IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Microsoft commencera à renouveler les certificats Secure Boot en mars pour les utilisateurs de Windows 11 et Windows 10 ESU, car les certificats Secure Boot d'origine arriveront à expiration en juin 2026

Le , par Alex
10 commentaires

729PARTAGES

5  0 
Microsoft commencera à renouveler les certificats Secure Boot en mars pour les utilisateurs de Windows 11 et Windows 10 ESU, car les certificats Secure Boot d'origine arriveront à expiration en juin 2026

Les utilisateurs de Windows sont invités à vérifier Windows Update, car il y a de fortes chances que vous ayez de nouveaux certificats Secure Boot à installer. Microsoft vient d'annoncer qu'il allait renouveler ces certificats, qui avaient été introduits à l'origine lors du lancement de Secure Boot en 2011, par mesure de sécurité. Sans les nouveaux certificats Secure Boot, Microsoft affirme que votre système continuera de fonctionner normalement, mais qu'il entrera dans « un état de sécurité dégradé qui limitera sa capacité à recevoir de futures protections au niveau du démarrage ».

En mai 2024, Microsoft avait fait une annonce qui a choqué le monde. L'entreprise avait annoncé que le support de Windows 10 prendrait fin le 14 octobre 2025. Une décision qui marquait la fin d’une ère pour le système d’exploitation lancé en 2015. La raison ? « Microsoft encourage les utilisateurs à passer à Windows 11, son dernier système d’exploitation, qui offre une expérience améliorée et une sécurité renforcée. La fin du support de Windows 10 est une étape naturelle dans le cycle de vie des produits technologiques, permettant à l’entreprise de se concentrer sur l’innovation et de nouvelles offres. » La fin du support de Windows 10 est un rappel que la technologie évolue rapidement et que la maintenance des systèmes est essentielle pour la sécurité et la performance.

Récemment, les utilisateurs de Windows sont invités à vérifier Windows Update, car il y a de fortes chances que vous ayez de nouveaux certificats Secure Boot à installer. Microsoft vient d'annoncer qu'il allait renouveler ces certificats, qui avaient été introduits à l'origine lors du lancement de Secure Boot en 2011, par mesure de sécurité. Secure Boot était un moyen pour Microsoft de protéger les systèmes contre l'exécution de codes non signés et potentiellement malveillants avant le lancement de Windows. Il est ensuite devenu une exigence d'installation pour Windows 11, ainsi que pour les logiciels anti -triche utilisés dans Valorant, Call of Duty: Black Ops 6/7 et Battlefield 6.

Sans les nouveaux certificats Secure Boot, Microsoft affirme que votre système continuera de fonctionner normalement, mais qu'il entrera dans « un état de sécurité dégradé qui limitera sa capacité à recevoir de futures protections au niveau du démarrage ». En gros, vous ne serez pas protégé contre les logiciels malveillants et les virus qui ciblent les vulnérabilités des anciennes versions de Windows. Comme prévu, Microsoft précise également que les versions non prises en charge de Windows ne recevront pas les nouveaux certificats Secure Boot. Ils ne seront disponibles que sur les systèmes Windows 11, ainsi que sur les PC Windows 10 abonnés aux mises à jour de sécurité étendues de Microsoft.


Microsoft indique que de nombreux utilisateurs pourront obtenir les certificats Secure Boot mis à jour en se rendant sur Windows Update, mais que certains devront peut-être effectuer des mises à jour supplémentaires du micrologiciel auprès du fabricant de leur système (ou de leur carte mère). Vous pourrez également suivre l'état de vos certificats de sécurité dans l'application Windows Security dans les « mois à venir ».

« À mesure que la sécurité cryptographique évolue, les certificats et les clés doivent être renouvelés périodiquement afin de maintenir une protection efficace », a déclaré Nuno Costa, directeur partenaire de Windows Servicing and Delivery. « Le retrait des anciens certificats et l'introduction de nouveaux certificats est une pratique courante dans le secteur qui permet d'éviter que les identifiants obsolètes ne deviennent un point faible et de maintenir les plateformes en phase avec les attentes modernes en matière de sécurité. »

Costa indique que Microsoft travaille avec des fabricants OEM tels que Dell et HP afin d'assurer une transition en douceur vers les nouveaux certificats Secure Boot. De nombreux nouveaux systèmes construits en 2024 disposent déjà des certificats mis à jour, tandis que « presque tous » les appareils commercialisés l'année dernière en sont également équipés. Microsoft informe également ses clients informatiques de cette transition depuis l'année dernière.

Ces efforts de Microsoft montre l'équilibre que Microsoft cherche à trouver entre la sécurité et la promotion de l'innovation. Cela rappelle que Microsoft avait déployé différentes options pour les utilisateurs aux États-Unis et en Europe afin de prolonger gratuitement les mises à jour de sécurité pour Windows 10 jusqu'en octobre 2026. Si cette année gratuite permet de gagner du temps, elle souligne néanmoins le passage inévitable vers de nouvelles plateformes, avec des implications à long terme pour la sécurité numérique et l'autonomie des utilisateurs.

Voici l'annonce de Microsoft :

Actualisation de la racine de confiance : collaboration industrielle sur les mises à jour des certificats Secure Boot

Secure Boot est une fonctionnalité de sécurité fondamentale de Windows et Windows Server, qui assure une protection dès la mise sous tension d'un appareil. Introduit en 2011, Secure Boot s'exécute au démarrage, avant le chargement de Windows, et permet de garantir que seuls les logiciels fiables et signés numériquement peuvent s'exécuter. En bloquant les codes non fiables dès les premières étapes du processus de démarrage, Secure Boot aide à se défendre contre les menaces sophistiquées qui peuvent être difficiles à détecter par la suite.

Cette confiance est renforcée par des certificats stockés dans le micrologiciel d'un PC. Après plus de 15 ans de service continu, les certificats Secure Boot d'origine arrivent à la fin de leur cycle de vie prévu et commenceront à expirer fin juin 2026.

À mesure que la sécurité cryptographique évolue, les certificats et les clés doivent être renouvelés périodiquement afin de maintenir une protection solide. Le retrait des anciens certificats et l'introduction de nouveaux certificats est une pratique courante dans le secteur qui permet d'éviter que les identifiants obsolètes ne deviennent un point faible et de maintenir les plateformes conformes aux exigences de sécurité modernes.

Nous avons commencé à déployer de nouveaux certificats dans le cadre des mises à jour mensuelles régulières de Windows pour les appareils Windows pris en charge destinés aux particuliers, aux entreprises et aux établissements scolaires bénéficiant de mises à jour gérées par Microsoft. Les organisations ont également la possibilité de gérer elles-mêmes le processus de mise à jour à l'aide de leurs outils de gestion préférés.

Préparation de Microsoft et de l'écosystème des appareils

Le renouvellement des nouveaux certificats représente l'un des plus grands efforts coordonnés de maintenance de la sécurité dans l'écosystème Windows, couvrant la maintenance Windows, les mises à jour du micrologiciel et des millions de configurations d'appareils uniques fournies par les fabricants de matériel ou les fabricants d'équipements d'origine (OEM) dans le monde entier. Comme Secure Boot fonctionne au niveau du micrologiciel et affecte le démarrage d'un PC, ces changements ont nécessité une préparation minutieuse afin de minimiser les perturbations tout en maintenant la sécurité et la fiabilité des appareils à grande échelle.

Ce travail a nécessité une étroite collaboration avec les fabricants d'appareils et les fournisseurs de micrologiciels responsables de l'interface UEFI (Unified Extensible Firmware Interface) dans le cadre d'une approche basée sur des normes. Cet effort a également consisté à ajouter des capacités et des outils de maintenance pour permettre un déploiement progressif et contrôlé, ainsi que des améliorations du micrologiciel afin de garantir que les mises à jour des certificats puissent être appliquées en toute sécurité.

Nos partenaires de l'écosystème jouent un rôle essentiel dans la transition vers les nouveaux certificats Secure Boot. Les OEM ont fourni des certificats mis à jour sur les nouveaux appareils et de nombreux PC plus récents construits depuis 2024, et presque tous les appareils expédiés en 2025 incluent déjà les certificats et ne nécessitent aucune action de la part des clients. Les partenaires OEM ont également travaillé en étroite collaboration avec nos équipes d'ingénieurs pour s'assurer que les appareils commercialisés puissent appliquer les mises à jour de manière transparente et ont fourni leurs propres conseils pour aider les clients à se préparer à la transition. Voici quelques informations fournies par nos OEM qui apportent un éclairage supplémentaire :

« La sécurité fait partie intégrante de tout ce que nous construisons chez Dell Technologies, et les mesures de sécurité Secure Boot sont essentielles pour maintenir la confiance dans les appareils. Nous avons collaboré dès le début avec les équipes d'ingénieurs de Microsoft afin de préparer un processus de transition en douceur pour nos clients. Nous avons planifié en fonction des besoins réels, des parcs étroitement gérés dans les secteurs réglementés aux systèmes résilients à la périphérie, afin que les clients, quels que soient leurs cas d'utilisation, disposent d'un chemin de migration clair. Cet effort complexe et à grande échelle offre aux entreprises une transition Secure Boot bien prise en charge qui renforce la sécurité des appareils. » – Rick Martinez, Dell Fellow et vice-président, CTO Security, Dell Technologies.

« HP travaille en étroite collaboration avec Microsoft pour garantir la disponibilité des mises à jour du micrologiciel afin que tous les PC HP pris en charge fonctionnant sous Windows 11 puissent adopter les nouveaux certificats Secure Boot avant l'expiration des anciens certificats. Nous travaillons également en étroite collaboration avec nos clients pour nous assurer que leurs opérations commerciales ne sont pas affectées et qu'ils sont préparés avec le niveau approprié de validation et de contrôle. Notre collaboration favorise une confiance continue, minimise les perturbations et renforce notre engagement commun en faveur de la sécurité. » – Vali Ali, HP Fellow et Chief Technologist, Security and Privacy, HP Inc.

« La préparation à l'expiration des certificats Secure Boot a fait l'objet d'un effort coordonné entre Lenovo et Microsoft à travers plusieurs équipes. En travaillant en étroite collaboration tout au long des phases de planification, de test et de déploiement, nous contribuons à garantir la protection, l'information et l'assistance des clients, sans interruption de leurs activités. » – Tom Butler, VP Worldwide Commercial Portfolio and Product Management, Lenovo PC.

Que se passe-t-il lorsque les certificats expirent ?

Si un appareil ne reçoit pas les nouveaux certificats Secure Boot avant l'expiration des certificats 2011, le PC continuera à fonctionner normalement et les logiciels existants continueront à fonctionner. Cependant, l'appareil entrera dans un état de sécurité dégradé qui limitera sa capacité à recevoir de futures protections au niveau du démarrage.

À mesure que de nouvelles vulnérabilités au niveau du démarrage sont découvertes, les systèmes affectés deviennent de plus en plus exposés car ils ne peuvent plus installer de nouvelles mesures d'atténuation. Au fil du temps, cela peut également entraîner des problèmes de compatibilité, car les nouveaux systèmes d'exploitation, micrologiciels, matériels ou logiciels dépendant du démarrage sécurisé peuvent ne pas se charger.

Il est important de noter que les appareils fonctionnant avec des versions non prises en charge (Windows 10 et versions antérieures, à l'exception de ceux qui ont souscrit aux mises à jour de sécurité étendues) ne reçoivent pas les mises à jour Windows et ne recevront pas les nouveaux certificats. Nous continuons à encourager nos clients à toujours utiliser une version prise en charge de Windows pour bénéficier des meilleures performances et de la meilleure protection.

Quelles mesures les utilisateurs doivent-ils prendre ?

Pour la plupart des particuliers et des entreprises qui autorisent Microsoft à gérer les mises à jour de leurs PC, les nouveaux certificats seront installés automatiquement dans le cadre du processus mensuel régulier de mise à jour de Windows, sans qu'aucune action supplémentaire ne soit nécessaire. Certains systèmes spécialisés, tels que certains serveurs ou appareils IoT, peuvent suivre des processus de mise à jour différents et doivent être évalués dans le cadre de la planification du déploiement. Pour une partie des appareils, une mise à jour distincte du micrologiciel par le fabricant de l'appareil peut être nécessaire avant que le système puisse appliquer les nouveaux certificats Secure Boot fournis via Windows Update. Pour se préparer, nous recommandons aux clients de consulter les pages d'assistance de leur fabricant OEM afin de s'assurer qu'ils disposent des dernières mises à jour du micrologiciel.

Au cours des prochains mois, des messages sur l'état de la mise à jour des certificats seront disponibles dans l'application Windows Security afin d'aider les consommateurs à suivre de plus près les mises à jour des certificats.

Pour les organisations, les nouveaux certificats sont fournis via les mises à jour mensuelles régulières de Windows, lorsque les appareils fournissent suffisamment de données de diagnostic pour valider leur état de préparation.

Dans les cas où les appareils ne peuvent pas être validés de manière fiable grâce à cette approche, les organisations doivent prévoir de déployer et de surveiller les nouveaux certificats à l'aide du guide de l'administrateur informatique et de leurs outils de gestion existants.

Prochaines étapes et assistance

Nous déployons ces nouveaux certificats en collaboration avec nos partenaires de l'écosystème, selon une approche prudente et progressive, fondée sur des tests approfondis, un déploiement par étapes basé sur des données et une coordination avec les fabricants d'appareils. Malgré cela, compte tenu de la diversité des modèles d'appareils, des versions de micrologiciels et des scénarios d'utilisation, un nombre limité d'appareils peut nécessiter une assistance supplémentaire pendant le processus de mise à jour.

Si des particuliers ou des organisations rencontrent un problème, une aide est disponible. Voici les premières mesures à prendre si vous rencontrez un problème :

- Assurez-vous que les appareils exécutent les dernières mises à jour mensuelles de Windows.

- Vérifiez que la dernière version du micrologiciel est installée en consultant la page d'assistance de votre fabricant OEM.

- Si cela ne fonctionne pas, contactez l'assistance :

Les propriétaires d'appareils utilisant des comptes Windows personnels et familiaux peuvent utiliser les canaux d'assistance en ligne et les numéros de téléphone.

Les entreprises peuvent compter sur les canaux d'assistance informatique et la documentation existants de Microsoft pour garantir une mise à jour sans heurts.

Microsoft et les fabricants d'appareils ont préparé des équipes d'assistance aux consommateurs et aux entreprises avec des conseils spécifiques liés aux mises à jour des certificats Secure Boot et sont prêts à aider les clients.

Une base sécurisée pour l'avenir

La mise à jour des certificats Secure Boot marque un renouvellement générationnel de la base de confiance sur laquelle s'appuient les PC modernes au démarrage. En renouvelant ces certificats, l'écosystème Windows garantit que les innovations futures en matière de matériel, de micrologiciels et de systèmes d'exploitation pourront continuer à s'appuyer sur un processus de démarrage sécurisé et conforme aux normes de l'industrie.

La sécurité à ce niveau n'est pas un événement ponctuel, mais une responsabilité permanente partagée entre Microsoft et l'écosystème PC au sens large. Tout au long de cet effort, nous avons apprécié la collaboration des fabricants d'appareils et des partenaires de micrologiciels pour soutenir un déploiement efficace et sûr. Cette collaboration s'est concentrée sur la planification proactive, la transparence et la fourniture de la visibilité, des outils et des conseils dont les clients ont besoin pour naviguer dans la transition en toute confiance.

Avec cette mise à jour en cours, les clients peuvent s'attendre à ce que Secure Boot reste une base de sécurité fiable et résiliente pour les appareils Windows, prenant en charge à la fois les systèmes actuels et la prochaine génération de PC.

Source : Annonce de Microsoft

Et vous ?

Pensez-vous que cette annonce est crédible ou pertinente ?
Quel est votre avis sur le sujet ?

Voir aussi :

Microsoft reconnaît que Windows 11 souffre d'un problème de confiance et promet de se concentrer sur les corrections en 2026, donnant la priorité absolue aux performances, fiabilité et expérience de l'OS

Satya Nadella veut recentrer Microsoft sur la qualité technique et la sécurité. Il nomme un nouveau tsar de la qualité de l'ingénierie après le désastre des dernières mises à jour de Windows 11

9 mois plus tard, Microsoft corrige enfin le bogue qui empêchait les distributions Linux de démarrer sur les PC dual-boot avec Secure Boot activé, Microsoft avait créé le problème en mettant à jour le GRUB
Vous avez lu gratuitement 738 articles depuis plus d'un an.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.

Une erreur dans cette actualité ? Signalez-nous-la !

10 commentaires
Commenter Signaler un problème
Anselme45
Avatar de Anselme45
Membre extrêmement actif https://www.developpez.com
Le 26/05/2026 à 16:14
Plus recevoir d'update de sécurité?

J'en rêve!!!!

Les derniers updates de sécurité installés à la mi-mai 2026 sans mon accord ont rendu mon PC win11 bancal: A chaque mise sous tension, win11 essaie de redémarrer 3 fois et à la 3ème fois l'horloge n'est pas à l'heure mais affiche le jour et l'heure à laquelle le PC a été précédemment éteint... Puis après quelques minutes, l'horloge affiche l'heure correcte (et ce n'est pas la pile interne du PC, je précise)

Bien sûr, impossible de désinstaller ces merdes d'updates!!!!!

win11 est bien un OS mal pensé, mal maintenu, mal supporté, mal mis à jour... En bref? Une saloperie sans nom!!!
4  0 
Eric80
Avatar de Eric80
Membre éprouvé https://www.developpez.com
Le 27/05/2026 à 9:29
Sur la partie technique, il y a quelques outils bien pratiques pour accompagner cette MAJ des certificats. J'en cite 2 que j'ai utilisé dernièrement:
  1. https://github.com/cjee21/Check-UEFISecureBootVariables pour vérifier l'état des MAJ. Le script distingue les catégories "default" (certificats du bios réappliqués en cas de reset) et "current" (certificats actifs)
  2. https://github.com/pbatard/Mosby pour faire les MAJ des certificats HORS de l'OS.


Voici un exemple du script 'Check UEFI PK, KEK, DB and DBX' sur un PC de 2014 sous Windows 10 (avec ESU):

Default UEFI PK
WARNING: Failed to query UEFI variable PKDefault

Current UEFI KEK
√ Microsoft Corporation KEK CA 2011 (revoked: False)
X Microsoft Corporation KEK 2K CA 2023

Default UEFI KEK
WARNING: Failed to query UEFI variable 'KEKDefault'

Current UEFI DB
√ Microsoft Windows Production PCA 2011 (revoked: False)
√ Microsoft Corporation UEFI CA 2011 (revoked: False)
√ Windows UEFI CA 2023 (revoked: False)
X Microsoft UEFI CA 2023
√ Microsoft Option ROM UEFI CA 2023 (revoked: False)

Default UEFI DB
WARNING: Failed to query UEFI variable 'DBDefault'

Current UEFI DBX
2025-10-14 (v1.6.0) [x64] : SUCCESS: 431 successes detected
- pour les "default", cela n'est modifiable que avec une MAJ Bios/firmware/UEFI. Ceci n'est possible QUE pour les PC/carte mères assez récent encore supportés par leur fabricants, en gros > 2020.
- pour les "current", cad les certificats dans la NVRAM du UEFI, une série de MAJ logicielles peu les mettre à jour. Normalement, les MAJ mensuelles de Windows (10 et 11) fait le job.

Toutefois, pour certains vieux PC comme le miens, cela ne fonctionne pas bien. Sur l'ex au dessus, ces MAJ mensuelles de Windows 10 ont pu modifié certains certificats (dont le `Windows UEFI CA 2023`), mais pas tous: il manque le `Microsoft UEFI CA 2023` et surtout la partie KEK.

C'est là que Mosby devient un super outil. Installé sur une clef USB démarrant un shell UEFI, Mosby propose de mettre à jour tout les certificats, et surtout de définir sa propre clef PK (auto généré par l'outil) qui permet ensuite d'avoir la MAJ KEK et ensuite les DB/DBX.
La procédure est assez simple:
- d'abord préparer sa clef USB avec Rufus par ex (du même auteur)
- ensuite dans le bios, faire le reset des certificats SecureBoot pour forcer le UEFI à se mettre en mode "setup".
- Ensuite tout de suite après, démarrer sur la clef USB et tapper "Mosby" pour lancer l'outil. Acceptez la création de clef PK.

Appliqué à mon PC de 2014, le script de vérification de 'Check UEFI PK, KEK, DB and DBX' donne ensuite cela sur les parties "current" (sachant que les "default" ne peuvent PAS être MAJ):

Secure Boot status: Enabled

Current UEFI PK
√ Mosby Generated PK [2026.05.21]

Current UEFI KEK
√ Microsoft Corporation KEK CA 2011 (revoked: False)
√ Microsoft Corporation KEK 2K CA 2023 (revoked: False)

Current UEFI DB
√ Microsoft Windows Production PCA 2011 (revoked: False)
√ Microsoft Corporation UEFI CA 2011 (revoked: False)
√ Windows UEFI CA 2023 (revoked: False)
√ Microsoft UEFI CA 2023 (revoked: False)
√ Microsoft Option ROM UEFI CA 2023 (revoked: False)
√ MosbyKey [2026.05.21]
Tout est désormais à jour. Notez la "Mosby Generated PK" qui a permis cela.

Chacun peut appliquer cela, notamment sur les PC < 2020.
3  0 
Eric80
Avatar de Eric80
Membre éprouvé https://www.developpez.com
Le 12/02/2026 à 20:05
Merci pour l article sur un sujet sur lequel j'ai bcp lu ces derniers jours.

Petite précision si pas de MAJ des certificats:
un état de sécurité dégradé qui limitera sa capacité à recevoir de futures protections au niveau du démarrage ». En gros, vous ne serez pas protégé contre les logiciels malveillants et les virus qui ciblent les vulnérabilités des anciennes versions de Windows.
ceci n'est pas correct: on ne parle que de protection au niveau du démarrage.

À mesure que de nouvelles vulnérabilités au niveau du démarrage sont découvertes, les systèmes affectés deviennent de plus en plus exposés car ils ne peuvent plus installer de nouvelles mesures d'atténuation. Au fil du temps, cela peut également entraîner des problèmes de compatibilité, car les nouveaux systèmes d'exploitation, micrologiciels, matériels ou logiciels dépendant du démarrage sécurisé peuvent ne pas se charger.
c'est mieux.

Windows restera protégé avec les MAJ contre toutes les attaques SAUF contre les NOUVELLES qui touchent le démarrage (et SecureBoot donc). Avec SecureBoot actif avec les certificats de 2011, la machine reste protégée contre les attaques du démarrage connue jusque 2026 mais pas les éventuelles nouvelles attaques.
L'avenir nous dira si il y aura vraiment de telles attaques....
Sont affectés aussi les logiciels qui utilisent SecureBoot pour fonctionner pleinement. Apparentement il aurait qques jeux qui font cela. Cela pourraient ne plus fonctionner correctement.

Comme tout logiciel, il y a une fin de vie et de support. Certains crieront à l’obsolescence programmée. Un certificat de sécurité peut être vu ainsi puisque la date d expiration est connue dès la date de création.

Un pt important a comprendre sur la MAJ des certificats: ceux de 2023 seront AJOUTÉS dans les listes, cad un système MAJ aura aussi bien ceux de 2011 (jusqu'à une révocation future) que ceux de 2023.
Un système sans MAJ aura QUE les certifs de 2011.

Pour les certificats SecureBoot, il y a tjs 2 sets:
  1. le set de certificats actuels / actifs sur les OS, notamment sur la partition EFI. Windows Update va modifié ceux là.
  2. le set de certificats "par défaut" enregistrés dans le bios/firmware UEFI. Seule une MAJ du bios peut modifier ceux là. Si on fait un reset du bios ou juste de la partie SecureBoot, ces certificats sont restaurés, cad les "défaut" deviendront les "actuels".


Le jeu de scripts de https://github.com/cjee21/Check-UEFISecureBootVariables permet de vérifier l'état des certificats. Ces scripts fonctionnent désormais sur toutes les architectures supportées (x64, arm64, x86 récemment ajouté avec ma contribution, et même arm32 alors qu'il n'y a aucun win10 récent pour ARM32).
Il liste tout les certificats par défaut et tout les actuels.

Pour les certificats actuels
On peut aussi simplement vérifier les certifs 2023 avec ces commandes dans une invite Powershell administrateur:
Code : Sélectionner tout 
1
2
3
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI DB).Bytes) -match 'Windows UEFI CA 2023'
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI DB).Bytes) -match 'Microsoft UEFI CA 2023'
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI KEK).Bytes) -match 'Microsoft Corporation KEK 2K CA 2023'
Par ailleurs, on peut aussi vérifier manuellement les fichiers sur sa partition EFI (qu'on peut monter avec 'mount x: /s'), si le fichier \EFI\Microsoft\boot\bootmgfw.efi ('dir x:EFI\Microsoft\Boot\bootmgfw.efi'):
  • correspond à celui de C:\Windows\Boot\EFI\bootmgfw.efi -> les certificats de 2011 sont encore utilisés
  • correspond à celui de C:\Windows\Boot\EFI_EX\bootmgfw.efi ou bootmgfw_EX.efi -> les certificats de 2023 sont utilisés


Pour les certificats par défaut
Toutes les machines assez récentes devraient recevoir une MAJ bios pour les certificats par défaut. Mais les + anciennes machines n'auront PAS une telle MAJ et resteront donc tjs avec les certificats de 2011.

On aura alors différents cas:

  1. machine actuelle avec Windows MAJ -> all 2023 ok
  2. machine actuelle avec MAJ bios 2023 mais sans la MAJ Windows lui tjs en 2011 -> pas de pb, comme le set récent contient aussi les
  3. machine ancienne SANS Windows MAJ des certif -> all 2011. Pas top mais au moins pas de conflits.
  4. machine ancienne avec Windows MAJ -> bios par default en 2011, Windows boot en 2023. Fonctionne bien tant qu'on touche pas à la partie SecureBoot du bios: si jamais les certifs par default de 2011 sont restaurés, le Windows ne pourra pas démarrer. Et il faudra réparer Windows en faisant un retour au fichiers EFI avec le certif 2011.


Il n'y a donc que le 4eme cas qui peut poser pb. Au pire, on peut tjs désactiver SecureBoot dans le bios et c'est reparti comme en 14..

L'autre cas est aussi ceux qui ont des clefs USB avec EFI utilisés sur plusieurs machines -> il est préférable de laisser la partition EFI avec les fichiers certifiés 2011 qui permet de démarrer partout.

Sources: compréhension de la doc MS et de la session AskMicrosoftAnything de la semaine dernière sur SecureBoot: https://techcommunity.microsoft.com/...e-boot/4486023
2  0 
gabi7756
Avatar de gabi7756
Membre confirmé https://www.developpez.com
Le 26/05/2026 à 16:33
Passe sous linux non ?
2  0 
Eric80
Avatar de Eric80
Membre éprouvé https://www.developpez.com
Le 27/05/2026 à 9:17
Microsoft n'est pas le seul à rappeler l importance de ces certificats, l'agence cert ssi du gouvernement le fait aussi:
https://www.cert.ssi.gouv.fr/actuali...-2026-ACT-014/

et précise bien qu'il y a 2 niveaux de MAJ (ce que la doc de Microsoft et l'article ici ne précisent pas très bien):
L’installation des nouveaux certificats de Microsoft sur les appareils doit être faite à deux niveaux :
1. Au niveau de l’UEFI, soit par l’application d’une mise à jour UEFI de l’ordinateur et fournie par le fabricant (dans le cas d’une machine virtuelle, c’est l’hyperviseur que le fait pour l’UEFI virtuel), soit par l’ajout manuel des nouveaux certificats dans l’UEFI. Sans mise à jour des certificats au niveau UEFI, une restauration des paramètres par défaut de l'UEFI de l’appareil pourrait se solder par l’impossibilité de démarrer en démarrage sécurisé.
2. Au niveau du système d’exploitation, dans le cadre de ses mises à jour. Plusieurs étapes étalées dans le temps sont nécessaires pour parvenir à la mise à jour complète de la séquence de démarrage. Sur des systèmes Windows autonomes (appareils de particuliers notamment), le déroulement de ces étapes est automatique. Sur des systèmes gérés (membres d’un domaine Active Directory ou enrôlés et gérés via Windows Intune), elle peut nécessiter une intervention qui relève généralement des équipes informatiques de l’organisation. Les opérations à réaliser sont détaillées dans les documentations de Microsoft listées ci-après.
Et rappelle aussi que le problème de ces certificats touche TOUT les OS, aussi bien Linux que Windows, puisqu'on parle du contenu de l'UEFI AVANT le démarrage d'un OS!

Tjs au niveau de la communication, celle de Microsoft ne précise tjs pas si on pourra faire la MAJ des certificats après juin 26, par ex pour un PC resté inutilisé pendant plusieurs mois.
2  0 
Eric80
Avatar de Eric80
Membre éprouvé https://www.developpez.com
Le 27/05/2026 à 11:20
à nouveau, changer d'OS n'est PAS la solution ultime si vous voulez continuer d'utliser SecureBoot.

Le pb est bien lié à Microsoft puisque c'est MS qui a défini les certificats de SecureBoot, mais pas lié à Windows: Linux ou n'importe quel OS avec SecureBoot a le même soucis de mettre à jour ces certificats.

Evidemment, désactiver SecureBoot est une solution de facilité, qui s'applique aussi bien sous Linux que Windows (quoique je ne sais pas si Win11 démarre bien une fois SecureBoot off) mais n'est pas la solution de sécurité.
3  1 
der§en
Avatar de der§en
Membre expérimenté https://www.developpez.com
Le 27/05/2026 à 9:39
Vivement la retraite, sur je migre enfin sur SteamOS !
1  0 
Mingolito
Avatar de Mingolito
Expert éminent https://www.developpez.com
Le 26/05/2026 à 16:43
Bill Gates était une espèce d'enfoiré qui s'est fait des milliards en entubant royalement tous le monde,
mais c'était un vrai génie et un vrai saint si on le compare au nouveau Microsoft 2026,
qui n'est qu'un ramassis de dangereux escrocs incompétents et irresponsables
0  0 
rthomas
Avatar de rthomas
Membre du Club https://www.developpez.com
Le 27/05/2026 à 8:29
Beaucoup d'utilisateurs font fausse route en blâmant uniquement Windows. Le véritable coupable de cette complexité, c’est le BIOS/UEFI de la carte mère, et non pas le système d'exploitation.
Je trouve surtout qu'il est idiot d'avoir limité la durée de vie de ces certificats à 15 ans. Pourquoi ?
0  0 
Commenter Signaler un problème