Microsoft remplace les certificats de démarrage sécurisé expirés sur Windows 11 – Tous les détails et comment mettre à jour le vôtre

  • Le démarrage sécurisé empêche les logiciels malveillants de bas niveau de compromettre le processus de démarrage de Windows 11.
  • Les certificats Secure Boot originaux de Microsoft (2011) expirent en juin 2026, et les nouveaux certificats de 2023 étendent la protection jusqu'en 2053.
  • Les appareils achetés en 2024 et après disposent probablement déjà des certificats les plus récents. Les autres les reçoivent progressivement via Windows Update.
  • Vous pouvez vérifier l'état de vos certificats à l'aide de PowerShell et les mettre à jour manuellement en modifiant le Registre et en programmant des tâches si les mises à jour ne sont pas arrivées automatiquement.

Le certificat du module de démarrage sécurisé de votre PC expire en juin 2026. À partir de la mise à jour de sécurité de janvier 2026 , Microsoft a entamé le déploiement progressif d'un nouveau certificat qui permettra à votre ordinateur de continuer à démarrer correctement et à recevoir les mises à jour de sécurité.

Sous Windows 11 , le démarrage sécurisé est une fonctionnalité de sécurité intégrée au microprogramme UEFI (Unified Extensible Firmware Interface) qui empêche toute modification non autorisée des fichiers système critiques au démarrage. Ainsi, l'appareil démarre uniquement avec les logiciels approuvés par le fabricant.

En d'autres termes, le démarrage sécurisé contribue à protéger vos appareils contre les logiciels malveillants de bas niveau (tels que les bootkits et les rootkits) qui peuvent infecter le processus de démarrage et prendre le contrôle de votre ordinateur avant même le chargement du système d'exploitation et de votre logiciel antivirus.

 

Comprendre les certificats de démarrage sécurisé

Dans le cadre de ce processus, la fonctionnalité utilise des clés cryptographiques (connues sous le nom d'autorités de certification (AC)) pour valider que les modules de firmware proviennent d'une source fiable, contribuant ainsi à empêcher l'exécution de logiciels malveillants pendant les premières étapes du démarrage de l'appareil.

Les certificats de démarrage sécurisé ont toujours eu une date d'expiration, car ils permettent de garantir que votre ordinateur continue de recevoir les mises à jour de sécurité et de démarrer correctement. C'est pourquoi vous devez installer les certificats de 2023 avant l'expiration des certificats d'autorité de certification de 2011, prévue en juin 2026.

Si vous possédez un appareil acheté en 2024 (ou après), il est probable que les certificats les plus récents soient déjà installés. Pour les autres ordinateurs, Microsoft déploie actuellement les nouveaux certificats de démarrage sécurisé via Windows Update.

Dans la mise à jour de sécurité « 2026-01 (KB5074109) (26200.7623) » déployée le 13 janvier 2026, l’éditeur de logiciels a indiqué que les mises à jour incluent désormais un sous-ensemble de données de ciblage des appareils à haute fiabilité permettant d’identifier les appareils éligibles à la réception automatique de nouveaux certificats de démarrage sécurisé. Ces certificats ne seront délivrés qu’après confirmation de la réussite de la mise à jour, garantissant ainsi un déploiement sûr et progressif.

Cela signifie que vous n'avez aucune action manuelle à effectuer pour mettre à jour le démarrage sécurisé , si ce n'est autoriser le système à recevoir les mises à jour. Du moins jusqu'à la disponibilité de la mise à jour de sécurité de juin 2026.

Vérifiez la date d'expiration du certificat de démarrage sécurisé

Comme vous ne recevrez pas de notification indiquant que votre ordinateur inclut désormais les dernières autorités de certification, il est important de vérifier si votre appareil a encore besoin d'une mise à jour.

Windows 11 ne dispose pas de commande native permettant d'afficher la date d'expiration du firmware de manière lisible. Toutefois, vous pouvez vérifier si vous possédez les certificats « mis à jour » de 2023 (qui remplacent ceux expirant en 2026) en suivant ces étapes :

Ouvrez PowerShell (administrateur) et exécutez :

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

  • Vrai : Vous possédez le nouveau certificat (valide jusqu'en 2053).
  • Faux : vous êtes probablement encore titulaire du certificat de 2011 (qui expire en 2026).

Microsoft remplace les certificats de démarrage sécurisé expirés sur Windows 11 – Tous les détails et comment mettre à jour le vôtre

Vérification de l'expiration du certificat de démarrage sécurisé avec PowerShell / Image : Mauro Huculak

Presque toutes les chaînes de démarrage sécurisé modernes s'appuient sur les certificats Microsoft de 2011, dont les dates d'expiration sont les suivantes :

  • Microsoft Corporation KEK CA 2011 (24 juin 2026). 
  • Microsoft Corporation UEFI CA 2011 (27 juin 2026).
  • ROM optionnelle Microsoft UEFI CA 2011 (27 juin 2026).
  • Microsoft Windows Production PCA 2011 (19 octobre 2026).

À titre indicatif, voici ce que chaque certificat permet de faire :

  • Certificat KEK : point d’ancrage de confiance permettant la mise à jour des bases de données de signatures de démarrage sécurisé (DB/DBX).
  • Certificats d'autorité de certification UEFI : Faire confiance aux signatures des chargeurs de démarrage et des composants du microprogramme (y compris les applications EFI tierces).
  • Option ROM CA : Modules ROM d’option de firmware faisant confiance.
  • Microsoft Windows Production PCA 2011 : Garantit que le chargeur de démarrage Windows et les fichiers binaires associés sont considérés comme fiables par le microprogramme dans le cadre du démarrage sécurisé.

Mise à jour des certificats de démarrage sécurisé sous Windows 11

Si vos certificats arrivent à expiration, Microsoft et le fabricant de votre ordinateur (OEM) déploieront automatiquement des mises à jour du microprogramme ou des mises à jour « DBX » via Windows Update ou les mises à jour système afin d’enregistrer les nouveaux certificats d’autorité de certification de 2023. Vous pouvez toutefois mettre à jour manuellement votre démarrage sécurisé.

Avertissement : Avant de procéder, assurez-vous d’avoir enregistré une clé de récupération BitLocker et que votre BIOS (UEFI) est à jour. Si le micrologiciel de votre ordinateur ne prend pas en charge les nouveaux certificats, votre ordinateur risque de ne plus démarrer après la mise à jour. Il est également recommandé d’effectuer une sauvegarde complète de votre ordinateur avant de continuer.

Ouvrez PowerShell (administrateur) et exécutez :

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

Cette commande définit la clé de registre qui indique au système d'exploitation de déployer tous les certificats requis (y compris le gestionnaire de démarrage signé PCA 2023).

La valeur 0x5944correspond au code de « mesure d’atténuation complète » qui active toutes les mises à jour de certificats pertinentes.

Windows 11 dispose d'une tâche intégrée qui traite ces modifications de certificats, et vous pouvez la déclencher manuellement pour éviter d'attendre 12 heures avec la commande suivante :

Démarrer-TâchePlanifiée -NomTâche "\Microsoft\Windows\PI\Secure-Boot-Update"

Microsoft remplace les certificats de démarrage sécurisé expirés sur Windows 11 – Tous les détails et comment mettre à jour le vôtre

PowerShell met à jour le certificat de démarrage sécurisé / Image : Mauro Huculak

La mise à jour nécessite généralement deux redémarrages pour être pleinement appliquée. Après le premier redémarrage, le système met à jour le gestionnaire de démarrage. Après le second, il finalise l'enregistrement du certificat dans la base de données UEFI.

Après le redémarrage, vous pouvez vérifier si « UEFI CA 2023 » est désormais présent dans votre base de données en exécutant la commande PowerShell suivante (en tant qu'administrateur) :

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

  • Vrai : Votre système est désormais sécurisé grâce aux nouveaux certificats.
  • Faux : Si le message reste faux après plusieurs redémarrages, le micrologiciel de la carte mère est peut-être trop ancien pour accepter le nouveau format de certificat. Consultez le site web du fabricant pour obtenir une mise à jour du BIOS relative au « démarrage sécurisé ».

Si BitLocker est actif, vous devrez peut-être désactiver temporairement le chiffrement ( Suspend-BitLocker -MountPoint "C:" -RebootCount 2) avant que le firmware puisse écrire avec succès les nouvelles clés sur l'appareil.

Laisser un commentaire

Comment télécharger le fichier ISO de Windows 11 24H2

Comment télécharger le fichier ISO de Windows 11 24H2

Pour télécharger le fichier ISO de Windows 11 24H2, ouvrez la page Microsoft, choisissez l'option image, sélectionnez la langue et cliquez sur Téléchargement 64 bits.

Comment éviter de payer les mises à jour après la fin du support de Windows 10 en 2025

Comment éviter de payer les mises à jour après la fin du support de Windows 10 en 2025

Pour éviter les 30 $ supplémentaires de frais de mise à jour de sécurité nécessaires pour continuer à utiliser Windows 10, il est préférable de passer à Windows 11 sur les PC compatibles et non compatibles.

Microsoft annonce quune « grande nouveauté » arrive sur Windows 11.

Microsoft annonce quune « grande nouveauté » arrive sur Windows 11.

Microsoft devrait annoncer une nouveauté importante pour Windows 11 jeudi, laissant entendre qu'une expérience vocale axée sur l'IA sera intégrée au système d'exploitation.

Comment créer une clé USB bootable Windows 11 pour un matériel non pris en charge

Comment créer une clé USB bootable Windows 11 pour un matériel non pris en charge

Vous installez Windows 11 sur un matériel non compatible ? Découvrez comment créer une clé USB bootable avec Rufus ou Ventoy pour contourner les restrictions liées au TPM, au démarrage sécurisé et autres.

Comment forcer la mise à niveau vers Windows 11 25H2 depuis la version 24H2 ?

Comment forcer la mise à niveau vers Windows 11 25H2 depuis la version 24H2 ?

Pour passer de Windows 10 24H2 à 25H2, utilisez l'option Télécharger et installer dans Windows Update ou installez manuellement la mise à jour KB5054156.

La build 26300.7674 (KB5074170) pour Windows 11 se concentre sur les corrections de bogues, et non sur les nouvelles fonctionnalités (Dev).

La build 26300.7674 (KB5074170) pour Windows 11 se concentre sur les corrections de bogues, et non sur les nouvelles fonctionnalités (Dev).

(KB5074170) La build 26300.7674 de Windows 11 est déployée auprès des Insiders avec des correctifs pour l'Explorateur de fichiers, le menu Démarrer, la recherche, les problèmes graphiques et les bogues connus.

Comment activer BitLocker sous Windows 11

Comment activer BitLocker sous Windows 11

Pour activer BitLocker sous Windows 11, ouvrez les paramètres de stockage, puis les paramètres BitLocker et activez la fonctionnalité. Les lecteurs amovibles utilisent BitLocker To Go.

Comment trouver la clé de récupération BitLocker sous Windows 11

Comment trouver la clé de récupération BitLocker sous Windows 11

Pour trouver la clé de récupération BitLocker de votre PC sous Windows 11 (ou 10), ouvrez votre compte Microsoft en ligne et confirmez la récupération sur la page Appareils.

Comment créer une clé USB bootable Windows 11 (ou 10) depuis macOS

Comment créer une clé USB bootable Windows 11 (ou 10) depuis macOS

Créer une clé USB d'installation pour Windows 11 (ou 10) depuis macOS est étonnamment complexe, mais pas impossible. Voici comment procéder.

La prise en charge de Microsoft Edge pour Windows 10 prendra fin en octobre 2028.

La prise en charge de Microsoft Edge pour Windows 10 prendra fin en octobre 2028.

Microsoft Edge sur Windows 10 continuera de recevoir des mises à jour au moins jusqu'en octobre 2028, bien après la fin officielle du support du système d'exploitation en 2025.