Windows 11 et l’expiration des certificats Secure Boot : ce qui attend les PC en retard

L’échéance approche : dans un mois, les premiers certificats historiques de Secure Boot vont expirer. Contrairement à certaines craintes, Microsoft assure que les PC sous Windows 11 ne deviendront pas subitement inutilisables. Cependant, les machines n’ayant pas été mises à jour verront leur sécurité au niveau du démarrage progressivement compromise.

Pas de blocage immédiat, mais une sécurité érodée

À partir de juin 2026, l’expiration des certificats Secure Boot initiaux pourrait susciter des inquiétudes. Microsoft a néanmoins clarifié la situation à plusieurs reprises : les systèmes Windows 11 qui n’auront pas bénéficié de la mise à jour vers les nouveaux certificats (datant de 2023) continueront de fonctionner normalement. Ils pourront toujours démarrer, recevoir les mises à jour standard de Windows, et être utilisés au quotidien.

Le véritable enjeu réside dans la sécurité du processus de démarrage (boot). Sans les certificats Secure Boot mis à jour, ces PC seront moins bien protégés. Le mécanisme de vérification des composants de démarrage ne pourra plus garantir leur intégrité de manière optimale, ouvrant potentiellement la porte à des menaces plus sophistiquées.

Les risques cachés : bootkits et futures mises à jour

Si le fonctionnement immédiat de Windows 11 n’est pas affecté, la dégradation de la sécurité du démarrage présente des risques à moyen et long terme. Les futures mises à jour critiques du Windows Boot Manager et des bases de données de signatures (comme la DBX – Forbidden Signature Database) pourraient ne plus être acceptées.

La DBX joue un rôle essentiel en révoquant les signatures de composants de démarrage jugés dangereux ou vulnérables. Un PC non mis à jour risque ainsi d’être incapable d’intégrer ces nouvelles listes de révocation. Conséquence directe : des éléments malveillants, connus pour être une menace pour la chaîne de démarrage, pourraient réussir à s’exécuter avant même le lancement de Windows, facilitant ainsi les attaques par bootkits.

De plus, Microsoft a signalé que les futures mises à niveau majeures de Windows pourraient exiger la conformité avec la nouvelle chaîne de certificats Secure Boot. Cette mesure vise à prévenir les échecs d’installation et les instabilités du système résultant d’incompatibilités entre l’environnement UEFI du PC et les nouveaux certificats.

Comment vérifier et mettre à jour votre système ?

Il est donc conseillé de vérifier le statut de vos certificats Secure Boot. Vous pouvez le faire via l’application Sécurité Windows, en naviguant vers la section Sécurité des appareils. Si une alerte est présente, suivez les instructions fournies et redémarrez votre ordinateur pour finaliser l’opération.

Il est important de noter que la mise à jour de Secure Boot ne dépend pas uniquement de Windows. Elle est intrinsèquement liée au firmware UEFI de votre carte mère. Par conséquent, assurez-vous que le fabricant de votre PC ou de votre carte mère propose des mises à jour du BIOS/UEFI compatibles avec les nouvelles autorités de signature.

En résumé, bien que l’expiration des certificats Secure Boot ne signifie pas une mort subite pour les PC retardataires, elle représente un affaiblissement notable de leur sécurité fondamentale. La vigilance et la mise à jour des certificats, ainsi que du firmware UEFI le cas échéant, sont donc recommandées pour maintenir une protection optimale.