Le certificat du module de démarrage sécurisé de votre PC expire en juin 2026. À partir de la mise à jour de sécurité de janvier 2026 , Microsoft a entamé le déploiement progressif d'un nouveau certificat qui permettra à votre ordinateur de continuer à démarrer correctement et à recevoir les mises à jour de sécurité.
Sous Windows 11 , le démarrage sécurisé est une fonctionnalité de sécurité intégrée au microprogramme UEFI (Unified Extensible Firmware Interface) qui empêche toute modification non autorisée des fichiers système critiques au démarrage. Ainsi, l'appareil démarre uniquement avec les logiciels approuvés par le fabricant.
En d'autres termes, le démarrage sécurisé contribue à protéger vos appareils contre les logiciels malveillants de bas niveau (tels que les bootkits et les rootkits) qui peuvent infecter le processus de démarrage et prendre le contrôle de votre ordinateur avant même le chargement du système d'exploitation et de votre logiciel antivirus.
Comprendre les certificats de démarrage sécurisé
Dans le cadre de ce processus, la fonctionnalité utilise des clés cryptographiques (connues sous le nom d'autorités de certification (AC)) pour valider que les modules de firmware proviennent d'une source fiable, contribuant ainsi à empêcher l'exécution de logiciels malveillants pendant les premières étapes du démarrage de l'appareil.
Les certificats de démarrage sécurisé ont toujours eu une date d'expiration, car ils permettent de garantir que votre ordinateur continue de recevoir les mises à jour de sécurité et de démarrer correctement. C'est pourquoi vous devez installer les certificats de 2023 avant l'expiration des certificats d'autorité de certification de 2011, prévue en juin 2026.
Si vous possédez un appareil acheté en 2024 (ou après), il est probable que les certificats les plus récents soient déjà installés. Pour les autres ordinateurs, Microsoft déploie actuellement les nouveaux certificats de démarrage sécurisé via Windows Update.
Dans la mise à jour de sécurité « 2026-01 (KB5074109) (26200.7623) » déployée le 13 janvier 2026, l’éditeur de logiciels a indiqué que les mises à jour incluent désormais un sous-ensemble de données de ciblage des appareils à haute fiabilité permettant d’identifier les appareils éligibles à la réception automatique de nouveaux certificats de démarrage sécurisé. Ces certificats ne seront délivrés qu’après confirmation de la réussite de la mise à jour, garantissant ainsi un déploiement sûr et progressif.
Cela signifie que vous n'avez aucune action manuelle à effectuer pour mettre à jour le démarrage sécurisé , si ce n'est autoriser le système à recevoir les mises à jour. Du moins jusqu'à la disponibilité de la mise à jour de sécurité de juin 2026.
Vérifiez la date d'expiration du certificat de démarrage sécurisé
Comme vous ne recevrez pas de notification indiquant que votre ordinateur inclut désormais les dernières autorités de certification, il est important de vérifier si votre appareil a encore besoin d'une mise à jour.
Windows 11 ne dispose pas de commande native permettant d'afficher la date d'expiration du firmware de manière lisible. Toutefois, vous pouvez vérifier si vous possédez les certificats « mis à jour » de 2023 (qui remplacent ceux expirant en 2026) en suivant ces étapes :
Ouvrez PowerShell (administrateur) et exécutez :
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
Vérification de l'expiration du certificat de démarrage sécurisé avec PowerShell / Image : Mauro Huculak
Presque toutes les chaînes de démarrage sécurisé modernes s'appuient sur les certificats Microsoft de 2011, dont les dates d'expiration sont les suivantes :
À titre indicatif, voici ce que chaque certificat permet de faire :
Mise à jour des certificats de démarrage sécurisé sous Windows 11
Si vos certificats arrivent à expiration, Microsoft et le fabricant de votre ordinateur (OEM) déploieront automatiquement des mises à jour du microprogramme ou des mises à jour « DBX » via Windows Update ou les mises à jour système afin d’enregistrer les nouveaux certificats d’autorité de certification de 2023. Vous pouvez toutefois mettre à jour manuellement votre démarrage sécurisé.
Avertissement : Avant de procéder, assurez-vous d’avoir enregistré une clé de récupération BitLocker et que votre BIOS (UEFI) est à jour. Si le micrologiciel de votre ordinateur ne prend pas en charge les nouveaux certificats, votre ordinateur risque de ne plus démarrer après la mise à jour. Il est également recommandé d’effectuer une sauvegarde complète de votre ordinateur avant de continuer.
Ouvrez PowerShell (administrateur) et exécutez :
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f
Cette commande définit la clé de registre qui indique au système d'exploitation de déployer tous les certificats requis (y compris le gestionnaire de démarrage signé PCA 2023).
La valeur 0x5944correspond au code de « mesure d’atténuation complète » qui active toutes les mises à jour de certificats pertinentes.
Windows 11 dispose d'une tâche intégrée qui traite ces modifications de certificats, et vous pouvez la déclencher manuellement pour éviter d'attendre 12 heures avec la commande suivante :
Démarrer-TâchePlanifiée -NomTâche "\Microsoft\Windows\PI\Secure-Boot-Update"
PowerShell met à jour le certificat de démarrage sécurisé / Image : Mauro Huculak
La mise à jour nécessite généralement deux redémarrages pour être pleinement appliquée. Après le premier redémarrage, le système met à jour le gestionnaire de démarrage. Après le second, il finalise l'enregistrement du certificat dans la base de données UEFI.
Après le redémarrage, vous pouvez vérifier si « UEFI CA 2023 » est désormais présent dans votre base de données en exécutant la commande PowerShell suivante (en tant qu'administrateur) :
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
Si BitLocker est actif, vous devrez peut-être désactiver temporairement le chiffrement ( Suspend-BitLocker -MountPoint "C:" -RebootCount 2) avant que le firmware puisse écrire avec succès les nouvelles clés sur l'appareil.
Pour créer une clé USB Windows 11 24H2 avec Rufus, ouvrez l'outil, choisissez « Ouvrir une image ISO existante ou télécharger une image ISO » et sélectionnez l'option personnalisée. Voici la marche à suivre.
Pour télécharger le fichier ISO de Windows 11, vous pouvez utiliser le site web de Microsoft, l'outil de création de supports d'impression, Rufus et UUP Dump. Voici comment procéder.
Microsoft déploie la mise à jour Patch Tuesday d'août 2025 avec des modifications et des correctifs pour Windows 10.
WhyNotWin11 est plus performant que l'application Microsoft PC Health Check pour vous indiquer pourquoi votre PC ne peut pas exécuter Windows 11, notamment en ce qui concerne la prise en charge du TPM 2.0 et du processeur.
Avant d'installer Windows 11, vous devez vérifier la compatibilité, activer TPM 2.0 et le démarrage sécurisé, créer une sauvegarde, supprimer les applications, réparer les fichiers et…
Recall pour Windows 11 est une fonctionnalité d'intelligence artificielle qui enregistre toutes vos activités sur l'ordinateur et permet de les retrouver facilement. Voici tout ce qu'il faut savoir.
Pour réinstaller Windows 11, ouvrez Paramètres > Système > Récupération, cliquez sur Réinstaller maintenant puis sur OK, ou utilisez l'option Réinitialiser ce PC en conservant vos fichiers.
Pour utiliser Copilot Vision sous Windows 11, ouvrez l'application Copilot, cliquez sur l'icône des lunettes Vision, choisissez l'application, puis cliquez sur Partager.
L'application PC Manager pour Windows 11 est disponible sur le site web de Microsoft ; il s'agit d'une application permettant d'améliorer les performances du système et de sécuriser l'appareil.
Optimisez gratuitement les performances de Windows 11 grâce à des astuces éprouvées, sans matériel ni logiciel supplémentaire. Apprenez à accélérer votre PC à l'aide des outils intégrés.
