement avant qu’il ne soit trop tard. Voici comment vérifier si votre PC est prêt et que faire si ce n’est pas le cas.

Table des matières

Qu'est-ce que Secure Boot et pourquoi c'est important ?
Pourquoi Microsoft met à jour les certificats Secure Boot ?
Une coordination massive de tout l'écosystème PC
Le calendrier de déploiement
F.A.Q. sur les certificats Secure Boot 2023
- Que se passe-t-il si mon PC ne reçoit pas les nouveaux certificats ?
- Que dois-je faire en tant qu'utilisateur particulier ?
Ce qu'il faut retenir

Qu’est-ce que Secure Boot et pourquoi c’est important ?

Secure Boot (démarrage sécurisé) est une fonctionnalité de sécurité intégrée dans tous les PC modernes depuis 2011. Son rôle est de protéger votre ordinateur dès l’instant où vous appuyez sur le bouton d’alimentation, avant même que Windows ne démarre.

Concrètement, Secure Boot vérifie que tous les programmes qui s’exécutent au démarrage de votre PC sont légitimes et n’ont pas été modifiés par un logiciel malveillant. Cette vérification se fait grâce à des certificats numériques stockés dans le firmware (UEFI) de la carte mère de votre ordinateur. Ces certificats permettent de s’assurer qu’un logiciel est bien ce qu’il prétend être et qu’il provient d’une source de confiance (Microsoft, le fabricant de votre PC, etc.).

Aujourd’hui, les cyberattaques les plus sophistiquées tentent de s’installer au niveau du démarrage du PC (rootkits, bootkits). Si elles réussissent, elles deviennent pratiquement invisibles et très difficiles à éliminer. Secure Boot empêche ce type d’attaque en amont, en refusant d’exécuter tout code non signé par un certificat de confiance. Voilà pourquoi ce Secure Boot est important pour la sécurité de votre ordinateur !

Pourquoi Microsoft met à jour les certificats Secure Boot ?

Les certificats historiques utilisés par Secure Boot depuis 2011 ont une durée de vie limitée, et ils arrivent progressivement à expiration. Certains arrivent à échéance en juin 2026, tandis que d’autres expirent en octobre 2026. Voici les dates précises d’expiration pour chaque certificat :

Microsoft Corporation KEK CA 2011 : expire le 24 juin 2026 ;
Microsoft Corporation UEFI CA 2011 : expire le 27 juin 2026 ;
Microsoft Option ROM UEFI CA 2011 : expire le 27 juin 2026 ;
Microsoft Windows Production PCA 2011 : expire le 19 octobre 2026.

Une fois ces dates passées, ces certificats ne peuvent plus être utilisés pour valider de nouveaux composants de démarrage. Microsoft doit donc introduire de nouveaux certificats de signature afin d’assurer la continuité du mécanisme de sécurité. Ces nouveaux certificats sont appelés collectivement les certificats « Windows UEFI CA 2023 ».

Il ne s’agit donc pas seulement d’une amélioration de la sécurité, mais d’une mise à jour nécessaire pour maintenir le fonctionnement normal de Secure Boot dans les années à venir.

La bonne nouvelle, c’est que Microsoft déploie ces nouveaux certificats automatiquement via Windows Update. Ils s’installeront progressivement via les mises à jour mensuelles de Windows sur la majorité des ordinateurs compatibles.

Une coordination massive de tout l’écosystème PC

Microsoft présente cette mise à jour des certificats Secure Boot comme « l’un des plus importants efforts de maintenance de sécurité coordonnés de l’écosystème Windows ». Et pour cause, il y a :

des millions de configurations d’ordinateur différentes ;
des dizaines de fabricants d’ordinateurs (Dell, HP, Lenovo, Asus, etc.) ;
des centaines de modèles de cartes mères et de firmwares.

Et c’est aussi une mise à jour qui touche le niveau le plus bas du système (avant même Windows).

Microsoft et les fabricants travaillent sur ce projet depuis plusieurs années :

Nous avons collaboré très tôt avec les équipes d’ingénierie de Microsoft afin de préparer une transition en douceur pour nos clients.

HP travaille étroitement avec Microsoft pour s’assurer que des mises à jour de firmware soient disponibles afin que tous les PC HP compatibles avec Windows 11 puissent adopter les nouveaux certificats Secure Boot avant l’expiration des certificats existants.

La préparation à l’expiration des certificats Secure Boot a fait l’objet d’un travail coordonné entre Lenovo et Microsoft impliquant plusieurs équipes.

La bonne nouvelle, c’est que la plupart des PC fabriqués depuis 2024, et presque tous ceux livrés en 2025, incluent déjà les nouveaux certificats. Si vous avez acheté votre ordinateur récemment, vous êtes probablement déjà prêt !

Le calendrier de déploiement

Microsoft a commencé le déploiement des nouveaux certificats et utilise une approche par phases :

Phase de test : validation sur un petit nombre d’ordinateurs variés.
Déploiement progressif : extension graduelle basée sur les données de télémétrie.
Déploiement large : une fois la stabilité confirmée.

Les anciens certificats expirent en juin et octobre 2026. Microsoft prévoit que la grande majorité des ordinateurs compatibles auront reçu la mise à jour avant ces dates.

F.A.Q. sur les certificats Secure Boot 2023

Que se passe-t-il si mon PC ne reçoit pas les nouveaux certificats ?

La bonne nouvelle, c’est que si votre ordinateur n’a pas les nouveaux certificats avant juin 2026, il ne cessera pas de fonctionner et vos logiciels actuels continueront à tourner normalement. La mauvaise, c’est que votre PC entrera dans un « état de sécurité dégradé » avec :

Une protection limitée : votre système ne pourra plus recevoir de nouvelles protections au niveau du démarrage. Si de nouvelles vulnérabilités de démarrage sont découvertes, vous pourriez ne pas pouvoir installer certains correctifs liés au démarrage sécurisé.
Une exposition croissante : avec le temps, les menaces évoluent. Sans les nouveaux certificats, votre PC deviendra de plus en plus vulnérable aux attaques sophistiquées au niveau du démarrage.
Des problèmes de compatibilité futurs : les nouvelles versions de Windows pourraient ne pas se charger correctement, certains nouveaux périphériques matériels pourraient ne pas fonctionner et les logiciels qui dépendent de Secure Boot pourraient rencontrer des erreurs.

Que dois-je faire en tant qu’utilisateur particulier ?

Pour la majorité d’entre vous : rien du tout !

Si les mises à jour automatiques sont bien activées sur votre PC, les nouveaux certificats Secure Boot seront installés automatiquement via les mises à jour mensuelles de Windows. Vous n’avez donc rien à faire.

Ceci dit, même si le processus est automatique, il y a quelques vérifications à faire pour s’assurer que tout est OK et que votre ordinateur sera prêt le jour J.

Info : si vous avez acheté votre PC récemment, il y a même de fortes chances que ces nouveaux certificats soient déjà intégrés dans le firmware UEFI de votre carte mère, ce qui fait que vous êtes déjà protégé !

Vérifiez que le Secure Boot est bien activé

Assurez-vous que le Secure Boot est activé sur votre ordinateur :

Sur votre PC Windows, appuyez sur les touches Win + R .
Tapez msinfo32 et appuyez sur Entrée.
Dans la fenêtre Informations système, recherchez la ligne « État du démarrage sécurisé » et vérifiez qu’elle indique « Activé ».

Si Secure Boot n’est pas activé, vous devrez l’activer dans les paramètres UEFI de votre PC :

Activer le Secure Boot sur un PC UEFI

Vérifiez si votre PC a déjà les nouveaux certificats

Vous pouvez vérifier par vous-même si votre PC utilise déjà les nouveaux certificats 2023 grâce à deux commandes simples :

Ouvrez le Terminal Windows en tant qu’administrateur. Pour cela, faites un clic droit sur le bouton Windows dans la barre des tâches -> Terminal (administrateur).
Vérifiez si votre PC utilise les nouveaux certificats en copiant-collant la commande suivante :
PowerShell
```
([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023')
```
```
([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023')
```
Résultat :
- True → Parfait : votre PC utilise déjà les nouveaux certificats 2023 ! ✅
- False → Aïe : votre PC utilise encore les anciens certificats de 2011… ❌
Vous pouvez aussi vérifier si les nouveaux certificats sont intégrés directement dans le firmware UEFI de votre PC avec cette commande :
PowerShell
```
([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbdefault).bytes) -match 'Windows UEFI CA 2023')
```
```
([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbdefault).bytes) -match 'Windows UEFI CA 2023')
```
Résultat :
- True → Les nouveaux certificats sont intégrés dans le firmware UEFI de votre ordinateur.
- False → Les nouveaux certificats ne sont PAS intégrés dans le firmware UEFI de votre ordinateur. Mais pas de panique – et c’est même normal si vous avez un PC plus ancien – les nouveaux certificats seront peut être installés par Windows Update.

Vous n’avez toujours pas les nouveaux certificats Secure Boot 2023 ? Pas de panique ! Microsoft les déploie progressivement à tous les PC Windows via Windows Update.

Suivez l’état de la mise à jour

Dans les prochains mois, Microsoft ajoutera des messages dans l’application Sécurité Windows pour vous informer de l’état de vos certificats Secure Boot. Vous pourrez ainsi vérifier facilement si votre PC est à jour.

Ce qu’il faut retenir

Les certificats Secure Boot utilisés depuis 2011 expirent en juin et octobre 2026, ce qui nécessite leur remplacement.
Microsoft déploie progressivement de nouveaux certificats Secure Boot (Windows UEFI CA 2023) via Windows Update.
Pour la majorité des utilisateurs, aucune action ne sera nécessaire : la mise à jour se fera automatiquement. Les PC plus anciens peuvent nécessiter une mise à jour du firmware.
Sans ces nouveaux certificats, un PC continuera de fonctionner mais pourrait entrer dans un état de sécurité dégradé, avec moins de protections au démarrage.

Et si vous avez deux petites minutes devant vous...

Laissez-nous un avis sur Trustpilot ou sur notre page Facebook (ou les deux ), cela nous aiderait beaucoup !

Évaluez-nous sur Évaluez-nous sur Facebook

1 commentaire

Page 1 sur 1

- eric3342
- 13 février 2026 à 05:45
bonjour.ton article est bien fait ,le seule reproche que l’on peut y faire c’est qu’il aurai ete bon de dire que le pauvre gars qui a un dual boot avec une distribution non compatible secure boot ne pourra plus booter sur celle ci.il aurai ete bon de le preciser.pour ma part je pense que le secure boot a ete mis en place par les constructeurs pour obliger le quidam a installer windows,ce qui est un abus de position dominante.cher moi pas de secure boot sur mes 4 postes comme ca je n’ai pas a me creuser la tete a savoir si telle ou telle distribution prend en charge secure boot ou pas.sur ce bonne journee
- Répondre