Le temps presse pour les utilisateurs de Windows et de Linux : ils ont jusqu’au 24 juin 2026 pour mettre à jour les certificats secure boot qui protègent leurs systèmes contre les infections UEFI basées sur le micrologiciel, une forme pernicieuse de logiciel malveillant qui se charge avant même que le système d’exploitation et les protections contre les logiciels malveillants ne démarrent.
À compter du 24 juin, trois certificats permettant de vérifier cryptographiquement l’authenticité de chaque élément de micrologiciel et de logiciel chargé lors du démarrage du système arriveront à expiration. Ces certificats signés par Microsoft constituent les piliers de Secure Boot. Secure Boot vérifie les signatures numériques de tous les micrologiciels chargés lors du démarrage du système afin de s’assurer qu’ils proviennent d’un fournisseur de confiance, tel que le fabricant de la carte mère sur laquelle le système fonctionne.
Le Secure Boot est conçu pour contrecarrer les bootkits UEFI, une forme de logiciel malveillant qui altère l’Interface firmware extensible unifiée (UEFI), le successeur du BIOS, ces deux composants lançant la séquence de démarrage initiale. Comme ces bootkits se chargent avant le système d’exploitation et la plupart des autres codes, ils peuvent être difficiles à détecter. Une fois installés, ils chargent généralement sur le système d’exploitation des logiciels malveillants qui volent des identifiants, créent des portes dérobées dans le système ou effectuent d’autres actions malveillantes. Même lorsque le système d’exploitation est désinfecté, le bootkit peut réinfecter le système. Les bootkits survivent également aux réinstallations du système d’exploitation.
Secure Boot est une fonctionnalité de sécurité essentielle de Windows qui garantit que seuls les composants fiables et signés sont autorisés à s'exécuter pendant le processus de démarrage. Les certificats actuellement utilisés dans l'écosystème Windows ont été introduits en 2011 et arrivent désormais en fin de vie. Secure Boot est un mécanisme de sécurité intégré au firmware UEFI (Unified Extensible Firmware Interface) des ordinateurs modernes.
Avant même que Windows se charge, l'UEFI du PC vérifie que les programmes au démarrage qui se lancent sont bien ce qu'ils prétendent être ; c'est le rôle du Secure Boot. Pour fonctionner, il s'appuie sur des certificats cryptographiques (semblables à des pièces d'identité numériques) qui confirment que les composants de démarrage proviennent d'une source de confiance. Ce qui empêche des maliciels de s'exécuter très tôt dans la séquence de démarrage.
Comme tout certificat numérique, ceux utilisés par le Secure Boot ont une durée de validité de 15 ans. Les certificats en service depuis 2011 arrivent donc à expiration en 2026, avec des dates précises : Microsoft Corporation KEK CA 2011 le 24 juin, Microsoft Corporation UEFI CA 2011 et Microsoft Option ROM UEFI CA 2011 le 27 juin, et Microsoft Windows Production PCA 2011 le 19 octobre 2026. Microsoft a amorcé le remplacement de ces certificats.
Pour éviter que des millions de machines ne deviennent vulnérables ou incapables de démarrer, Microsoft déploie actuellement de nouveaux certificats datant de 2023. Cette transition est particulièrement délicate, car elle modifie directement le micrologiciel UEFI. Le démarrage sécurisé est une norme fondamentale qui vérifie les signatures cryptographiques des logiciels lors de l'allumage pour s'assurer que seul du code de confiance est exécuté.
Le déploiement de la mise à jour s'adapte intelligemment aux capacités du matériel. Les ordinateurs plus anciens qui fonctionnent encore avec un BIOS hérité ne sont physiquement pas capables de supporter le démarrage sécurisé, et le système ignorera donc totalement la tentative de mise à jour pour ces appareils.
Si un PC est compatible, mais que le démarrage sécurisé a été désactivé manuellement dans le BIOS, Microsoft bloquera intentionnellement l'installation de la mise à jour pour éviter de rendre le système inutilisable. La mise à jour vers les certificats 2023 exige au préalable que les utilisateurs corrigent eux-mêmes les erreurs de configuration de leur BIOS, puis plusieurs redémarrages afin de préparer, appliquer et charger les nouveaux gestionnaires.
Il n'est pas nécessaire de désactiver le chiffrement BitLocker durant cette procédure, car le système gère automatiquement la protection des clés à travers les différents redémarrages. Dans le cas des organisations, le déploiement automatisé n'est pas recommandé pour les grandes flottes informatiques d'entreprise.
Microsoft déconseille fortement aux administrateurs d'appliquer massivement cette mise à jour sans l'avoir préalablement testée sur des modèles matériels spécifiques. Les environnements professionnels utilisant le démarrage réseau (PXE) devront également planifier cette transition avec soin, car il est techniquement impossible de proposer simultanément les gestionnaires de démarrage de 2011 et de 2023 sur une même image de déploiement.
Les serveurs et les machines virtuelles, comme ceux sous Hyper-V ou Windows Server 2025, exigent une approche manuelle. Ces systèmes critiques ne bénéficient pas du déploiement automatisé grand public et nécessitent des interventions directes via des commandes spécifiques pour appliquer les certificats.
Il est possible de vérifier facilement si un ordinateur est à jour en consultant la section « Sécurité de l'appareil » dans l'application « Sécurité Windows », où un indicateur vert confirme la bonne application des certificats. Par ailleurs, Microsoft met en garde : si un utilisateur ignore cette mise à jour et dépasse la date butoir, son ordinateur continuera de démarrer et de fonctionner, mais « son niveau de sécurité subira une dégradation permanente ».
Sans le certificat de 2023, Microsoft cessera d'envoyer des mises à jour de sécurité pour le processus de démarrage, ainsi que les listes noires permettant de bloquer les nouveaux maliciels. À plus long terme, l'absence de ces certificats entraînera le blocage intentionnel des futures mises à jour majeures du système d'exploitation Windows, une mesure préventive pour éviter que la machine ne se retrouve dans un état empêchant tout redémarrage.
Ces nouveaux certificats de 2023 offrent une tranquillité d'esprit sur le long terme, puisque leur date d'expiration est fixée à l'année 2038. (Leur durée de vie correspond à 15 ans comme les certificats de 2011.) Bien que l'industrie informatique anticipe déjà une transition vers la cryptographie post-quantique à l'horizon 2030 pour les matériels futurs, les appareils actuels resteront protégés par les clés de 2023 jusqu'à la fin de leur cycle de vie utile.
Sous Linux, la mise à jour de l’UEFI se fait en utilisant le service LVFS (Linux Vendor Firmware Service) et l'outil en ligne de commande fwupd
fwupd est le gestionnaire de mise à jour de micrologiciel standard préinstallé sur la plupart des distributions Linux modernes (comme Ubuntu, Fedora et Arch). Si le micrologiciel du système n'est pas pris en charge par LVFS, la méthode la plus sûre consiste à une utilisation directe de l'outil de mise à jour intégré au BIOS.
L’UEFI constitue historiquement un point d’achoppement entre les univers Linux et Windows. Certains utilisateurs de Linux continuent de rencontrer des difficultés avec le dual boot sur les systèmes UEFI. Les utilisateurs signalent régulièrement des problèmes tels que les mises à jour Windows qui écrasent le chargeur d'amorçage, des complications liées à BitLocker et certains obstacles en lien avec Secure Boot.
merci à Developpez.com
