Secure Boot : comment vérifier si les certificats 2023 sont bien installés sur votre PC ?

Vous avez pris connaissance de l’expiration des certificats Secure Boot de Windows en 2026 et vous vous demandez maintenant si votre PC possède les nouveaux certificats ? Bonne nouvelle : il existe une méthode simple pour le vérifier vous-même, sans avoir besoin de compétences techniques particulières.

Dans ce tutoriel, je vais vous montrer pas à pas comment vérifier si les certificats Secure Boot 2023 sont bien installés sur votre PC Windows, pour vous assurer que votre PC pourra continuer à recevoir les protections de sécurité liées au démarrage après l’expiration des anciens certificats.

Pourquoi vérifier vos certificats Secure Boot ?

Avant de commencer, faisons un rapide point sur ce qui se passe actuellement avec les certificats Secure Boot et pourquoi il est important de vérifier leur présence sur votre ordinateur.

Secure Boot est une fonctionnalité de sécurité intégrée dans le firmware UEFI de tous les PC modernes depuis 2011. Son rôle principal est de protéger votre ordinateur contre les logiciels malveillants qui tentent de s’installer au tout début du démarrage de votre PC, avant même que Windows ne se charge.

Les certificats numériques utilisés par Secure Boot depuis 2011 ont une durée de vie limitée, et ils arrivent progressivement à expiration à partir de juin 2026. Pour assurer la continuité de la protection Secure Boot, Microsoft a créé de nouveaux certificats en 2023, appelés collectivement les certificats « Windows UEFI CA 2023 ». Microsoft déploie ces nouveaux certificats automatiquement via Windows Update sur la majorité des ordinateurs.

Même si le processus est automatique, il est recommandé de vérifier par vous-même que les nouveaux certificats sont bien présents sur votre ordinateur pour confirmer que votre PC est prêt pour 2026 et que vous n’aurez pas de problèmes de sécurité ou de démarrage.

Les deux bases de données de certificats : Active (DB) et Default (DBDefault)

Avant de plonger dans les méthodes de vérification, il est important de savoir qu’il existe deux bases de données de certificats Secure Boot sur votre ordinateur : la base Active et la base par défaut. Comprendre la différence entre ces deux bases de données vous permettra de mieux interpréter les résultats que vous obtiendrez lors de vos vérifications.

La base de données Active (Active DB)

La base de données Active, aussi appelée simplement « DB », contient les certificats que votre ordinateur utilise actuellement pour démarrer. Ce sont ces certificats qui sont réellement employés par le système d’exploitation (Windows) pour vérifier l’intégrité des composants de démarrage lors de chaque redémarrage de votre PC.

Cette base est stockée dans la NVRAM (mémoire non volatile) de votre carte mère. Elle peut être modifiée par Windows Update, ce qui permet l’installation automatique des nouveaux certificats.

La base de données par défaut (Default DB)

La base de données par défaut, appelée « DBDefault », contient une sauvegarde de tous les certificats Secure Boot. Elle sert de référence et peut être utilisée pour restaurer la base Active, par exemple lors d’une réinitialisation des paramètres du Secure Boot dans le firmware UEFI.

Cette base est intégrée dans la puce UEFI de votre carte mère et ne peut être modifiée que par une mise à jour du firmware fournie par votre fabricant (Dell, HP, Lenovo, etc.).

Les certificats Secure Boot 2023 peuvent être dans cette base par défaut si votre PC est récent ou si vous avez installé une mise à jour récente du firmware UEFI. C’est la configuration la plus solide et la plus pérenne : même si vous réinitialisez les paramètres Secure Boot un jour, les certificats 2023 reviendront automatiquement puisqu’ils sont gravés dans le firmware.

Vérifier si les certificats Secure Boot 2023 sont bien installés sur son PC

Étape 1 : ouvrir PowerShell en tant qu’administrateur

Pour exécuter les commandes de vérification, vous devez obligatoirement ouvrir PowerShell avec des privilèges d’administrateur. Voici comment procéder :

1. Faites un clic droit sur le bouton Démarrer (l’icône Windows dans la barre des tâches).

2. Dans le menu contextuel, cliquez sur Terminal (administrateur) ou Windows PowerShell (administrateur), selon la version de Windows que vous utilisez.

   

3. Si une fenêtre de contrôle de compte d’utilisateur apparaît vous demandant l’autorisation de continuer, cliquez sur Oui.

4. La fenêtre PowerShell ou Terminal s’ouvre avec l’invite de commande. Vous êtes maintenant prêt à exécuter les commandes de vérification.

   

Étape 2 : vérifier si les nouveaux certificats sont utilisés (Active DB)

Copiez et collez la commande suivante dans PowerShell, puis appuyez sur Entrée :

([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023')

([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023')

👉 Cette commande va interroger la base de données Active du Secure Boot et rechercher la présence du certificat « Windows UEFI CA 2023 », qui est le principal nouveau certificat introduit en 2023 pour remplacer l’ancien « Microsoft Windows Production PCA 2011 ».

• Si la commande renvoie True : excellent ! Cela signifie que votre PC utilise déjà les nouveaux certificats 2023 pour le démarrage. Votre système est à jour et prêt pour l’expiration des anciens certificats en 2026. Vous n’avez rien d’autre à faire ! ✅
• Si la commande renvoie False : cela indique que votre PC utilise encore les anciens certificats de 2011 pour démarrer. Dans l’immédiat, ce n’est pas forcément un problème : il se peut que Microsoft n’a pas encore envoyé les nouveaux certificats à votre ordinateur via Windows Update (déploiement progressif).

Étape 3 : vérifier si les certificats sont intégrés dans le firmware (Default DB)

Copiez et collez la commande suivante dans PowerShell, puis appuyez sur Entrée :

([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbdefault).bytes) -match 'Windows UEFI CA 2023')

([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbdefault).bytes) -match 'Windows UEFI CA 2023')

👉 Cette commande vérifie si les nouveaux certificats 2023 sont déjà intégrés dans le firmware UEFI de votre carte mère.

• Si la commande renvoie True : les nouveaux certificats 2023 sont intégrés dans le firmware UEFI de votre ordinateur. C’est généralement le cas si vous avez un PC récent (fabriqué en 2024 ou 2025) ou si vous avez installé une mise à jour du firmware proposée par votre fabricant. C’est parfait ! ✅
• Si la commande renvoie False : les nouveaux certificats ne sont PAS intégrés dans le firmware UEFI de votre ordinateur. Pas de panique ! C’est tout à fait normal si vous avez un PC plus ancien. Dans ce cas, les nouveaux certificats peuvent toujours être installés par Windows Update directement dans la base de données Active, sans nécessiter de mise à jour du firmware.

Comment interpréter les résultats ?

Cas n°1 : Active DB ✅ | Default DB ✅

Signification

Félicitations ! Votre PC est dans la meilleure configuration possible. Non seulement votre système utilise déjà les nouveaux certificats pour démarrer, mais en plus ces certificats sont intégrés dans le firmware UEFI de votre ordinateur.

Action à entreprendre

Aucune ! Votre PC est parfaitement préparé pour l’expiration des certificats 2011 en 2026. Vous pouvez dormir tranquille 😌

Cas n°2 : Active DB ✅ | Default DB ❌

Signification

Votre PC utilise déjà les nouveaux certificats 2023 pour le démarrage, ce qui est très bien ! Cependant, ces certificats ne sont pas intégrés dans le firmware de votre carte mère. Cela signifie que Windows Update a installé les nouveaux certificats directement dans la base de données Active via une mise à jour du système d’exploitation, sans passer par une mise à jour du firmware.

Action à entreprendre

Votre système est fonctionnel et sécurisé pour le moment. Cependant, il y a une précaution importante à prendre : si vous réinitialisez un jour les paramètres Secure Boot dans l’UEFI, les certificats 2023 de la base Active seront effacés et remplacés par les certificats 2011 de la base Default. Dans ce cas, vous devrez réinstaller les certificats 2023 via Windows Update.

Recommandation

Si votre fabricant propose une mise à jour du firmware UEFI qui intègre les nouveaux certificats 2023, il peut être judicieux de l’installer pour avoir une configuration plus solide. Consultez le site de support de votre fabricant (Dell, HP, Lenovo, Asus, etc.) pour vérifier si une telle mise à jour est disponible pour votre modèle.

Cas n°3 : Active DB ❌ | Default DB ❌

Signification

Votre PC utilise encore exclusivement les anciens certificats 2011 pour le démarrage sécurisé. Les nouveaux certificats 2023 n’ont pas encore été installés sur votre système, ni par Windows Update, ni par une mise à jour du firmware.

Action à entreprendre

Vous devez prendre des mesures pour installer les nouveaux certificats avant l’expiration des anciens en juin et octobre 2026. Consultez la section suivante « Que faire si les certificats 2023 ne sont pas présents ? » pour savoir comment procéder.

Cas n°4 : Active DB ❌ | Default DB ✅

Signification

Votre firmware UEFI contient déjà les nouveaux certificats 2023, mais votre système d’exploitation ne les utilise pas encore pour le démarrage. C’est une situation inhabituelle qui peut se produire si le firmware a été mis à jour mais que Windows n’a pas encore basculé vers les nouveaux certificats.

Action à entreprendre

Dans ce cas, Windows Update devrait normalement installer une mise à jour qui copiera les nouveaux certificats de la base par défaut vers la base Active. Assurez-vous que toutes les mises à jour Windows sont installées.

Que faire si les certificats 2023 ne sont pas présents ?

Si vos vérifications montrent que votre PC n’a pas encore les nouveaux certificats 2023 (cas n°3), ne paniquez pas ! Voici les étapes à suivre pour résoudre la situation et préparer votre ordinateur pour l’expiration des certificats 2011.

Vérifiez que le Secure Boot est bien activé

Pour commencer, assurez-vous que le Secure Boot est bien activé sur votre ordinateur :

1. Sur votre PC Windows, appuyez sur les touches Win + R .

2. Tapez msinfo32 et appuyez sur Entrée.

3. Dans la fenêtre Informations système, recherchez la ligne « État du démarrage sécurisé » et vérifiez qu’elle indique « Activé ».

   

Si Secure Boot n’est pas activé, vous devrez l’activer dans les paramètres UEFI de votre PC :

Installer toutes les mises à jour Windows disponibles

La deuxième chose à faire est de vous assurer que votre PC a bien reçu toutes les mises à jour Windows disponibles. Les nouveaux certificats Secure Boot sont distribués via Windows Update, il est donc essentiel que votre système soit à jour.

Pour cela, ouvrez l’application Paramètres → Windows Update → Rechercher des mises à jour.

Si des mises à jour sont disponibles, installez-les toutes, y compris les mises à jour optionnelles et les mises à jour de pilotes.

Vérifier l’état du déploiement

Si les certificats ne sont toujours pas présents après avoir installé toutes les mises à jour, vous pouvez consulter le Registre Windows pour comprendre où en est le processus de déploiement. Windows y stocke des informations sur l’état d’avancement de l’installation des certificats.

1. Ouvrez PowerShell en tant qu’administrateur (clic droit sur le menu Démarrer → Terminal (administrateur)).

2. Tapez cette commande puis faites Entrée pour afficher l’état du déploiement :

   PowerShell

   Get-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" -ErrorAction SilentlyContinue

   Get-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" -ErrorAction SilentlyContinue

3. La valeur WindowsUEFICA2023Capable indique si le certificat « Windows UEFI CA 2023 » est présent sur votre PC :

   • 0 ou clé absente : le certificat n’est pas installé.
   • 1 : le certificat est présent dans la base de données du Secure Boot.
   • 2 : le certificat est présent dans la base de données du Secure Boot ET votre système démarre avec le gestionnaire de démarrage (Windows Boot Manager) signé 2023. ✅

4. La valeur UEFICA2023Status indique l’état du déploiement :

   • NotStarted : la mise à jour n’a pas encore démarré. Le déploiement est prévu mais pas encore lancé.
   • InProgress : l’installation est en cours. Patientez, puis redémarrez votre PC.
   • Updated : Les certificats 2023 ont bien été installés sur votre PC ! ✅

5. La valeur UEFICA2023Error indique si une erreur s’est produite :

   • 0 : aucune erreur, tout va bien.
   • Valeur différente de 0 : une erreur s’est produite. Notez le code et consultez l’Observateur d’événements Windows (Journaux Windows → Système) pour plus de détails.

Vérifier votre version de Windows

Microsoft déploie les nouveaux certificats Secure Boot 2023 uniquement sur les versions de Windows prises en charge. Vous devez vous assurer que votre PC fonctionne sur une version compatible.

Pour Windows 11, assurez-vous d’être sur la version 25H2 ou la version 24H2. Pour vérifier votre version de Windows, ouvrez l’application Paramètres -> Système → Informations système, puis regardez la ligne Version dans la section « Spécifications de Windows ».

Si vous êtes sur une version antérieure à la version 24H2, vous devez mettre à jour Windows vers la dernière version disponible. À l’heure actuelle, il s’agit de Windows 11 version 25H2.

Pour Windows 10, le support standard de Windows 10 s’est terminé le 14 octobre 2025. Pour continuer à recevoir des mises à jour de sécurité (dont les nouveaux certificats Secure Boot), vous devez vous inscrire au programme Extended Security Updates (ESU) de Windows 10. Sans ce programme, vous ne recevrez pas les certificats 2023.

Vérifier si une mise à jour du firmware UEFI est disponible

Pour certains ordinateurs, en particulier les modèles plus anciens, une mise à jour du firmware UEFI fournie par le fabricant peut être nécessaire avant que les nouveaux certificats puissent être installés. Les principaux fabricants d’ordinateurs ont publié des pages de support dédiées avec des listes de modèles compatibles et des instructions de mise à jour.

Voici où trouver les informations pour votre fabricant :

• Dell : Microsoft 2011 Secure Boot Certificate Expiration (dell.com)
• HP : Secure Boot Certificate Updates (support.hp.com)
• Lenovo : Secure Boot Certificate Expiration (support.lenovo.com)
• Microsoft Surface : Surface Secure Boot Certificates (support.microsoft.com)
• Asus : Secure Boot FAQ (asus.com)

Pour savoir si vous êtes concerné, visitez la page de support de votre fabricant, recherchez le modèle de votre ordinateur et vérifiez si une mise à jour du firmware UEFI est disponible pour votre modèle. Si une mise à jour est disponible, téléchargez-la et installez-la en suivant scrupuleusement les instructions fournies par le fabricant.

Si vous avez besoin d’aide, ce tutoriel vous explique simplement comment mettre à jour le firmware UEFI de n’importe quel ordinateur :

Conclusion

Avec ce tutoriel, vous disposez maintenant de toutes les informations nécessaires pour vérifier par vous-même si votre PC est prêt pour l’expiration des certificats Secure Boot en 2026 !

Pour la majorité des utilisateurs, aucune action n’est nécessaire : si votre PC reçoit les mises à jour automatiques de Windows, les nouveaux certificats s’installeront automatiquement.

Si les certificats 2023 ne sont pas présents, commencez par installer toutes les mises à jour Windows disponibles, vérifiez votre version de Windows, puis consultez le site de support de votre fabricant pour voir si une mise à jour du firmware est nécessaire. Ne désactivez jamais Secure Boot pour contourner le problème : cela réduirait considérablement la sécurité de votre ordinateur et vous exposerait à des risques de malwares au niveau du démarrage.

N’hésitez pas à effectuer ces vérifications régulièrement, surtout si vous avez un ordinateur plus ancien, pour vous assurer que les certificats s’installent correctement au fil des mises à jour !