Windows 11 et Secure Boot...
Posté : jeu. 12 févr. 2026 07:04
Windows 11 et Secure Boot, des certificats arrivent à expiration, voici ce que vous devez faire
Le démarrage sécurisé, ou UEFI Secure Boot, fait partie des fondations de la sécurité des PC d’aujourd’hui. Introduit à l’époque de Windows 8, ce mécanisme vérifie les composants de démarrage pour empêcher le chargement de logiciels non fiables dès l’allumage du PC. Optionnel sous Windows 8 et Windows 10, il est devenu une exigence officielle avec Windows 11.
Mais un changement important se profile à l’horizon. Les certificats Secure Boot historiques, utilisés depuis 2011, arrivent à expiration cette année. Microsoft anticipe déjà la transition vers de nouveaux certificats, déployés progressivement.
Pourquoi les certificats Secure Boot expirent en 2026 ?
Les certificats utilisés par Secure Boot servent à valider l’intégrité des chargeurs d’amorçage. Ceux mis en place lors du développement de Windows 8 arrivent à expiration entre juin et octobre 2026.
Ce renouvellement est classique dans le secteur de la sécurité informatique. Les certificats ont une durée de vie limitée par conception. La transition se fait normalement de manière transparente pour l’utilisateur. Microsoft et les fabricants de PC travaillent sur cette évolution depuis longtemps. De nombreux appareils récents utilisent déjà les certificats plus récents.
Quels risques pour les PC non mis à jour ?
Un PC qui ne reçoit pas les nouveaux certificats ne cessera pas de fonctionner. En clair les configurations déjà en fonctionnement continueront de démarrer et de tourner normalement. En revanche, ces machine passeront dans un état de sécurité dit “dégradé”.
Concrètement, elle ne pourra plus bénéficier de futures protections liées au démarrage sécurisé. Si de nouvelles failles sont découvertes au niveau du boot, ces PC ne pourront pas recevoir les correctifs correspondants.
À terme, cela peut aussi créer des problèmes de compatibilité car certains OS, firmwares ou matériels s’appuyant sur de nouveaux certificats pourraient ne plus se charger correctement.
Comment Microsoft déploie les nouveaux certificats ?
Si tout se déroule comme prévu, la mise à jour passera par Windows Update. Cela veut dire que tous les PCs à jour, fonctionnant sous une version de Windows prise en charge et avec le Secure Boot d’activé, devraient recevoir automatiquement ces nouveaux certificats.
Microsoft indique que la plupart des PC depuis 2024, et presque tous ceux commercialisés en 2025, intègrent déjà les nouveaux certificats.
Comment vérifier si votre PC utilise de nouveaux certificats ?
Le moyen le plus simple de savoir si votre PC possède les nouveaux certificats est d’exécuter une commande PowerShell qui va vérifier le certificat stocké dans la « base de données active », celle actuellement utilisée pour démarrer votre PC.
La commande en question est la suivante
la commande en question est la suivante
Les points à vérifier pour éviter les problèmes
Pour garantir la transition, il est recommandé d’utiliser une version de Windows encore prise en charge. Cela implique Windows 11 24H2 ou 25H2, ou Windows 10 via le programme ESU.
Le démarrage sécurisé doit être activé dans le BIOS. L’outil msinfo32 de Windows permet de vérifier son état. Il est aussi conseillé de rechercher d’éventuelles mises à jour de firmware proposées par le fabricant du PC.
Sur certains anciens modèles, réinitialiser les clés Secure Boot dans le BIOS peut libérer de l’espace en NVRAM (permettant la mise à jour). Attention aux systèmes protégés par BitLocker : la clé de récupération sera nécessaire.
merci à Ginjfo
Le démarrage sécurisé, ou UEFI Secure Boot, fait partie des fondations de la sécurité des PC d’aujourd’hui. Introduit à l’époque de Windows 8, ce mécanisme vérifie les composants de démarrage pour empêcher le chargement de logiciels non fiables dès l’allumage du PC. Optionnel sous Windows 8 et Windows 10, il est devenu une exigence officielle avec Windows 11.
Mais un changement important se profile à l’horizon. Les certificats Secure Boot historiques, utilisés depuis 2011, arrivent à expiration cette année. Microsoft anticipe déjà la transition vers de nouveaux certificats, déployés progressivement.
Pourquoi les certificats Secure Boot expirent en 2026 ?
Les certificats utilisés par Secure Boot servent à valider l’intégrité des chargeurs d’amorçage. Ceux mis en place lors du développement de Windows 8 arrivent à expiration entre juin et octobre 2026.
Ce renouvellement est classique dans le secteur de la sécurité informatique. Les certificats ont une durée de vie limitée par conception. La transition se fait normalement de manière transparente pour l’utilisateur. Microsoft et les fabricants de PC travaillent sur cette évolution depuis longtemps. De nombreux appareils récents utilisent déjà les certificats plus récents.
Quels risques pour les PC non mis à jour ?
Un PC qui ne reçoit pas les nouveaux certificats ne cessera pas de fonctionner. En clair les configurations déjà en fonctionnement continueront de démarrer et de tourner normalement. En revanche, ces machine passeront dans un état de sécurité dit “dégradé”.
Concrètement, elle ne pourra plus bénéficier de futures protections liées au démarrage sécurisé. Si de nouvelles failles sont découvertes au niveau du boot, ces PC ne pourront pas recevoir les correctifs correspondants.
À terme, cela peut aussi créer des problèmes de compatibilité car certains OS, firmwares ou matériels s’appuyant sur de nouveaux certificats pourraient ne plus se charger correctement.
Comment Microsoft déploie les nouveaux certificats ?
Si tout se déroule comme prévu, la mise à jour passera par Windows Update. Cela veut dire que tous les PCs à jour, fonctionnant sous une version de Windows prise en charge et avec le Secure Boot d’activé, devraient recevoir automatiquement ces nouveaux certificats.
Microsoft indique que la plupart des PC depuis 2024, et presque tous ceux commercialisés en 2025, intègrent déjà les nouveaux certificats.
Comment vérifier si votre PC utilise de nouveaux certificats ?
Le moyen le plus simple de savoir si votre PC possède les nouveaux certificats est d’exécuter une commande PowerShell qui va vérifier le certificat stocké dans la « base de données active », celle actuellement utilisée pour démarrer votre PC.
La commande en question est la suivante
Une autre commande permet de vérifier la base par défaut intégrée au firmware UEFI. Si elle contient les nouveaux certificats, même une réinitialisation des clés Secure Boot dans le BIOS ne posera pas de problème.([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023')
la commande en question est la suivante
Sur les PC récents, un BIOS à jour inclut généralement ces certificats. Sur des machines plus anciennes, une mise à jour du firmware peut être nécessaire.([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbdefault).bytes) -match 'Windows UEFI CA 2023')
Les points à vérifier pour éviter les problèmes
Pour garantir la transition, il est recommandé d’utiliser une version de Windows encore prise en charge. Cela implique Windows 11 24H2 ou 25H2, ou Windows 10 via le programme ESU.
Le démarrage sécurisé doit être activé dans le BIOS. L’outil msinfo32 de Windows permet de vérifier son état. Il est aussi conseillé de rechercher d’éventuelles mises à jour de firmware proposées par le fabricant du PC.
Sur certains anciens modèles, réinitialiser les clés Secure Boot dans le BIOS peut libérer de l’espace en NVRAM (permettant la mise à jour). Attention aux systèmes protégés par BitLocker : la clé de récupération sera nécessaire.
merci à Ginjfo