IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Microsoft commencera à renouveler les certificats Secure Boot en mars pour les utilisateurs de Windows 11 et Windows 10 ESU, car les certificats Secure Boot d'origine arriveront à expiration en juin 2026

Le , par Alex
1 commentaire

629PARTAGES

5  0 
Les utilisateurs de Windows sont invités à vérifier Windows Update, car il y a de fortes chances que vous ayez de nouveaux certificats Secure Boot à installer. Microsoft vient d'annoncer qu'il allait renouveler ces certificats, qui avaient été introduits à l'origine lors du lancement de Secure Boot en 2011, par mesure de sécurité. Sans les nouveaux certificats Secure Boot, Microsoft affirme que votre système continuera de fonctionner normalement, mais qu'il entrera dans « un état de sécurité dégradé qui limitera sa capacité à recevoir de futures protections au niveau du démarrage ».

En mai 2024, Microsoft avait fait une annonce qui a choqué le monde. L'entreprise avait annoncé que le support de Windows 10 prendrait fin le 14 octobre 2025. Une décision qui marquait la fin d’une ère pour le système d’exploitation lancé en 2015. La raison ? « Microsoft encourage les utilisateurs à passer à Windows 11, son dernier système d’exploitation, qui offre une expérience améliorée et une sécurité renforcée. La fin du support de Windows 10 est une étape naturelle dans le cycle de vie des produits technologiques, permettant à l’entreprise de se concentrer sur l’innovation et de nouvelles offres. » La fin du support de Windows 10 est un rappel que la technologie évolue rapidement et que la maintenance des systèmes est essentielle pour la sécurité et la performance.

Récemment, les utilisateurs de Windows sont invités à vérifier Windows Update, car il y a de fortes chances que vous ayez de nouveaux certificats Secure Boot à installer. Microsoft vient d'annoncer qu'il allait renouveler ces certificats, qui avaient été introduits à l'origine lors du lancement de Secure Boot en 2011, par mesure de sécurité. Secure Boot était un moyen pour Microsoft de protéger les systèmes contre l'exécution de codes non signés et potentiellement malveillants avant le lancement de Windows. Il est ensuite devenu une exigence d'installation pour Windows 11, ainsi que pour les logiciels anti -triche utilisés dans Valorant, Call of Duty: Black Ops 6/7 et Battlefield 6.

Sans les nouveaux certificats Secure Boot, Microsoft affirme que votre système continuera de fonctionner normalement, mais qu'il entrera dans « un état de sécurité dégradé qui limitera sa capacité à recevoir de futures protections au niveau du démarrage ». En gros, vous ne serez pas protégé contre les logiciels malveillants et les virus qui ciblent les vulnérabilités des anciennes versions de Windows. Comme prévu, Microsoft précise également que les versions non prises en charge de Windows ne recevront pas les nouveaux certificats Secure Boot. Ils ne seront disponibles que sur les systèmes Windows 11, ainsi que sur les PC Windows 10 abonnés aux mises à jour de sécurité étendues de Microsoft.


Microsoft indique que de nombreux utilisateurs pourront obtenir les certificats Secure Boot mis à jour en se rendant sur Windows Update, mais que certains devront peut-être effectuer des mises à jour supplémentaires du micrologiciel auprès du fabricant de leur système (ou de leur carte mère). Vous pourrez également suivre l'état de vos certificats de sécurité dans l'application Windows Security dans les « mois à venir ».

« À mesure que la sécurité cryptographique évolue, les certificats et les clés doivent être renouvelés périodiquement afin de maintenir une protection efficace », a déclaré Nuno Costa, directeur partenaire de Windows Servicing and Delivery. « Le retrait des anciens certificats et l'introduction de nouveaux certificats est une pratique courante dans le secteur qui permet d'éviter que les identifiants obsolètes ne deviennent un point faible et de maintenir les plateformes en phase avec les attentes modernes en matière de sécurité. »

Costa indique que Microsoft travaille avec des fabricants OEM tels que Dell et HP afin d'assurer une transition en douceur vers les nouveaux certificats Secure Boot. De nombreux nouveaux systèmes construits en 2024 disposent déjà des certificats mis à jour, tandis que « presque tous » les appareils commercialisés l'année dernière en sont également équipés. Microsoft informe également ses clients informatiques de cette transition depuis l'année dernière.

Ces efforts de Microsoft montre l'équilibre que Microsoft cherche à trouver entre la sécurité et la promotion de l'innovation. Cela rappelle que Microsoft avait déployé différentes options pour les utilisateurs aux États-Unis et en Europe afin de prolonger gratuitement les mises à jour de sécurité pour Windows 10 jusqu'en octobre 2026. Si cette année gratuite permet de gagner du temps, elle souligne néanmoins le passage inévitable vers de nouvelles plateformes, avec des implications à long terme pour la sécurité numérique et l'autonomie des utilisateurs.

Voici l'annonce de Microsoft :

Actualisation de la racine de confiance : collaboration industrielle sur les mises à jour des certificats Secure Boot

Secure Boot est une fonctionnalité de sécurité fondamentale de Windows et Windows Server, qui assure une protection dès la mise sous tension d'un appareil. Introduit en 2011, Secure Boot s'exécute au démarrage, avant le chargement de Windows, et permet de garantir que seuls les logiciels fiables et signés numériquement peuvent s'exécuter. En bloquant les codes non fiables dès les premières étapes du processus de démarrage, Secure Boot aide à se défendre contre les menaces sophistiquées qui peuvent être difficiles à détecter par la suite.

Cette confiance est renforcée par des certificats stockés dans le micrologiciel d'un PC. Après plus de 15 ans de service continu, les certificats Secure Boot d'origine arrivent à la fin de leur cycle de vie prévu et commenceront à expirer fin juin 2026.

À mesure que la sécurité cryptographique évolue, les certificats et les clés doivent être renouvelés périodiquement afin de maintenir une protection solide. Le retrait des anciens certificats et l'introduction de nouveaux certificats est une pratique courante dans le secteur qui permet d'éviter que les identifiants obsolètes ne deviennent un point faible et de maintenir les plateformes conformes aux exigences de sécurité modernes.

Nous avons commencé à déployer de nouveaux certificats dans le cadre des mises à jour mensuelles régulières de Windows pour les appareils Windows pris en charge destinés aux particuliers, aux entreprises et aux établissements scolaires bénéficiant de mises à jour gérées par Microsoft. Les organisations ont également la possibilité de gérer elles-mêmes le processus de mise à jour à l'aide de leurs outils de gestion préférés.

Préparation de Microsoft et de l'écosystème des appareils

Le renouvellement des nouveaux certificats représente l'un des plus grands efforts coordonnés de maintenance de la sécurité dans l'écosystème Windows, couvrant la maintenance Windows, les mises à jour du micrologiciel et des millions de configurations d'appareils uniques fournies par les fabricants de...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.

Une erreur dans cette actualité ? Signalez-nous-la !

1 commentaire
Commenter Signaler un problème
Eric80
Avatar de Eric80
Membre éprouvé https://www.developpez.com
Le 12/02/2026 à 20:05
Merci pour l article sur un sujet sur lequel j'ai bcp lu ces derniers jours.

Petite précision si pas de MAJ des certificats:
un état de sécurité dégradé qui limitera sa capacité à recevoir de futures protections au niveau du démarrage ». En gros, vous ne serez pas protégé contre les logiciels malveillants et les virus qui ciblent les vulnérabilités des anciennes versions de Windows.
ceci n'est pas correct: on ne parle que de protection au niveau du démarrage.

À mesure que de nouvelles vulnérabilités au niveau du démarrage sont découvertes, les systèmes affectés deviennent de plus en plus exposés car ils ne peuvent plus installer de nouvelles mesures d'atténuation. Au fil du temps, cela peut également entraîner des problèmes de compatibilité, car les nouveaux systèmes d'exploitation, micrologiciels, matériels ou logiciels dépendant du démarrage sécurisé peuvent ne pas se charger.
c'est mieux.

Windows restera protégé avec les MAJ contre toutes les attaques SAUF contre les NOUVELLES qui touchent le démarrage (et SecureBoot donc). Avec SecureBoot actif avec les certificats de 2011, la machine reste protégée contre les attaques du démarrage connue jusque 2026 mais pas les éventuelles nouvelles attaques.
L'avenir nous dira si il y aura vraiment de telles attaques....
Sont affectés aussi les logiciels qui utilisent SecureBoot pour fonctionner pleinement. Apparentement il aurait qques jeux qui font cela. Cela pourraient ne plus fonctionner correctement.

Comme tout logiciel, il y a une fin de vie et de support. Certains crieront à l’obsolescence programmée. Un certificat de sécurité peut être vu ainsi puisque la date d expiration est connue dès la date de création.

Un pt important a comprendre sur la MAJ des certificats: ceux de 2023 seront AJOUTÉS dans les listes, cad un système MAJ aura aussi bien ceux de 2011 (jusqu'à une révocation future) que ceux de 2023.
Un système sans MAJ aura QUE les certifs de 2011.

Pour les certificats SecureBoot, il y a tjs 2 sets:
  1. le set de certificats actuels / actifs sur les OS, notamment sur la partition EFI. Windows Update va modifié ceux là.
  2. le set de certificats "par défaut" enregistrés dans le bios/firmware UEFI. Seule une MAJ du bios peut modifier ceux là. Si on fait un reset du bios ou juste de la partie SecureBoot, ces certificats sont restaurés, cad les "défaut" deviendront les "actuels".


Le jeu de scripts de https://github.com/cjee21/Check-UEFI...eBootVariables permet de vérifier l'état des certificats. Ces scripts fonctionnent désormais sur toutes les architectures supportées (x64, arm64, x86 récemment ajouté avec ma contribution, et même arm32 alors qu'il n'y a aucun win10 récent pour ARM32).
Il liste tout les certificats par défaut et tout les actuels.

Pour les certificats actuels
On peut aussi simplement vérifier les certifs 2023 avec ces commandes dans une invite Powershell administrateur:
Code : Sélectionner tout 
1
2
3
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI DB).Bytes) -match 'Windows UEFI CA 2023'
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI DB).Bytes) -match 'Microsoft UEFI CA 2023'
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI KEK).Bytes) -match 'Microsoft Corporation KEK 2K CA 2023'
Par ailleurs, on peut aussi vérifier manuellement les fichiers sur sa partition EFI (qu'on peut monter avec 'mount x: /s'), si le fichier \EFI\Microsoft\boot\bootmgfw.efi ('dir x:EFI\Microsoft\Boot\bootmgfw.efi'):
  • correspond à celui de C:\Windows\Boot\EFI\bootmgfw.efi -> les certificats de 2011 sont encore utilisés
  • correspond à celui de C:\Windows\Boot\EFI_EX\bootmgfw.efi ou bootmgfw_EX.efi -> les certificats de 2023 sont utilisés


Pour les certificats par défaut
Toutes les machines assez récentes devraient recevoir une MAJ bios pour les certificats par défaut. Mais les + anciennes machines n'auront PAS une telle MAJ et resteront donc tjs avec les certificats de 2011.

On aura alors différents cas:

  1. machine actuelle avec Windows MAJ -> all 2023 ok
  2. machine actuelle avec MAJ bios 2023 mais sans la MAJ Windows lui tjs en 2011 -> pas de pb, comme le set récent contient aussi les
  3. machine ancienne SANS Windows MAJ des certif -> all 2011. Pas top mais au moins pas de conflits.
  4. machine ancienne avec Windows MAJ -> bios par default en 2011, Windows boot en 2023. Fonctionne bien tant qu'on touche pas à la partie SecureBoot du bios: si jamais les certifs par default de 2011 sont restaurés, le Windows ne pourra pas démarrer. Et il faudra réparer Windows en faisant un retour au fichiers EFI avec le certif 2011.


Il n'y a donc que le 4eme cas qui peut poser pb. Au pire, on peut tjs désactiver SecureBoot dans le bios et c'est reparti comme en 14..

L'autre cas est aussi ceux qui ont des clefs USB avec EFI utilisés sur plusieurs machines -> il est préférable de laisser la partition EFI avec les fichiers certifiés 2011 qui permet de démarrer partout.

Sources: compréhension de la doc MS et de la session AskMicrosoftAnything de la semaine dernière sur SecureBoot: https://techcommunity.microsoft.com/...e-boot/4486023
2  0