Microsoft a confirmé que les appareils dotés des certificats de démarrage sécurisé d'origine introduits en 2011 commenceront à expirer fin juin 2026, déclenchant une mise à jour de sécurité majeure qui affectera presque tous les ordinateurs modernes.
Le démarrage sécurisé est le mécanisme de sécurité intégré au micrologiciel UEFI (Unified Extensible Firmware Interface) qui s'exécute au démarrage, avant le chargement du système d'exploitation. Son objectif est de vérifier que seul du code de confiance, signé numériquement, peut s'exécuter au démarrage, bloquant ainsi les bootkits et autres menaces de bas niveau qui tentent de compromettre le système pendant cette phase. Depuis 15 ans, ce processus repose sur des certificats intégrés au micrologiciel du périphérique, mais ces certificats arrivent désormais en fin de vie.
Votre ordinateur cessera-t-il de fonctionner en 2026 ?
En résumé, non. Lorsque les certificats d'origine expirent, les ordinateurs continuent de démarrer et Windows 11 (ou 10) continue de se charger normalement. Les applications ne cesseront pas de fonctionner subitement et vous ne constaterez aucune interruption immédiate.
Cependant, les systèmes qui ne reçoivent pas les certificats de démarrage sécurisé mis à jour passeront dans un état de sécurité dégradé. Cela ne signifie pas pour autant que l'ordinateur est immédiatement vulnérable. Cela signifie simplement que l'appareil ne pourra plus accepter les futures mises à jour de la chaîne de confiance du démarrage sécurisé.
Au fil du temps, à mesure que de nouvelles vulnérabilités au niveau du démarrage sont découvertes, ces systèmes peuvent se trouver dans l'incapacité d'installer de nouvelles mesures de protection. La machine continue de fonctionner, mais ses protections au démarrage n'évoluent plus, et cette limitation à long terme est la véritable source d'inquiétude.
Pourquoi Microsoft remplace les certificats de démarrage sécurisé
Les certificats de sécurité ne sont pas conçus pour durer éternellement. À mesure que les normes de sécurité évoluent, les clés de chiffrement et les ancres de confiance doivent être mises à jour afin d'éviter que des identifiants obsolètes ne deviennent des failles de sécurité. L'expiration des certificats Secure Boot de 2011 était prévue dès le départ.
Ce qui rend cette transition si importante, c'est son ampleur. Le démarrage sécurisé fonctionne au niveau du microprogramme, et non pas seulement au sein du système d'exploitation. Sa mise à jour nécessite une coordination entre les services Windows 11 (et 10), les développeurs de microprogrammes et les fabricants de matériel, pour des millions de configurations d'appareils uniques à travers le monde.
Microsoft décrit cela comme l'un des plus importants efforts coordonnés de maintenance de sécurité à travers l'écosystème Windows.
Modalités de diffusion de la mise à jour
Le géant du logiciel a déjà commencé à déployer les nouveaux certificats de démarrage sécurisé via des mises à jour mensuelles régulières des versions prises en charge, notamment Windows 11 et 10. Pour la plupart des particuliers et des entreprises qui autorisent la société à gérer les mises à jour, celles-ci devraient s'effectuer automatiquement en arrière-plan.
Dans certains cas, notamment sur les matériels plus anciens, une mise à jour du micrologiciel par le fabricant peut être nécessaire avant que les nouveaux certificats puissent être appliqués. Microsoft indique avoir collaboré étroitement avec les principaux fabricants d'ordinateurs (tels que Dell, HP et Lenovo) afin de préparer les appareils à cette transition.
Presque tous les appareils fabriqués depuis 2024 incluent déjà les certificats mis à jour, et la quasi-totalité des systèmes livrés en 2025 en sont équipés d'office.
Qu’en est-il des versions de Windows non prises en charge ?
Les appareils exécutant des versions non prises en charge du système d'exploitation ne recevront pas les nouveaux certificats de démarrage sécurisé via Windows Update. Cela concerne notamment Windows 10 après la fin de son support en octobre 2025, sauf si l'appareil est inscrit au programme de mises à jour de sécurité étendues .
Ces systèmes continueront de fonctionner après l'expiration des certificats de 2011, mais leur capacité à bénéficier des futures améliorations de sécurité au niveau du démarrage restera limitée. À mesure que la plateforme évolue, leur vulnérabilité aux nouvelles menaces et aux problèmes de compatibilité avec les nouvelles versions de micrologiciels, de matériels ou de Windows pourrait s'accroître progressivement.
Que devez-vous faire maintenant ?
Pour la plupart des utilisateurs, la solution la plus sûre est simple : veillez à maintenir Windows 11 (et 10) à jour et assurez-vous que le micrologiciel de votre appareil est à jour en consultant la page d’assistance du fabricant. Microsoft a indiqué que des informations supplémentaires sur l’état des mises à jour de certificats seront disponibles dans l’application Sécurité Windows dans les prochains mois, offrant ainsi une meilleure visibilité sur le processus.
Vous pouvez toujours vérifier et mettre à jour manuellement le certificat de démarrage sécurisé en suivant ces instructions.
Les organisations gérant un grand nombre d'ordinateurs devraient considérer cela comme un exercice de validation et de planification du déploiement plutôt que comme une simple mise à jour du Patch Tuesday.
La build 29550 pour Windows 11 arrive sur le canal Canary avec Emoji 16, des modifications de l'explorateur de fichiers, un partage de proximité amélioré et des paramètres d'alimentation mis à jour.
La mise à jour KB5079464 (build 26300.8068) pour Windows 11 arrive sur le canal Dev avec des mises à jour de la politique de réduction des applications inutiles, des améliorations de la configuration, des modifications de la sécurité des pilotes et plus encore.
Les mises à jour KB5077181 et KB5079473 de Windows 11 rendent l'accès au lecteur C impossible sur certains PC Samsung. Microsoft confirme la cause du problème et propose une solution de contournement.
La version 26120.4151 (KB5058486) pour Windows 11 est déployée sur le canal bêta avec de nouveaux paramètres avancés, une IA pour l'explorateur de fichiers et des modifications visuelles.
La mise à jour KB5058512 (build 26200.5622) pour Windows 11 est disponible avec des modifications de l'IA, l'exportation de rappel, les secondes de l'horloge et des améliorations de l'explorateur de fichiers dans le canal Dev.
La version 26200.5722 (KB5062669) pour Windows 11 25H2 (canal Dev) inclut de nouvelles fonctionnalités, des modifications et des correctifs. La version 24H2 reçoit la version 26120.5722.
La nouvelle fonctionnalité « Transférer vers un nouveau PC » de Windows 11 25H2 OOBE vous permet de migrer des fichiers et des paramètres lors de l'installation en utilisant le réseau local sans OneDrive.
La mise à jour KB5064093 (build 26200.5761) pour Windows 11 est déployée avec la reprise des applications Android, une nouvelle icône de batterie sur l'écran de verrouillage, des mises à jour de l'agent IA et des correctifs.
La build 27774 pour Windows 11 introduit la fonctionnalité de protection de l'administrateur et des modifications dans l'installation de Windows lors de la manipulation de partitions.
Pour télécharger le fichier ISO de Windows 8.1, ouvrez la page de téléchargement Microsoft, sélectionnez l'édition, la langue et cliquez sur le bouton de téléchargement.
