Sous Windows 11 et Windows 10, Microsoft valide et met à jour progressivement les certificats de démarrage sécurisé via les mises à jour système standard. Dans la plupart des cas, il suffit d'installer les mises à jour de sécurité mensuelles pour garantir la conformité de votre appareil avant l'échéance de juin 2026.
Toutefois, si vous souhaitez vérifier ou appliquer vous-même les nouveaux certificats de démarrage sécurisé de 2023, vous pouvez effectuer la procédure manuellement. Ce guide vous accompagne pas à pas.
Le démarrage sécurisé est une fonctionnalité de sécurité intégrée au micrologiciel et faisant partie de l'interface UEFI (Unified Extensible Firmware Interface). Il garantit qu'un appareil ne démarre qu'avec des logiciels signés numériquement et approuvés par des autorités de certification reconnues. En validant les chargeurs de démarrage et les composants du micrologiciel avant le chargement du système d'exploitation, le démarrage sécurisé contribue à empêcher les rootkits et autres logiciels malveillants de bas niveau de compromettre le processus de démarrage.
Pour garantir cette protection, le démarrage sécurisé s'appuie sur des clés cryptographiques appelées autorités de certification (AC). Ces clés établissent une chaîne de confiance entre le micrologiciel et le système d'exploitation, bloquant ainsi tout code non signé ou altéré lors du démarrage initial.
Comme tous les certificats numériques, les autorités de certification Secure Boot ont une date d'expiration. Les certificats d'origine de 2011 expirent en juin 2026. Les systèmes doivent être équipés des certificats mis à jour de 2023 avant cette date afin d'éviter les erreurs de validation de confiance, les problèmes de démarrage ou d'éventuelles interruptions dans la réception des mises à jour ultérieures.
Les ordinateurs fabriqués en 2024 ou après sont généralement livrés avec les certificats de 2023 préinstallés. Pour le matériel plus ancien, Microsoft déploie les certificats mis à jour via Windows Update dans le cadre de la maintenance de sécurité continue, mais vous pouvez également installer et remplacer les nouveaux certificats manuellement.
Dans ce guide , je vais vous expliquer en détail les étapes à suivre pour vérifier et mettre à jour manuellement les certificats de démarrage sécurisé sur votre appareil Windows 11.
Important : Bien que ce processus ne soit pas destructif, il est tout de même recommandé d’effectuer une sauvegarde complète de votre ordinateur avant de continuer. Vous êtes prévenu.
Installez les certificats de démarrage sécurisé 2023 sur Windows 11
Si BitLocker est activé, vous devez désactiver temporairement le chiffrement dans PowerShell Suspend-BitLocker -MountPoint "C:" -RebootCount 2avant que le microprogramme puisse écrire correctement les nouvelles clés sur l'appareil. De plus, avant de continuer, assurez-vous que votre ordinateur est entièrement à jour avec la mise à jour de sécurité de février 2026 (KB5077181) ou une version ultérieure.
Pour mettre à jour les certificats de démarrage sécurisé avant leur expiration en 2026, suivez ces étapes :
Ouvrir Démarrer .
Recherchez PowerShell (ou Terminal ), cliquez avec le bouton droit sur le premier résultat et choisissez l' option Exécuter en tant qu'administrateur .
Saisissez cette commande pour confirmer que l'appareil utilise l'UEFI avec le démarrage sécurisé activé, puis appuyez sur Entrée :
Confirmer-Démarrage sécurisé UEFI
Remarque importante : si le résultat est « Vrai », vous pouvez suivre les étapes ci-dessous. Sinon, vous devrez activer le démarrage sécurisé . Si vous utilisez Windows 10, il se peut même que vous deviez passer du BIOS traditionnel à l’UEFI .
Saisissez cette commande pour vérifier la date d'expiration des certificats de démarrage sécurisé et appuyez sur Entrée :
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
(Résultat 1) Si le résultat est « Vrai », vous disposez du nouveau certificat (valide jusqu’en 2053). Arrêtez-vous et ne poursuivez pas.
(Résultat 2) Si le résultat est « Faux », vous utilisez probablement encore le certificat de 2011 (qui expire en 2026). Suivez les étapes ci-dessous.
Saisissez cette commande pour définir la clé de registre afin de déployer tous les certificats requis et appuyez sur Entrée :
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f
Saisissez cette commande pour déclencher manuellement les modifications du certificat et appuyez sur Entrée :
Démarrer-TâchePlanifiée -NomTâche "\Microsoft\Windows\PI\Secure-Boot-Update"
Redémarrez l'ordinateur une fois.
Redémarrez l'appareil une seconde fois et poursuivez la procédure de vérification des certificats.
Note importante : La mise à jour nécessite généralement deux redémarrages pour être pleinement appliquée. Après le premier redémarrage, le système met à jour le gestionnaire de démarrage. Après le second, il finalise l’enregistrement du certificat dans la base de données UEFI.
Ouvrir Démarrer .
Recherchez PowerShell (ou Terminal ), cliquez avec le bouton droit sur le premier résultat et choisissez l'option Exécuter en tant qu'administrateur.
Saisissez cette commande pour vérifier si la mise à jour s'est terminée correctement et appuyez sur Entrée :
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
Une fois les étapes terminées, si le résultat est « Vrai », vos nouveaux certificats (valides jusqu'en 2053) sont correctement installés sur votre ordinateur. Si le résultat est « Faux », l'installation des certificats a échoué.
Il est important de noter que la valeur « Vrai » confirme l’inscription de l’autorité de certification de 2023, mais ne supprime pas systématiquement et immédiatement le certificat de 2011. Certains systèmes peuvent afficher temporairement les deux.
Si le résultat reste « Faux » après le processus, consultez l’Observateur d’événements > Journaux des applications et des services > Microsoft > Windows > SecureBoot-Update pour rechercher d’éventuelles erreurs. Vérifiez également l’existence de la tâche planifiée en exécutant la Get-ScheduledTask -TaskName "Secure-Boot-Update"commande.
Après la mise à jour, si vous avez dû désactiver BitLocker, vous pouvez réactiver le chiffrement en exécutant la Resume-BitLocker -MountPoint "C:"commande, même s'il -RebootCount 2se réactive automatiquement après deux redémarrages.
Il est important de noter que les certificats de démarrage sécurisé de 2023 ne sont pas apparus par magie. Microsoft les intègre aux mises à jour de maintenance de Windows, généralement dans le cadre d'une mise à jour cumulative ou d'une mise à jour de sécurité pour Windows 11 et les appareils Windows 10 compatibles.
En réalité, la société intègre les nouveaux certificats de démarrage sécurisé depuis la publication de la mise à jour de sécurité de février 2026 (et des versions ultérieures).
Ces certificats, connus sous le nom de Windows UEFI CA 2023, sont signés numériquement par Microsoft et approuvés par Secure Boot.
Si les certificats sont déjà sur votre ordinateur, ces instructions vous aideront à les appliquer immédiatement sans attendre que le système effectue la mise à jour automatiquement.
Pour télécharger gratuitement VMware Workstation Pro, vous devez vous inscrire sur le site de Broadcom, télécharger le programme d'installation et suivre ces instructions.
Vérifiez la température de votre SSD et de votre disque dur sous Windows 11 à l'aide des Paramètres, de PowerShell ou de CrystalDiskInfo afin d'éviter la surchauffe et la perte de données.
Pour activer les fonctionnalités cachées de Windows 11 (versions Insider), ouvrez l'invite de commandes (administrateur) et exécutez la commande suivante : vivetool /enable /id:ID-DE-LA-FONCTIONNALITÉ-ACTIVABLE
Microsoft confirme un bug empêchant le fonctionnement de l'outil de création de supports d'installation sur Windows 10, mais voici comment télécharger l'ISO de Windows 11 pour effectuer la mise à niveau en toute sécurité.
Il existe plusieurs façons de vérifier si Windows 11 est installé sur un PC : vérifier le nouveau bouton Démarrer bleu, la barre des tâches centrée, la version Windows (winver) et les paramètres « À propos ».
Pour télécharger l'ISO de Windows 11 24H2 après la sortie de la version 25H2, utilisez UUP Dump pour créer une ISO personnalisée, puis utilisez Rufus pour créer un programme d'installation USB amorçable.
Utilisez RyTuneX pour désactiver la télémétrie, les services de suivi et la collecte de données en arrière-plan de Windows 11 sans modifier le Registre.
Empêchez Windows 11 d'envoyer des données inutiles à Microsoft. Limitez la télémétrie et protégez votre vie privée en suivant ces étapes simples.
Après avoir créé une machine virtuelle, vous devez installer les additions invité VirtualBox sur Windows 10 pour une meilleure convivialité et de meilleures performances – voici comment faire.
Activez manuellement les nouvelles fonctionnalités de la mise à jour Windows 11 24H2 de juillet 2025 (build 26100.4652, KB5062553) à l'aide de ViVeTool pour un accès anticipé.
