Microsoft confirme que les mises à jour des certificats Secure Boot sont bloquées sur certains PC Windows 11
Microsoft a reconnu que les mises à jour des certificats Secure Boot échouent ou sont bloquées sur certains PC Windows 11 en raison de problèmes connus. L’entreprise collabore avec les fabricants de PC pour développer un correctif, mais les utilisateurs pourraient encore devoir agir si les certificats sont bloqués pour d'autres raisons.
Détails sur les problèmes connus
Dans un document de support mis à jour, mis en avant pour la première fois par Windows Latest, Microsoft a révélé qu’il avait suspendu le déploiement des mises à jour de Secure Boot sur certains PC en raison de problèmes potentiels. Les appareils concernés affichent désormais un message d'erreur détaillé dans l’application Sécurité Windows :

Auparavant, les utilisateurs étaient invités à contacter les fabricants de leurs appareils si leurs certificats Secure Boot étaient obsolètes. L’application Sécurité Windows fournit désormais également des avertissements sur de nouveaux problèmes identifiés par Microsoft qui pourraient interférer avec les mises à jour de Secure Boot.
« Les appareils de ce groupe sont concernés par un problème connu. Pour réduire les risques, les mises à jour des certificats Secure Boot sont temporairement suspendues pendant que Microsoft et ses partenaires travaillent à une solution prise en charge », a déclaré l’entreprise.
Les certificats Secure Boot émis en 2011 ou avant ont expiré, et Microsoft a travaillé pour les remplacer par de nouveaux certificats émis en 2023. Bien que les PC éligibles devraient recevoir automatiquement les certificats mis à jour via Windows Update, ce processus n’est pas universel. Certains appareils, même ceux dotés de matériel pris en charge, peuvent rencontrer des retards dus à des problèmes de configuration ou de compatibilité.
Défis avec les anciens matériels
Ed, un journaliste expérimenté de Windows Latest, a noté que les anciens PC Windows souffrent souvent de problèmes de firmware qui les rendent inadaptés à ces mises à jour. Microsoft a expliqué que le matériel moderne utilise déjà les certificats Secure Boot 2023. Cependant, pour les appareils avec Secure Boot désactivé ou ceux ayant un firmware défectueux, les mises à jour pourraient poser problème.
Pour vérifier le statut de votre Secure Boot, accédez à Sécurité Windows > Sécurité de l’appareil > Secure Boot. Si le statut indique que le Secure Boot est activé et que les certificats sont appliqués, aucune action supplémentaire n’est nécessaire. Cependant, si cela indique simplement "Secure Boot est activé" sans confirmer le statut du certificat, une enquête plus approfondie pourrait être requise.

Problèmes spécifiques aux OEM
HP a récemment confirmé que les mises à jour de Secure Boot sont involontairement bloquées sur certains de ses PC. Dans un document de support, HP a indiqué qu’il avait commencé à déployer un BIOS mis à jour pour se préparer à l’échéance de Secure Boot en juin. Malheureusement, certains PC ont rencontré des problèmes, comme rester bloqués sur un écran BitLocker, ce qui a entraîné l’échec des installations de certificats Secure Boot.
HP a noté que « les certificats 2023 de Microsoft peuvent ne pas s’appliquer correctement sur l’ordinateur lorsque ce problème BitLocker se produit. »

Microsoft a depuis travaillé avec les OEM pour identifier les appareils ou configurations de firmware où les mises à jour des certificats Secure Boot pourraient entraîner des complications. Les appareils concernés nécessitent une mise à jour du firmware, mais comme celle-ci n’est pas encore disponible, Microsoft a temporairement bloqué les mises à jour de Secure Boot pour réduire les risques.
Pourquoi certains PC ne reçoivent pas les certificats Secure Boot 2023
Selon Microsoft, la plupart des PC ont déjà reçu les certificats Secure Boot via Windows Update. Cependant, dans certains cas, des problèmes de compatibilité potentiels empêchent Windows Update de livrer la mise à jour Secure Boot 2023.
Pour les anciens appareils, Windows peut indiquer que le Secure Boot est activé mais également avertir que l’appareil ne recevra pas la mise à jour du certificat en raison de limitations matérielles ou de firmware. Les OEM ont souvent tendance à déprioriser les mises à jour du firmware pour les modèles anciens ou moins populaires, laissant certains appareils non pris en charge.

Microsoft conseille aux utilisateurs de consulter la page de support Secure Boot de leur OEM pour obtenir des détails sur les mises à jour du firmware. De nombreux OEM, y compris HP, ont discrètement mis à jour leur documentation pour reconnaître les problèmes de Secure Boot et l’absence de mises à jour de firmware nécessaires pour les anciens modèles.
L’importance des certificats Secure Boot 2023
Le Secure Boot est une fonctionnalité de sécurité intégrée au firmware UEFI d’un ordinateur. Elle garantit que seul un logiciel vérifié fonctionne pendant le processus de démarrage, bloquant les programmes non autorisés ou malveillants. Les certificats Secure Boot 2023 sont essentiels pour traiter les mises à jour de la base de données DBX (Forbidden Signature Database) de Secure Boot, qui identifie les chargeurs de démarrage compromis ou vulnérables.

Microsoft insiste sur le fait que les utilisateurs ne doivent pas désactiver Secure Boot, même s’ils ne reçoivent pas les mises à jour, car cela compromettrait la sécurité du système. Un certificat Secure Boot expiré ne rend pas immédiatement un PC inutilisable, et l’impact pour la plupart des utilisateurs est négligeable. Cependant, des certificats mis à jour sont essentiels pour assurer une sécurité et une compatibilité à long terme.
Conclusion
Secure Boot reste un élément crucial de l’architecture de sécurité de Windows 11. Alors que Microsoft continue de résoudre les problèmes de compatibilité avec les OEM, les utilisateurs concernés peuvent surveiller le statut de leur appareil via l’application Sécurité Windows et consulter les canaux de support de leur OEM pour obtenir une assistance supplémentaire. Les certificats mis à jour sont nécessaires pour maintenir un environnement de démarrage sécurisé, mais l’absence de mises à jour immédiates n’est pas une situation catastrophique pour la plupart des utilisateurs.
