Microsoft explique les risques de sécurité liés à lexpiration des certificats de démarrage sécurisé en 2026 sur Windows 11

  • Les certificats de démarrage sécurisé introduits en 2011 expirent fin juin 2026.
  • Les ordinateurs continueront de démarrer normalement après l'expiration du délai.
  • Les appareils dont les certificats ne sont pas mis à jour passent dans un état de sécurité dégradé.
  • Les appareils Windows 11 et Windows 10 compatibles reçoivent automatiquement les mises à jour via Windows Update.
  • Les systèmes non pris en charge, notamment Windows 10 après octobre 2025 sans ESU, ne recevront pas les nouveaux certificats.

Microsoft a confirmé que les appareils dotés des certificats de démarrage sécurisé d'origine introduits en 2011 commenceront à expirer fin juin 2026, déclenchant une mise à jour de sécurité majeure qui affectera presque tous les ordinateurs modernes.

Le démarrage sécurisé est le mécanisme de sécurité intégré au micrologiciel UEFI (Unified Extensible Firmware Interface) qui s'exécute au démarrage, avant le chargement du système d'exploitation. Son objectif est de vérifier que seul du code de confiance, signé numériquement, peut s'exécuter au démarrage, bloquant ainsi les bootkits et autres menaces de bas niveau qui tentent de compromettre le système pendant cette phase. Depuis 15 ans, ce processus repose sur des certificats intégrés au micrologiciel du périphérique, mais ces certificats arrivent désormais en fin de vie.

Votre ordinateur cessera-t-il de fonctionner en 2026 ?

 

En résumé, non. Lorsque les certificats d'origine expirent, les ordinateurs continuent de démarrer et Windows 11 (ou 10) continue de se charger normalement. Les applications ne cesseront pas de fonctionner subitement et vous ne constaterez aucune interruption immédiate.

Cependant, les systèmes qui ne reçoivent pas les certificats de démarrage sécurisé mis à jour passeront dans un état de sécurité dégradé. Cela ne signifie pas pour autant que l'ordinateur est immédiatement vulnérable. Cela signifie simplement que l'appareil ne pourra plus accepter les futures mises à jour de la chaîne de confiance du démarrage sécurisé.

Au fil du temps, à mesure que de nouvelles vulnérabilités au niveau du démarrage sont découvertes, ces systèmes peuvent se trouver dans l'incapacité d'installer de nouvelles mesures de protection. La machine continue de fonctionner, mais ses protections au démarrage n'évoluent plus, et cette limitation à long terme est la véritable source d'inquiétude.

Pourquoi Microsoft remplace les certificats de démarrage sécurisé

Les certificats de sécurité ne sont pas conçus pour durer éternellement. À mesure que les normes de sécurité évoluent, les clés de chiffrement et les ancres de confiance doivent être mises à jour afin d'éviter que des identifiants obsolètes ne deviennent des failles de sécurité. L'expiration des certificats Secure Boot de 2011 était prévue dès le départ.

Ce qui rend cette transition si importante, c'est son ampleur. Le démarrage sécurisé fonctionne au niveau du microprogramme, et non pas seulement au sein du système d'exploitation. Sa mise à jour nécessite une coordination entre les services Windows 11 (et 10), les développeurs de microprogrammes et les fabricants de matériel, pour des millions de configurations d'appareils uniques à travers le monde.

Microsoft décrit cela comme l'un des plus importants efforts coordonnés de maintenance de sécurité à travers l'écosystème Windows.

Modalités de diffusion de la mise à jour

Le géant du logiciel a déjà commencé à déployer les nouveaux certificats de démarrage sécurisé via des mises à jour mensuelles régulières des versions prises en charge, notamment Windows 11 et 10. Pour la plupart des particuliers et des entreprises qui autorisent la société à gérer les mises à jour, celles-ci devraient s'effectuer automatiquement en arrière-plan.

Dans certains cas, notamment sur les matériels plus anciens, une mise à jour du micrologiciel par le fabricant peut être nécessaire avant que les nouveaux certificats puissent être appliqués. Microsoft indique avoir collaboré étroitement avec les principaux fabricants d'ordinateurs (tels que Dell, HP et Lenovo) afin de préparer les appareils à cette transition.

Presque tous les appareils fabriqués depuis 2024 incluent déjà les certificats mis à jour, et la quasi-totalité des systèmes livrés en 2025 en sont équipés d'office.

Qu’en est-il des versions de Windows non prises en charge ?

Les appareils exécutant des versions non prises en charge du système d'exploitation ne recevront pas les nouveaux certificats de démarrage sécurisé via Windows Update. Cela concerne notamment Windows 10 après la fin de son support en octobre 2025, sauf si l'appareil est inscrit au programme de mises à jour de sécurité étendues .

Ces systèmes continueront de fonctionner après l'expiration des certificats de 2011, mais leur capacité à bénéficier des futures améliorations de sécurité au niveau du démarrage restera limitée. À mesure que la plateforme évolue, leur vulnérabilité aux nouvelles menaces et aux problèmes de compatibilité avec les nouvelles versions de micrologiciels, de matériels ou de Windows pourrait s'accroître progressivement.

Que devez-vous faire maintenant ?

Pour la plupart des utilisateurs, la solution la plus sûre est simple : veillez à maintenir Windows 11 (et 10) à jour et assurez-vous que le micrologiciel de votre appareil est à jour en consultant la page d’assistance du fabricant. Microsoft a indiqué que des informations supplémentaires sur l’état des mises à jour de certificats seront disponibles dans l’application Sécurité Windows dans les prochains mois, offrant ainsi une meilleure visibilité sur le processus.

Vous pouvez toujours vérifier et mettre à jour manuellement le certificat de démarrage sécurisé en suivant ces instructions.

Les organisations gérant un grand nombre d'ordinateurs devraient considérer cela comme un exercice de validation et de planification du déploiement plutôt que comme une simple mise à jour du Patch Tuesday.

Laisser un commentaire

Comment télécharger le fichier ISO de Windows 11 24H2

Comment télécharger le fichier ISO de Windows 11 24H2

Pour télécharger le fichier ISO de Windows 11 24H2, ouvrez la page Microsoft, choisissez l'option image, sélectionnez la langue et cliquez sur Téléchargement 64 bits.

Comment éviter de payer les mises à jour après la fin du support de Windows 10 en 2025

Comment éviter de payer les mises à jour après la fin du support de Windows 10 en 2025

Pour éviter les 30 $ supplémentaires de frais de mise à jour de sécurité nécessaires pour continuer à utiliser Windows 10, il est préférable de passer à Windows 11 sur les PC compatibles et non compatibles.

Microsoft annonce quune « grande nouveauté » arrive sur Windows 11.

Microsoft annonce quune « grande nouveauté » arrive sur Windows 11.

Microsoft devrait annoncer une nouveauté importante pour Windows 11 jeudi, laissant entendre qu'une expérience vocale axée sur l'IA sera intégrée au système d'exploitation.

Comment créer une clé USB bootable Windows 11 pour un matériel non pris en charge

Comment créer une clé USB bootable Windows 11 pour un matériel non pris en charge

Vous installez Windows 11 sur un matériel non compatible ? Découvrez comment créer une clé USB bootable avec Rufus ou Ventoy pour contourner les restrictions liées au TPM, au démarrage sécurisé et autres.

Comment forcer la mise à niveau vers Windows 11 25H2 depuis la version 24H2 ?

Comment forcer la mise à niveau vers Windows 11 25H2 depuis la version 24H2 ?

Pour passer de Windows 10 24H2 à 25H2, utilisez l'option Télécharger et installer dans Windows Update ou installez manuellement la mise à jour KB5054156.

La build 26300.7674 (KB5074170) pour Windows 11 se concentre sur les corrections de bogues, et non sur les nouvelles fonctionnalités (Dev).

La build 26300.7674 (KB5074170) pour Windows 11 se concentre sur les corrections de bogues, et non sur les nouvelles fonctionnalités (Dev).

(KB5074170) La build 26300.7674 de Windows 11 est déployée auprès des Insiders avec des correctifs pour l'Explorateur de fichiers, le menu Démarrer, la recherche, les problèmes graphiques et les bogues connus.

Comment activer BitLocker sous Windows 11

Comment activer BitLocker sous Windows 11

Pour activer BitLocker sous Windows 11, ouvrez les paramètres de stockage, puis les paramètres BitLocker et activez la fonctionnalité. Les lecteurs amovibles utilisent BitLocker To Go.

Comment trouver la clé de récupération BitLocker sous Windows 11

Comment trouver la clé de récupération BitLocker sous Windows 11

Pour trouver la clé de récupération BitLocker de votre PC sous Windows 11 (ou 10), ouvrez votre compte Microsoft en ligne et confirmez la récupération sur la page Appareils.

Comment créer une clé USB bootable Windows 11 (ou 10) depuis macOS

Comment créer une clé USB bootable Windows 11 (ou 10) depuis macOS

Créer une clé USB d'installation pour Windows 11 (ou 10) depuis macOS est étonnamment complexe, mais pas impossible. Voici comment procéder.

La prise en charge de Microsoft Edge pour Windows 10 prendra fin en octobre 2028.

La prise en charge de Microsoft Edge pour Windows 10 prendra fin en octobre 2028.

Microsoft Edge sur Windows 10 continuera de recevoir des mises à jour au moins jusqu'en octobre 2028, bien après la fin officielle du support du système d'exploitation en 2025.