Le certificat du module de démarrage sécurisé de votre PC expire en juin 2026. À partir de la mise à jour de sécurité de janvier 2026 , Microsoft a entamé le déploiement progressif d'un nouveau certificat qui permettra à votre ordinateur de continuer à démarrer correctement et à recevoir les mises à jour de sécurité.
Sous Windows 11 , le démarrage sécurisé est une fonctionnalité de sécurité intégrée au microprogramme UEFI (Unified Extensible Firmware Interface) qui empêche toute modification non autorisée des fichiers système critiques au démarrage. Ainsi, l'appareil démarre uniquement avec les logiciels approuvés par le fabricant.
En d'autres termes, le démarrage sécurisé contribue à protéger vos appareils contre les logiciels malveillants de bas niveau (tels que les bootkits et les rootkits) qui peuvent infecter le processus de démarrage et prendre le contrôle de votre ordinateur avant même le chargement du système d'exploitation et de votre logiciel antivirus.
Comprendre les certificats de démarrage sécurisé
Dans le cadre de ce processus, la fonctionnalité utilise des clés cryptographiques (connues sous le nom d'autorités de certification (AC)) pour valider que les modules de firmware proviennent d'une source fiable, contribuant ainsi à empêcher l'exécution de logiciels malveillants pendant les premières étapes du démarrage de l'appareil.
Les certificats de démarrage sécurisé ont toujours eu une date d'expiration, car ils permettent de garantir que votre ordinateur continue de recevoir les mises à jour de sécurité et de démarrer correctement. C'est pourquoi vous devez installer les certificats de 2023 avant l'expiration des certificats d'autorité de certification de 2011, prévue en juin 2026.
Si vous possédez un appareil acheté en 2024 (ou après), il est probable que les certificats les plus récents soient déjà installés. Pour les autres ordinateurs, Microsoft déploie actuellement les nouveaux certificats de démarrage sécurisé via Windows Update.
Dans la mise à jour de sécurité « 2026-01 (KB5074109) (26200.7623) » déployée le 13 janvier 2026, l’éditeur de logiciels a indiqué que les mises à jour incluent désormais un sous-ensemble de données de ciblage des appareils à haute fiabilité permettant d’identifier les appareils éligibles à la réception automatique de nouveaux certificats de démarrage sécurisé. Ces certificats ne seront délivrés qu’après confirmation de la réussite de la mise à jour, garantissant ainsi un déploiement sûr et progressif.
Cela signifie que vous n'avez aucune action manuelle à effectuer pour mettre à jour le démarrage sécurisé , si ce n'est autoriser le système à recevoir les mises à jour. Du moins jusqu'à la disponibilité de la mise à jour de sécurité de juin 2026.
Vérifiez la date d'expiration du certificat de démarrage sécurisé
Comme vous ne recevrez pas de notification indiquant que votre ordinateur inclut désormais les dernières autorités de certification, il est important de vérifier si votre appareil a encore besoin d'une mise à jour.
Windows 11 ne dispose pas de commande native permettant d'afficher la date d'expiration du firmware de manière lisible. Toutefois, vous pouvez vérifier si vous possédez les certificats « mis à jour » de 2023 (qui remplacent ceux expirant en 2026) en suivant ces étapes :
Ouvrez PowerShell (administrateur) et exécutez :
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
Vérification de l'expiration du certificat de démarrage sécurisé avec PowerShell / Image : Mauro Huculak
Presque toutes les chaînes de démarrage sécurisé modernes s'appuient sur les certificats Microsoft de 2011, dont les dates d'expiration sont les suivantes :
À titre indicatif, voici ce que chaque certificat permet de faire :
Mise à jour des certificats de démarrage sécurisé sous Windows 11
Si vos certificats arrivent à expiration, Microsoft et le fabricant de votre ordinateur (OEM) déploieront automatiquement des mises à jour du microprogramme ou des mises à jour « DBX » via Windows Update ou les mises à jour système afin d’enregistrer les nouveaux certificats d’autorité de certification de 2023. Vous pouvez toutefois mettre à jour manuellement votre démarrage sécurisé.
Avertissement : Avant de procéder, assurez-vous d’avoir enregistré une clé de récupération BitLocker et que votre BIOS (UEFI) est à jour. Si le micrologiciel de votre ordinateur ne prend pas en charge les nouveaux certificats, votre ordinateur risque de ne plus démarrer après la mise à jour. Il est également recommandé d’effectuer une sauvegarde complète de votre ordinateur avant de continuer.
Ouvrez PowerShell (administrateur) et exécutez :
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f
Cette commande définit la clé de registre qui indique au système d'exploitation de déployer tous les certificats requis (y compris le gestionnaire de démarrage signé PCA 2023).
La valeur 0x5944correspond au code de « mesure d’atténuation complète » qui active toutes les mises à jour de certificats pertinentes.
Windows 11 dispose d'une tâche intégrée qui traite ces modifications de certificats, et vous pouvez la déclencher manuellement pour éviter d'attendre 12 heures avec la commande suivante :
Démarrer-TâchePlanifiée -NomTâche "\Microsoft\Windows\PI\Secure-Boot-Update"
PowerShell met à jour le certificat de démarrage sécurisé / Image : Mauro Huculak
La mise à jour nécessite généralement deux redémarrages pour être pleinement appliquée. Après le premier redémarrage, le système met à jour le gestionnaire de démarrage. Après le second, il finalise l'enregistrement du certificat dans la base de données UEFI.
Après le redémarrage, vous pouvez vérifier si « UEFI CA 2023 » est désormais présent dans votre base de données en exécutant la commande PowerShell suivante (en tant qu'administrateur) :
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
Si BitLocker est actif, vous devrez peut-être désactiver temporairement le chiffrement ( Suspend-BitLocker -MountPoint "C:" -RebootCount 2) avant que le firmware puisse écrire avec succès les nouvelles clés sur l'appareil.
La build 29550 pour Windows 11 arrive sur le canal Canary avec Emoji 16, des modifications de l'explorateur de fichiers, un partage de proximité amélioré et des paramètres d'alimentation mis à jour.
La mise à jour KB5079464 (build 26300.8068) pour Windows 11 arrive sur le canal Dev avec des mises à jour de la politique de réduction des applications inutiles, des améliorations de la configuration, des modifications de la sécurité des pilotes et plus encore.
Les mises à jour KB5077181 et KB5079473 de Windows 11 rendent l'accès au lecteur C impossible sur certains PC Samsung. Microsoft confirme la cause du problème et propose une solution de contournement.
La version 26120.4151 (KB5058486) pour Windows 11 est déployée sur le canal bêta avec de nouveaux paramètres avancés, une IA pour l'explorateur de fichiers et des modifications visuelles.
La mise à jour KB5058512 (build 26200.5622) pour Windows 11 est disponible avec des modifications de l'IA, l'exportation de rappel, les secondes de l'horloge et des améliorations de l'explorateur de fichiers dans le canal Dev.
La version 26200.5722 (KB5062669) pour Windows 11 25H2 (canal Dev) inclut de nouvelles fonctionnalités, des modifications et des correctifs. La version 24H2 reçoit la version 26120.5722.
La nouvelle fonctionnalité « Transférer vers un nouveau PC » de Windows 11 25H2 OOBE vous permet de migrer des fichiers et des paramètres lors de l'installation en utilisant le réseau local sans OneDrive.
La mise à jour KB5064093 (build 26200.5761) pour Windows 11 est déployée avec la reprise des applications Android, une nouvelle icône de batterie sur l'écran de verrouillage, des mises à jour de l'agent IA et des correctifs.
La build 27774 pour Windows 11 introduit la fonctionnalité de protection de l'administrateur et des modifications dans l'installation de Windows lors de la manipulation de partitions.
Pour télécharger le fichier ISO de Windows 8.1, ouvrez la page de téléchargement Microsoft, sélectionnez l'édition, la langue et cliquez sur le bouton de téléchargement.
