Sous Windows 11 et Windows 10, Microsoft valide et met à jour progressivement les certificats de démarrage sécurisé via les mises à jour système standard. Dans la plupart des cas, il suffit d'installer les mises à jour de sécurité mensuelles pour garantir la conformité de votre appareil avant l'échéance de juin 2026.
Toutefois, si vous souhaitez vérifier ou appliquer vous-même les nouveaux certificats de démarrage sécurisé de 2023, vous pouvez effectuer la procédure manuellement. Ce guide vous accompagne pas à pas.
Le démarrage sécurisé est une fonctionnalité de sécurité intégrée au micrologiciel et faisant partie de l'interface UEFI (Unified Extensible Firmware Interface). Il garantit qu'un appareil ne démarre qu'avec des logiciels signés numériquement et approuvés par des autorités de certification reconnues. En validant les chargeurs de démarrage et les composants du micrologiciel avant le chargement du système d'exploitation, le démarrage sécurisé contribue à empêcher les rootkits et autres logiciels malveillants de bas niveau de compromettre le processus de démarrage.
Pour garantir cette protection, le démarrage sécurisé s'appuie sur des clés cryptographiques appelées autorités de certification (AC). Ces clés établissent une chaîne de confiance entre le micrologiciel et le système d'exploitation, bloquant ainsi tout code non signé ou altéré lors du démarrage initial.
Comme tous les certificats numériques, les autorités de certification Secure Boot ont une date d'expiration. Les certificats d'origine de 2011 expirent en juin 2026. Les systèmes doivent être équipés des certificats mis à jour de 2023 avant cette date afin d'éviter les erreurs de validation de confiance, les problèmes de démarrage ou d'éventuelles interruptions dans la réception des mises à jour ultérieures.
Les ordinateurs fabriqués en 2024 ou après sont généralement livrés avec les certificats de 2023 préinstallés. Pour le matériel plus ancien, Microsoft déploie les certificats mis à jour via Windows Update dans le cadre de la maintenance de sécurité continue, mais vous pouvez également installer et remplacer les nouveaux certificats manuellement.
Dans ce guide , je vais vous expliquer en détail les étapes à suivre pour vérifier et mettre à jour manuellement les certificats de démarrage sécurisé sur votre appareil Windows 11.
Important : Bien que ce processus ne soit pas destructif, il est tout de même recommandé d’effectuer une sauvegarde complète de votre ordinateur avant de continuer. Vous êtes prévenu.
Installez les certificats de démarrage sécurisé 2023 sur Windows 11
Si BitLocker est activé, vous devez désactiver temporairement le chiffrement dans PowerShell Suspend-BitLocker -MountPoint "C:" -RebootCount 2avant que le microprogramme puisse écrire correctement les nouvelles clés sur l'appareil. De plus, avant de continuer, assurez-vous que votre ordinateur est entièrement à jour avec la mise à jour de sécurité de février 2026 (KB5077181) ou une version ultérieure.
Pour mettre à jour les certificats de démarrage sécurisé avant leur expiration en 2026, suivez ces étapes :
Ouvrir Démarrer .
Recherchez PowerShell (ou Terminal ), cliquez avec le bouton droit sur le premier résultat et choisissez l' option Exécuter en tant qu'administrateur .
Saisissez cette commande pour confirmer que l'appareil utilise l'UEFI avec le démarrage sécurisé activé, puis appuyez sur Entrée :
Confirmer-Démarrage sécurisé UEFI
Remarque importante : si le résultat est « Vrai », vous pouvez suivre les étapes ci-dessous. Sinon, vous devrez activer le démarrage sécurisé . Si vous utilisez Windows 10, il se peut même que vous deviez passer du BIOS traditionnel à l’UEFI .
Saisissez cette commande pour vérifier la date d'expiration des certificats de démarrage sécurisé et appuyez sur Entrée :
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
(Résultat 1) Si le résultat est « Vrai », vous disposez du nouveau certificat (valide jusqu’en 2053). Arrêtez-vous et ne poursuivez pas.
(Résultat 2) Si le résultat est « Faux », vous utilisez probablement encore le certificat de 2011 (qui expire en 2026). Suivez les étapes ci-dessous.
Saisissez cette commande pour définir la clé de registre afin de déployer tous les certificats requis et appuyez sur Entrée :
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f
Saisissez cette commande pour déclencher manuellement les modifications du certificat et appuyez sur Entrée :
Démarrer-TâchePlanifiée -NomTâche "\Microsoft\Windows\PI\Secure-Boot-Update"
Redémarrez l'ordinateur une fois.
Redémarrez l'appareil une seconde fois et poursuivez la procédure de vérification des certificats.
Note importante : La mise à jour nécessite généralement deux redémarrages pour être pleinement appliquée. Après le premier redémarrage, le système met à jour le gestionnaire de démarrage. Après le second, il finalise l’enregistrement du certificat dans la base de données UEFI.
Ouvrir Démarrer .
Recherchez PowerShell (ou Terminal ), cliquez avec le bouton droit sur le premier résultat et choisissez l'option Exécuter en tant qu'administrateur.
Saisissez cette commande pour vérifier si la mise à jour s'est terminée correctement et appuyez sur Entrée :
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
Une fois les étapes terminées, si le résultat est « Vrai », vos nouveaux certificats (valides jusqu'en 2053) sont correctement installés sur votre ordinateur. Si le résultat est « Faux », l'installation des certificats a échoué.
Il est important de noter que la valeur « Vrai » confirme l’inscription de l’autorité de certification de 2023, mais ne supprime pas systématiquement et immédiatement le certificat de 2011. Certains systèmes peuvent afficher temporairement les deux.
Si le résultat reste « Faux » après le processus, consultez l’Observateur d’événements > Journaux des applications et des services > Microsoft > Windows > SecureBoot-Update pour rechercher d’éventuelles erreurs. Vérifiez également l’existence de la tâche planifiée en exécutant la Get-ScheduledTask -TaskName "Secure-Boot-Update"commande.
Après la mise à jour, si vous avez dû désactiver BitLocker, vous pouvez réactiver le chiffrement en exécutant la Resume-BitLocker -MountPoint "C:"commande, même s'il -RebootCount 2se réactive automatiquement après deux redémarrages.
Il est important de noter que les certificats de démarrage sécurisé de 2023 ne sont pas apparus par magie. Microsoft les intègre aux mises à jour de maintenance de Windows, généralement dans le cadre d'une mise à jour cumulative ou d'une mise à jour de sécurité pour Windows 11 et les appareils Windows 10 compatibles.
En réalité, la société intègre les nouveaux certificats de démarrage sécurisé depuis la publication de la mise à jour de sécurité de février 2026 (et des versions ultérieures).
Ces certificats, connus sous le nom de Windows UEFI CA 2023, sont signés numériquement par Microsoft et approuvés par Secure Boot.
Si les certificats sont déjà sur votre ordinateur, ces instructions vous aideront à les appliquer immédiatement sans attendre que le système effectue la mise à jour automatiquement.
Pour créer une clé USB Windows 11 24H2 avec Rufus, ouvrez l'outil, choisissez « Ouvrir une image ISO existante ou télécharger une image ISO » et sélectionnez l'option personnalisée. Voici la marche à suivre.
Pour télécharger le fichier ISO de Windows 11, vous pouvez utiliser le site web de Microsoft, l'outil de création de supports d'impression, Rufus et UUP Dump. Voici comment procéder.
Microsoft déploie la mise à jour Patch Tuesday d'août 2025 avec des modifications et des correctifs pour Windows 10.
WhyNotWin11 est plus performant que l'application Microsoft PC Health Check pour vous indiquer pourquoi votre PC ne peut pas exécuter Windows 11, notamment en ce qui concerne la prise en charge du TPM 2.0 et du processeur.
Avant d'installer Windows 11, vous devez vérifier la compatibilité, activer TPM 2.0 et le démarrage sécurisé, créer une sauvegarde, supprimer les applications, réparer les fichiers et…
Recall pour Windows 11 est une fonctionnalité d'intelligence artificielle qui enregistre toutes vos activités sur l'ordinateur et permet de les retrouver facilement. Voici tout ce qu'il faut savoir.
Pour réinstaller Windows 11, ouvrez Paramètres > Système > Récupération, cliquez sur Réinstaller maintenant puis sur OK, ou utilisez l'option Réinitialiser ce PC en conservant vos fichiers.
Pour utiliser Copilot Vision sous Windows 11, ouvrez l'application Copilot, cliquez sur l'icône des lunettes Vision, choisissez l'application, puis cliquez sur Partager.
L'application PC Manager pour Windows 11 est disponible sur le site web de Microsoft ; il s'agit d'une application permettant d'améliorer les performances du système et de sécuriser l'appareil.
Optimisez gratuitement les performances de Windows 11 grâce à des astuces éprouvées, sans matériel ni logiciel supplémentaire. Apprenez à accélérer votre PC à l'aide des outils intégrés.
