Expiration du certificat Secure Boot : Ce que vous devez savoir

Microsoft a déployé la mise à jour du certificat Secure Boot 2023 sur tous les PC Windows 11 et Windows 10 éligibles, quelques heures avant la date limite initiale d'expiration le 24 juin 2026. Selon une déclaration de Microsoft, “Avec cette mise à jour, les mises à jour de qualité Windows incluent des données de ciblage des appareils à haute fiabilité supplémentaires, augmentant ainsi la couverture des appareils éligibles à recevoir automatiquement les nouveaux certificats Secure Boot. Les appareils reçoivent les nouveaux certificats uniquement après avoir démontré des signaux de mise à jour réussis suffisants, garantissant un déploiement contrôlé et progressif.”

Si votre PC a reçu la mise à jour de juin 2026 Patch Tuesday, il est probable que les certificats Secure Boot 2023 aient déjà été installés sur votre appareil. Voici tout ce que vous devez savoir pour vérifier le statut de vos certificats et résoudre d'éventuels problèmes.

Qu'est-ce que la mise à jour du certificat Secure Boot ?

Secure Boot est une fonctionnalité de sécurité au niveau du firmware qui vérifie la signature numérique de chaque composant de démarrage pour bloquer les rootkits et bootkits d'infiltrer la chaîne de démarrage. Les certificats soutenant ce système ont été émis en 2011, avec les dates d'expiration suivantes :

• Microsoft Corporation KEK CA 2011 : 24 juin 2026
• Microsoft UEFI CA 2011 : 27 juin 2026
• Microsoft Windows Production PCA 2011 : 19 octobre 2026

Pour garantir le fonctionnement continu de Secure Boot au-delà de ces dates, Microsoft déploie des certificats de remplacement 2023 via Windows Update depuis 2024. La mise à jour de juin 2026 a considérablement élargi le pool d'appareils éligibles, plaçant la plupart des PC pris en charge dans la catégorie “haute fiabilité”, où les mises à jour sont appliquées automatiquement et en toute sécurité.

Comment vérifier si votre PC dispose des certificats Secure Boot 2023

Le moyen le plus rapide de vérifier le statut de vos certificats Secure Boot est via l'application Sécurité Windows, une fonctionnalité ajoutée dans la mise à jour Windows 11 d'avril 2026. Suivez ces étapes :

1. Ouvrez l'application Sécurité Windows.
2. Cliquez sur Sécurité de l'appareil dans le menu de gauche.
3. Faites défiler jusqu'à la section Secure Boot pour voir votre statut.

Vous verrez l'un des indicateurs de statut suivants :

• Checkmark vert : Indique que toutes les mises à jour de certificat requises ont été appliquées et qu'aucune action n'est nécessaire.
• Avertissement jaune : Indique que la mise à jour est en attente. Des données de compatibilité ou une mise à jour du BIOS de votre fabricant de PC peuvent être nécessaires avant que les certificats puissent être installés.
• Alerte rouge : Indique un problème spécifique bloquant la mise à jour, généralement dû à une incompatibilité du firmware. Consultez la page d'assistance de votre fabricant de PC pour une mise à jour du BIOS.

Si la section Secure Boot est absente, cela signifie probablement que Secure Boot est désactivé ou que votre PC a été installé en utilisant un contournement de registre sur un matériel non pris en charge. Pour des étapes détaillées sur les PC plus anciens et non pris en charge, consultez notre guide de vérification Secure Boot.

Que faire si votre PC n'a pas reçu la mise à jour Secure Boot ?

Ne pas recevoir la mise à jour du certificat Secure Boot 2023 ne signifie pas que votre PC cessera de fonctionner. Microsoft a confirmé que les appareils sans les certificats mis à jour continueront de démarrer normalement et de recevoir des mises à jour Windows régulières. Cependant, ces appareils ne recevront plus de mises à jour de sécurité au niveau du démarrage, ce qui pourrait les exposer à des vulnérabilités telles que le bootkit BlackLotus avec le temps.

Pour le matériel moderne, la mise à jour est appliquée automatiquement. Si votre PC affiche un avertissement jaune, attendez le prochain cycle de mise à jour Windows. Microsoft continue d'élargir la couverture des appareils avec chaque mise à jour mensuelle. Pour le matériel plus ancien dont les fabricants ont cessé le support, il peut ne pas être possible d'obtenir les certificats 2023. Dans ce cas, vérifier une mise à jour du BIOS est la première étape avant de considérer des interventions manuelles.

Votre PC peut redémarrer deux fois après les mises à jour

Il est normal que les PC redémarrent deux ou trois fois pendant le processus de mise à jour des certificats Secure Boot. Microsoft a confirmé que ce comportement est attendu en raison du processus en plusieurs étapes impliquant :

1. L'écriture de nouveaux certificats dans le firmware.
2. L'application du gestionnaire de démarrage mis à jour.
3. Le démarrage de Windows avec la chaîne Secure Boot mise à jour.

De plus, un nouveau dossier à l'emplacement C:\Windows\SecureBoot peut apparaître. Ce n'est pas un malware ; il est utilisé par Windows pour préparer les fichiers de certificat cryptographiques avant de les écrire dans le firmware. Ne supprimez pas ce dossier.

Les utilisateurs de Windows 10 reçoivent également des mises à jour Secure Boot

Bien que Windows 10 ait atteint le statut de fin de vie, des mises à jour Secure Boot ont été mises à disposition pour les utilisateurs inscrits au programme Mises à jour de sécurité étendues (ESU). Depuis la mise à jour de mai 2026 (KB5087544), les utilisateurs de Windows 10 ont commencé à recevoir des rapports sur le statut de Secure Boot. Cependant, les utilisateurs non inscrits au programme ESU ne recevront pas ces mises à jour via Windows Update.

Passer à l'ESU nécessite de passer d'un compte local à un compte Microsoft. Pour les utilisateurs de Windows 11, la mise à jour de juin 2026 représente le plus grand déploiement de certificats Secure Boot à ce jour.

Pour les administrateurs IT : détails clés sur la date limite du 24 juin

À partir du 24 juin 2026, Microsoft Corporation KEK CA 2011 ne pourra plus signer de nouvelles charges utiles de révocation Secure Boot (mises à jour DBX) avec l'ancienne clé. Cependant, les charges utiles signées existantes et les méthodes de déploiement manuel continueront de fonctionner. La clé DB reste valide jusqu'au 19 octobre 2026, permettant à Microsoft de signer de nouveaux gestionnaires de démarrage jusqu'à cette date.

Microsoft a organisé des sessions AMA avec des ingénieurs pour répondre aux préoccupations des administrateurs IT, notamment les catégories de confiance des appareils, la surveillance via Intune, les scénarios de démarrage PXE et les nuances des machines virtuelles. Pour la gestion des flottes d'entreprise, aka.ms/GetSecureBoot reste la ressource principale.

Les appareils dans la catégorie pause nécessitent une mise à jour du BIOS de l'OEM avant d'appliquer la mise à jour Secure Boot. Forcer la mise à jour sans mise à jour du firmware n'est pas recommandé et peut entraîner des échecs de démarrage ou déclencher la récupération BitLocker.

Windows Latest dépend de lecteurs comme vous. Envisagez de faire de nous votre source préférée sur Google Discover et Google Search pour soutenir notre journalisme indépendant.