Le certificat du module de démarrage sécurisé de votre PC expire en juin 2026. À partir de la mise à jour de sécurité de janvier 2026 , Microsoft a entamé le déploiement progressif d'un nouveau certificat qui permettra à votre ordinateur de continuer à démarrer correctement et à recevoir les mises à jour de sécurité.
Sous Windows 11 , le démarrage sécurisé est une fonctionnalité de sécurité intégrée au microprogramme UEFI (Unified Extensible Firmware Interface) qui empêche toute modification non autorisée des fichiers système critiques au démarrage. Ainsi, l'appareil démarre uniquement avec les logiciels approuvés par le fabricant.
En d'autres termes, le démarrage sécurisé contribue à protéger vos appareils contre les logiciels malveillants de bas niveau (tels que les bootkits et les rootkits) qui peuvent infecter le processus de démarrage et prendre le contrôle de votre ordinateur avant même le chargement du système d'exploitation et de votre logiciel antivirus.
Comprendre les certificats de démarrage sécurisé
Dans le cadre de ce processus, la fonctionnalité utilise des clés cryptographiques (connues sous le nom d'autorités de certification (AC)) pour valider que les modules de firmware proviennent d'une source fiable, contribuant ainsi à empêcher l'exécution de logiciels malveillants pendant les premières étapes du démarrage de l'appareil.
Les certificats de démarrage sécurisé ont toujours eu une date d'expiration, car ils permettent de garantir que votre ordinateur continue de recevoir les mises à jour de sécurité et de démarrer correctement. C'est pourquoi vous devez installer les certificats de 2023 avant l'expiration des certificats d'autorité de certification de 2011, prévue en juin 2026.
Si vous possédez un appareil acheté en 2024 (ou après), il est probable que les certificats les plus récents soient déjà installés. Pour les autres ordinateurs, Microsoft déploie actuellement les nouveaux certificats de démarrage sécurisé via Windows Update.
Dans la mise à jour de sécurité « 2026-01 (KB5074109) (26200.7623) » déployée le 13 janvier 2026, l’éditeur de logiciels a indiqué que les mises à jour incluent désormais un sous-ensemble de données de ciblage des appareils à haute fiabilité permettant d’identifier les appareils éligibles à la réception automatique de nouveaux certificats de démarrage sécurisé. Ces certificats ne seront délivrés qu’après confirmation de la réussite de la mise à jour, garantissant ainsi un déploiement sûr et progressif.
Cela signifie que vous n'avez aucune action manuelle à effectuer pour mettre à jour le démarrage sécurisé , si ce n'est autoriser le système à recevoir les mises à jour. Du moins jusqu'à la disponibilité de la mise à jour de sécurité de juin 2026.
Vérifiez la date d'expiration du certificat de démarrage sécurisé
Comme vous ne recevrez pas de notification indiquant que votre ordinateur inclut désormais les dernières autorités de certification, il est important de vérifier si votre appareil a encore besoin d'une mise à jour.
Windows 11 ne dispose pas de commande native permettant d'afficher la date d'expiration du firmware de manière lisible. Toutefois, vous pouvez vérifier si vous possédez les certificats « mis à jour » de 2023 (qui remplacent ceux expirant en 2026) en suivant ces étapes :
Ouvrez PowerShell (administrateur) et exécutez :
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
Vérification de l'expiration du certificat de démarrage sécurisé avec PowerShell / Image : Mauro Huculak
Presque toutes les chaînes de démarrage sécurisé modernes s'appuient sur les certificats Microsoft de 2011, dont les dates d'expiration sont les suivantes :
À titre indicatif, voici ce que chaque certificat permet de faire :
Mise à jour des certificats de démarrage sécurisé sous Windows 11
Si vos certificats arrivent à expiration, Microsoft et le fabricant de votre ordinateur (OEM) déploieront automatiquement des mises à jour du microprogramme ou des mises à jour « DBX » via Windows Update ou les mises à jour système afin d’enregistrer les nouveaux certificats d’autorité de certification de 2023. Vous pouvez toutefois mettre à jour manuellement votre démarrage sécurisé.
Avertissement : Avant de procéder, assurez-vous d’avoir enregistré une clé de récupération BitLocker et que votre BIOS (UEFI) est à jour. Si le micrologiciel de votre ordinateur ne prend pas en charge les nouveaux certificats, votre ordinateur risque de ne plus démarrer après la mise à jour. Il est également recommandé d’effectuer une sauvegarde complète de votre ordinateur avant de continuer.
Ouvrez PowerShell (administrateur) et exécutez :
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f
Cette commande définit la clé de registre qui indique au système d'exploitation de déployer tous les certificats requis (y compris le gestionnaire de démarrage signé PCA 2023).
La valeur 0x5944correspond au code de « mesure d’atténuation complète » qui active toutes les mises à jour de certificats pertinentes.
Windows 11 dispose d'une tâche intégrée qui traite ces modifications de certificats, et vous pouvez la déclencher manuellement pour éviter d'attendre 12 heures avec la commande suivante :
Démarrer-TâchePlanifiée -NomTâche "\Microsoft\Windows\PI\Secure-Boot-Update"
PowerShell met à jour le certificat de démarrage sécurisé / Image : Mauro Huculak
La mise à jour nécessite généralement deux redémarrages pour être pleinement appliquée. Après le premier redémarrage, le système met à jour le gestionnaire de démarrage. Après le second, il finalise l'enregistrement du certificat dans la base de données UEFI.
Après le redémarrage, vous pouvez vérifier si « UEFI CA 2023 » est désormais présent dans votre base de données en exécutant la commande PowerShell suivante (en tant qu'administrateur) :
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
Si BitLocker est actif, vous devrez peut-être désactiver temporairement le chiffrement ( Suspend-BitLocker -MountPoint "C:" -RebootCount 2) avant que le firmware puisse écrire avec succès les nouvelles clés sur l'appareil.
Pour télécharger gratuitement VMware Workstation Pro, vous devez vous inscrire sur le site de Broadcom, télécharger le programme d'installation et suivre ces instructions.
Vérifiez la température de votre SSD et de votre disque dur sous Windows 11 à l'aide des Paramètres, de PowerShell ou de CrystalDiskInfo afin d'éviter la surchauffe et la perte de données.
Pour activer les fonctionnalités cachées de Windows 11 (versions Insider), ouvrez l'invite de commandes (administrateur) et exécutez la commande suivante : vivetool /enable /id:ID-DE-LA-FONCTIONNALITÉ-ACTIVABLE
Microsoft confirme un bug empêchant le fonctionnement de l'outil de création de supports d'installation sur Windows 10, mais voici comment télécharger l'ISO de Windows 11 pour effectuer la mise à niveau en toute sécurité.
Il existe plusieurs façons de vérifier si Windows 11 est installé sur un PC : vérifier le nouveau bouton Démarrer bleu, la barre des tâches centrée, la version Windows (winver) et les paramètres « À propos ».
Pour télécharger l'ISO de Windows 11 24H2 après la sortie de la version 25H2, utilisez UUP Dump pour créer une ISO personnalisée, puis utilisez Rufus pour créer un programme d'installation USB amorçable.
Utilisez RyTuneX pour désactiver la télémétrie, les services de suivi et la collecte de données en arrière-plan de Windows 11 sans modifier le Registre.
Empêchez Windows 11 d'envoyer des données inutiles à Microsoft. Limitez la télémétrie et protégez votre vie privée en suivant ces étapes simples.
Après avoir créé une machine virtuelle, vous devez installer les additions invité VirtualBox sur Windows 10 pour une meilleure convivialité et de meilleures performances – voici comment faire.
Activez manuellement les nouvelles fonctionnalités de la mise à jour Windows 11 24H2 de juillet 2025 (build 26100.4652, KB5062553) à l'aide de ViVeTool pour un accès anticipé.
