feigned

Les certificats Secure Boot de Windows expirent en 2026 : voici ce que vous devez faire

Pierre Caer Le Crabe
Les certificats Secure Boot de Windows expirent en 2026 : voici ce que vous devez faire

Une mise à jour de sécurité majeure se prépare sur tous les PC Windows. Les certificats Secure Boot utilisés depuis 2011 arrivent à expiration en juin et octobre 2026. Pour la grande majorité des utilisateurs, la transition se fera en douceur et automatiquement via Windows Update, mais certains d’entre vous devront agir manuellement avant qu’il ne soit trop tard. Voici comment vérifier si votre PC est prêt et que faire si ce n’est pas le cas.

Table des matières

Qu’est-ce que Secure Boot et pourquoi c’est important ?

Secure Boot (démarrage sécurisé) est une fonctionnalité de sécurité intégrée dans tous les PC modernes depuis 2011. Son rôle est de protéger votre ordinateur dès l’instant où vous appuyez sur le bouton d’alimentation, avant même que Windows ne démarre.

Concrètement, Secure Boot vérifie que tous les programmes qui s’exécutent au démarrage de votre PC sont légitimes et n’ont pas été modifiés par un logiciel malveillant. Cette vérification se fait grâce à des certificats numériques stockés dans le firmware (UEFI) de la carte mère de votre ordinateur. Ces certificats permettent de s’assurer qu’un logiciel est bien ce qu’il prétend être et qu’il provient d’une source de confiance (Microsoft, le fabricant de votre PC, etc.).

Aujourd’hui, les cyberattaques les plus sophistiquées tentent de s’installer au niveau du démarrage du PC (rootkits, bootkits). Si elles réussissent, elles deviennent pratiquement invisibles et très difficiles à éliminer. Secure Boot empêche ce type d’attaque en amont, en refusant d’exécuter tout code non signé par un certificat de confiance. Voilà pourquoi ce Secure Boot est important pour la sécurité de votre ordinateur !

Pourquoi Microsoft met à jour les certificats Secure Boot ?

Les certificats historiques utilisés par Secure Boot depuis 2011 ont une durée de vie limitée, et ils arrivent progressivement à expiration. Certains arrivent à échéance en juin 2026, tandis que d’autres expirent en octobre 2026. Voici les dates précises d’expiration pour chaque certificat :

  • Microsoft Corporation KEK CA 2011 : expire le 24 juin 2026 ;
  • Microsoft Corporation UEFI CA 2011 : expire le 27 juin 2026 ;
  • Microsoft Option ROM UEFI CA 2011 : expire le 27 juin 2026 ;
  • Microsoft Windows Production PCA 2011 : expire le 19 octobre 2026.

Une fois ces dates passées, ces certificats ne peuvent plus être utilisés pour valider de nouveaux composants de démarrage. Microsoft doit donc introduire de nouveaux certificats de signature afin d’assurer la continuité du mécanisme de sécurité. Ces nouveaux certificats sont appelés collectivement les certificats « Windows UEFI CA 2023 ».

Il ne s’agit donc pas seulement d’une amélioration de la sécurité, mais d’une mise à jour nécessaire pour maintenir le fonctionnement normal de Secure Boot dans les années à venir.

La bonne nouvelle, c’est que Microsoft déploie ces nouveaux certificats automatiquement via Windows Update. Ils s’installeront progressivement via les mises à jour mensuelles de Windows sur la majorité des ordinateurs compatibles.

Une coordination massive de tout l’écosystème PC

Microsoft présente cette mise à jour des certificats Secure Boot comme « l’un des plus importants efforts de maintenance de sécurité coordonnés de l’écosystème Windows ». Et pour cause, il y a :

  • des millions de configurations d’ordinateur différentes ;
  • des dizaines de fabricants d’ordinateurs (Dell, HP, Lenovo, Asus, etc.) ;
  • des centaines de modèles de cartes mères et de firmwares.

Et c’est aussi une mise à jour qui touche le niveau le plus bas du système (avant même Windows).

Microsoft et les fabricants travaillent sur ce projet depuis plusieurs années :

Nous avons collaboré très tôt avec les équipes d’ingénierie de Microsoft afin de préparer une transition en douceur pour nos clients.

Dell Technologies (Rick Martinez, VP et CTO Sécurité)

HP travaille étroitement avec Microsoft pour s’assurer que des mises à jour de firmware soient disponibles afin que tous les PC HP compatibles avec Windows 11 puissent adopter les nouveaux certificats Secure Boot avant l’expiration des certificats existants.

HP (Vali Ali, HP Fellow et Chief Technologist Sécurité)

La préparation à l’expiration des certificats Secure Boot a fait l’objet d’un travail coordonné entre Lenovo et Microsoft impliquant plusieurs équipes.

Lenovo (Tom Butler, VP Commercial Portfolio)

La bonne nouvelle, c’est que la plupart des PC fabriqués depuis 2024, et presque tous ceux livrés en 2025, incluent déjà les nouveaux certificats. Si vous avez acheté votre ordinateur récemment, vous êtes probablement déjà prêt !

Le calendrier de déploiement

Microsoft a commencé le déploiement des nouveaux certificats et utilise une approche par phases :

  • Phase de test : validation sur un petit nombre d’ordinateurs variés.
  • Déploiement progressif : extension graduelle basée sur les données de télémétrie.
  • Déploiement large : une fois la stabilité confirmée.

Les anciens certificats expirent en juin et octobre 2026. Microsoft prévoit que la grande majorité des ordinateurs compatibles auront reçu la mise à jour avant ces dates.

F.A.Q. sur les certificats Secure Boot 2023

Que se passe-t-il si mon PC ne reçoit pas les nouveaux certificats ?

La bonne nouvelle, c’est que si votre ordinateur n’a pas les nouveaux certificats avant juin 2026, il ne cessera pas de fonctionner et vos logiciels actuels continueront à tourner normalement. La mauvaise, c’est que votre PC entrera dans un « état de sécurité dégradé » avec :

  • Une protection limitée : votre système ne pourra plus recevoir de nouvelles protections au niveau du démarrage. Si de nouvelles vulnérabilités de démarrage sont découvertes, vous pourriez ne pas pouvoir installer certains correctifs liés au démarrage sécurisé.
  • Une exposition croissante : avec le temps, les menaces évoluent. Sans les nouveaux certificats, votre PC deviendra de plus en plus vulnérable aux attaques sophistiquées au niveau du démarrage.
  • Des problèmes de compatibilité futurs : les nouvelles versions de Windows pourraient ne pas se charger correctement, certains nouveaux périphériques matériels pourraient ne pas fonctionner et les logiciels qui dépendent de Secure Boot pourraient rencontrer des erreurs.

Que dois-je faire en tant qu’utilisateur particulier ?

Pour la majorité d’entre vous : rien du tout !

Si les mises à jour automatiques sont bien activées sur votre PC, les nouveaux certificats Secure Boot seront installés automatiquement via les mises à jour mensuelles de Windows. Vous n’avez donc rien à faire.

Ceci dit, même si le processus est automatique, il y a quelques vérifications à faire pour s’assurer que tout est OK et que votre ordinateur sera prêt le jour J.

Vérifiez que le Secure Boot est bien activé

Assurez-vous que le Secure Boot est activé sur votre ordinateur :

  1. Sur votre PC Windows, appuyez sur les touches Win + R .

  2. Tapez msinfo32 et appuyez sur Entrée.

  3. Dans la fenêtre Informations système, recherchez la ligne « État du démarrage sécurisé » et vérifiez qu’elle indique « Activé ».

Si Secure Boot n’est pas activé, vous devrez l’activer dans les paramètres UEFI de votre PC :

Activer le Secure Boot sur un PC UEFI

Vérifiez si votre PC a déjà les nouveaux certificats

Vous pouvez vérifier par vous-même si votre PC utilise déjà les nouveaux certificats 2023 grâce à deux commandes simples :

  1. Ouvrez le Terminal Windows en tant qu’administrateur. Pour cela, faites un clic droit sur le bouton Windows dans la barre des tâches -> Terminal (administrateur).

  2. Vérifiez si votre PC utilise les nouveaux certificats en copiant-collant la commande suivante :

    PowerShell
    ([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023')

    Résultat :

    • True → Parfait : votre PC utilise déjà les nouveaux certificats 2023 ! ✅
    • False → Aïe : votre PC utilise encore les anciens certificats de 2011… ❌

  3. Vous pouvez aussi vérifier si les nouveaux certificats sont intégrés directement dans le firmware UEFI de votre PC avec cette commande :

    PowerShell
    ([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbdefault).bytes) -match 'Windows UEFI CA 2023')

    Résultat :

    • True → Les nouveaux certificats sont intégrés dans le firmware UEFI de votre ordinateur.
    • False → Les nouveaux certificats ne sont PAS intégrés dans le firmware UEFI de votre ordinateur. Mais pas de panique – et c’est même normal si vous avez un PC plus ancien – les nouveaux certificats seront peut être installés par Windows Update.

Vous n’avez toujours pas les nouveaux certificats Secure Boot 2023 ? Pas de panique ! Microsoft les déploie progressivement à tous les PC Windows via Windows Update.

Suivez l’état de la mise à jour

Dans les prochains mois, Microsoft ajoutera des messages dans l’application Sécurité Windows pour vous informer de l’état de vos certificats Secure Boot. Vous pourrez ainsi vérifier facilement si votre PC est à jour.

L’application Sécurité Windows

Ce qu’il faut retenir

  • Les certificats Secure Boot utilisés depuis 2011 expirent en juin et octobre 2026, ce qui nécessite leur remplacement.
  • Microsoft déploie progressivement de nouveaux certificats Secure Boot (Windows UEFI CA 2023) via Windows Update.
  • Pour la majorité des utilisateurs, aucune action ne sera nécessaire : la mise à jour se fera automatiquement. Les PC plus anciens peuvent nécessiter une mise à jour du firmware.
  • Sans ces nouveaux certificats, un PC continuera de fonctionner mais pourrait entrer dans un état de sécurité dégradé, avec moins de protections au démarrage.
Source : Microsoft

Un p’tit coup de pince ?

Derrière chaque article, il y a du temps, de la passion, et parfois... plusieurs cafés 😁 ☕
Si vous souhaitez soutenir mon travail, vous pouvez m’en offrir un !

Explorez cet article avec l’aide de l’IA

Les assistants IA peuvent vous aider à mieux comprendre, résumer ou approfondir ce contenu.
Cliquez sur l’assistant de votre choix !

ChatGPT logo ChatGPT Analyser Perplexity logo Perplexity Analyser Claude logo Claude Analyser Grok logo Grok Analyser
Pierre Caer
Fondateur Expert Windows/Linux
  • 1 128 articles

Depuis 2013, je vous aide à dépanner vous-même votre matériel informatique afin que vous puissiez reprendre au plus vite vos activités, à approfondir vos connaissances et à mieux utiliser votre ordinateur. Avec rigueur, exhaustivité et simplicité ! 🦀

Vous avez aimé cet article ?

Dites-le-nous !

Et si vous avez deux petites minutes devant vous...

Laissez-nous un avis sur Trustpilot ou sur notre page Facebook (ou les deux ), cela nous aiderait beaucoup !

Évaluez-nous sur Évaluez-nous sur Facebook

Le Crabe Info est aussi sur vos réseaux

Suivez-nous sur :

Facebook X

Newsletter

Inscrivez-vous à notre newsletter pour recevoir nos prochains contenus directement dans votre boîte mail

À voir également
6 commentaires
Répondre à Mathieu RéauAnnuler
Vous avez un compte sur community.lecrabeinfo.net ?
Continuer avec Invision Community

Formulaire protégé par reCAPTCHA. Les Règles de confidentialité et les Conditions d'utilisation de Google s'appliquent.

Page 1 sur 1

  • Dell 7730 et a ce jour aucun certificat 2023 installer.

    j ai fais toutes les verifs et tout est ok.

  • Bonjour, 

    Il n’y a pas un problème avec les commandes indiquées ?

    Suivant les machines, et même les moments, j’obtiens des résultats inanten du genre :  « Get-SecureBootUEFI : La variable est actuellement non définie : 0xC0000100Au caractère Ligne:1 : 43+ … System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) …+                                             ~~~~~~~~~~~~~~~~~~~~~    + CategoryInfo          : ResourceUnavailable: (Microsoft.Secur…BootUefiCommand:GetSecureBootUefiCommand) [Get-S   ecureBootUEFI], StatusException    + FullyQualifiedErrorId : GetFWVarFailed,Microsoft.SecureBoot.Commands.GetSecureBootUefiCommand »

  • Bonjour,

    Ayant, pour ma part, un ordinateur fonctionnant en dual-boot avec un démarrage en mode Hérité (et non un Secure boot, incompatible avec les systèmes 32 bits), est-ce que je dois m’inquiéter de la perspective de l’expiration de ces fameux certificats de sécurité ? Ou est-ce que je ne suis juste pas concerné du tout ?

    Merci d’avance !

  • bonjour.ton article est bien fait ,le seule reproche que l’on peut y faire c’est qu’il aurai ete bon de dire que le pauvre gars qui a un dual boot avec une distribution non compatible secure boot ne pourra plus booter sur celle ci.il aurai ete bon de le preciser.pour ma part je pense que le secure boot a ete mis en place par les constructeurs pour obliger le quidam a installer windows,ce qui est un abus de position dominante.cher moi pas de secure boot sur mes 4 postes comme ca je n’ai pas a me creuser la tete a savoir si telle ou telle distribution prend en charge secure boot ou pas.sur ce bonne journee

    • Salut ! C’est faux : ceux qui n’ont pas de secure boot activé ont justement éliminé le problème. Le boot fonctionnera toujours sans aucun problème et sans rien avoir à faire pour eux. Seuls sont concernés ceux qui utilisent cette option de sécurité, et qui n’ont pas bénéficié de la mise à jour des certifs. Pour la contraite de position dominante, je suis assez d’accord.

18
Table des matières