Microsoft dévoile ce qu'il adviendra des PC sous Windows 11 si vous ne respectez pas la date limite fixée pour la mise à jour des certificats Secure Boot en juin 2026,

Mais le processus est jugé trop complexe

Microsoft dévoile ce qu'il adviendra des PC sous Windows 11 si vous ne respectez pas la date limite fixée pour la mise à jour des certificats Secure Boot en juin 2026
mais le processus est jugé trop complexe

Microsoft a entamé une transition vers de nouveaux certificats Secure Boot d'ici juin 2026 pour remplacer les normes obsolètes datant de 2011. Redmond insiste sur le fait que ce changement critique est nécessaire pour pallier un certain nombre de problèmes. Si les utilisateurs ignorent cette mise à jour, leurs PC continueront de fonctionner, mais leur sécurité sera compromise, car ils ne recevront plus de correctifs critiques pour le démarrage. Ce processus technique s'effectue par étapes via des mises à jour logicielles, nécessitant parfois plusieurs redémarrages pour inscrire les nouveaux certificats Secure Boot dans le micrologiciel de la carte mère.

Secure Boot est une fonctionnalité de sécurité essentielle de Windows qui garantit que seuls les composants fiables et signés sont autorisés à s'exécuter pendant le processus de démarrage. Les certificats actuellement utilisés dans l'écosystème Windows ont été introduits en 2011 et arrivent désormais en fin de vie. Secure Boot est un mécanisme de sécurité intégré au firmware UEFI (Unified Extensible Firmware Interface) des ordinateurs modernes.

Avant même que Windows se charge, l'UEFI du PC vérifie que les programmes au démarrage qui se lancent sont bien ce qu'ils prétendent être ; c'est le rôle du Secure Boot. Pour fonctionner, il s'appuie sur des certificats cryptographiques (semblables à des pièces d'identité numériques) qui confirment que les composants de démarrage proviennent d'une source de confiance. Ce qui empêche des maliciels de s'exécuter très tôt dans la séquence de démarrage.

Comme tout certificat numérique, ceux utilisés par le Secure Boot ont une durée de validité de 15 ans. Les certificats en service depuis 2011 arrivent donc à expiration en 2026, avec des dates précises : Microsoft Corporation KEK CA 2011 le 24 juin, Microsoft Corporation UEFI CA 2011 et Microsoft Option ROM UEFI CA 2011 le 27 juin, et Microsoft Windows Production PCA 2011 le 19 octobre 2026. Microsoft a amorcé le remplacement de ces certificats.

L'impératif de la transition vers les certificats de 2023

Pour éviter que des millions de machines ne deviennent vulnérables ou incapables de démarrer, Microsoft déploie actuellement de nouveaux certificats datant de 2023. Cette transition est particulièrement délicate, car elle modifie directement le micrologiciel UEFI. Le démarrage sécurisé est une norme fondamentale qui vérifie les signatures cryptographiques des logiciels lors de l'allumage pour s'assurer que seul du code de confiance est exécuté.


Le déploiement de la mise à jour s'adapte intelligemment aux capacités du matériel. Les ordinateurs plus anciens qui fonctionnent encore avec un BIOS hérité ne sont physiquement pas capables de supporter le démarrage sécurisé, et le système ignorera donc totalement la tentative de mise à jour pour ces appareils.

Si un PC est compatible, mais que le démarrage sécurisé a été désactivé manuellement dans le BIOS, Microsoft bloquera intentionnellement l'installation de la mise à jour pour éviter de rendre le système inutilisable. La mise à jour vers les certificats 2023 exige au préalable que les utilisateurs corrigent eux-mêmes les erreurs de configuration de leur BIOS, puis plusieurs redémarrages afin de préparer, appliquer et charger les nouveaux gestionnaires.

Il n'est pas nécessaire de désactiver le chiffrement BitLocker durant cette procédure, car le système gère automatiquement la protection des clés à travers les différents redémarrages. Dans le cas des organisations, le déploiement automatisé n'est pas recommandé pour les grandes flottes informatiques d'entreprise.

Microsoft déconseille fortement aux administrateurs d'appliquer massivement cette mise à jour sans l'avoir préalablement testée sur des modèles matériels spécifiques. Les environnements professionnels utilisant le démarrage réseau (PXE) devront également planifier cette transition avec soin, car il est techniquement impossible de proposer simultanément les gestionnaires de démarrage de 2011 et de 2023 sur une même image de déploiement.

Les serveurs et les machines virtuelles, comme ceux sous Hyper-V ou Windows Server 2025, exigent une approche manuelle. Ces systèmes critiques ne bénéficient pas du déploiement automatisé grand public et nécessitent des interventions directes via des commandes spécifiques pour appliquer les certificats.

Conséquences du non-respect de l'échéance de juin 2026

Il est possible de vérifier facilement si un ordinateur est à jour en consultant la section « Sécurité de l'appareil » dans l'application « Sécurité Windows », où un indicateur vert confirme la bonne application des certificats. Par ailleurs, Microsoft met en garde : si un utilisateur ignore cette mise à jour et dépasse la date butoir, son ordinateur continuera de démarrer et de fonctionner, mais « son niveau de sécurité subira une dégradation permanente ».

Sans le certificat de 2023, Microsoft cessera d'envoyer des mises à jour de sécurité pour le processus de démarrage, ainsi que les listes noires permettant de bloquer les nouveaux maliciels. À plus long terme, l'absence de ces certificats entraînera le blocage intentionnel des futures mises à jour majeures du système d'exploitation Windows, une mesure préventive pour éviter que la machine ne se retrouve dans un état empêchant tout redémarrage.

Ces nouveaux certificats de 2023 offrent une tranquillité d'esprit sur le long terme, puisque leur date d'expiration est fixée à l'année 2038. (Leur durée de vie correspond à 15 ans comme les certificats de 2011.) Bien que l'industrie informatique anticipe déjà une transition vers la cryptographie post-quantique à l'horizon 2030 pour les matériels futurs, les appareils actuels resteront protégés par les clés de 2023 jusqu'à la fin de leur cycle de vie utile.

Obsolescence programmée et dépendance aux fabricants

La critique technique la plus vive concerne la dépendance de cette mise à jour vis-à-vis des fabricants de matériel. Des utilisateurs font remarquer que l'installation des nouvelles clés nécessite souvent une mise à jour préalable du BIOS de la carte mère. Si un fabricant décide de ne plus proposer de support pour un modèle spécifique, l'ordinateur se retrouvera bloqué, ce qui est perçu comme une forme d'obsolescence programmée intégrée au matériel.


De plus, l'approche de Microsoft suscite de la frustration, des critiques estimant que l'entreprise agit comme si elle était l'unique propriétaire des PC vendus. La décision de Microsoft de couper l'accès aux nouvelles listes noires de maliciels pour les machines non mises à jour est qualifiée de mesure injuste et punitive. Selon les critiques, l'antivirus Windows Defender devrait pouvoir continuer à utiliser les listes indépendamment du démarrage sécurisé.

Par ailleurs, la procédure exigée pour la mise à jour des certificats est perçue comme beaucoup trop complexe pour l'utilisateur moyen, qui peine à en comprendre les détails techniques. Face aux étapes requises, comme la mise à jour manuelle du BIOS, certains affirment qu'ils préfèrent délibérément ne rien faire.

Cette réticence est amplifiée par un manque de confiance dans la stabilité des mises à jour de Microsoft : certains utilisateurs rappellent que de précédentes mises à jour ont déjà corrompu leur système de démarrage, les forçant à formater entièrement leur disque dur. Windows 11 a multiplié les mises à jour défectueuses ces derniers mois, remettant en cause la stabilité du système et poussant certains utilisateurs à étudier des options comme Linux.

Source : Microsoft (1, 2, 3)

Et vous ?

Quel est votre avis sur le sujet ?
Que pensez-vous du processus de migration vers les certificats Secure Boot de 2023 ?
Le processus de mise à jour est jugé trop complexe pour l'utilisateur moyen. Qu'en pensez-vous ?

Voir aussi

Microsoft commencera à renouveler les certificats Secure Boot en mars pour les utilisateurs de Windows 11 et Windows 10 ESU, car les certificats Secure Boot d'origine arriveront à expiration en juin 2026

Un ex responsable de Microsoft affirme que l'entreprise a raté le train de l'IA, tout comme ce fut le cas avec Internet et le mobile. L'IA Copilot dans Windows 11 fait l'objet de sarcasmes et rejets

La nouvelle faille de sécurité zero-day YellowKey de BitLocker sous Windows, permet en étant muni d'une clé USB de déverrouiller des disques chiffrés sous Windows 11 et Windows Server 2022/2025