Microsoft a averti que les certificats Secure Boot originaux, introduits en 2011, expireront en juin et octobre 2026, risquant de laisser certains PC dans un état de sécurité dégradé. L'entreprise déploie des mises à jour via Windows Update pour les systèmes pris en charge afin d'installer de nouveaux certificats et de maintenir les protections au niveau du démarrage. Les utilisateurs de Windows 11 et les appareils Windows 10 inscrits doivent vérifier ces mises à jour rapidement.
Secure Boot, une fonctionnalité introduite avec Windows 8 pour vérifier les chargeurs de démarrage des PC et empêcher le chargement de logiciels non vérifiés au démarrage, repose sur des certificats datant de 2011. Ces certificats expireront en juin et octobre 2026, comme souligné dans un récent article de blog Microsoft par Nuno Costa, chef de programme dans la division Windows Servicing and Delivery. Sans les nouveaux certificats, les appareils affectés continueront de fonctionner normalement avec les logiciels existants, mais entreront dans un état de sécurité dégradé. Cela limite leur capacité à recevoir de futures protections au niveau du démarrage contre les vulnérabilités récemment découvertes. À terme, de tels systèmes risquent des problèmes de compatibilité avec les systèmes d'exploitation plus récents, les firmwares, le matériel ou les logiciels dépendants de Secure Boot qui s'appuient sur les certificats mis à jour de l'ère 2023. «Si un appareil ne reçoit pas les nouveaux certificats Secure Boot avant l'expiration des certificats de 2011, le PC continuera de fonctionner normalement et les logiciels existants continueront de s'exécuter», a écrit Costa. Il a ajouté que la mise à jour représente «un rafraîchissement générationnel de la base de confiance sur laquelle s'appuient les PC modernes au démarrage». Microsoft fournit les nouveaux certificats via Windows Update pour les versions prises en charge : Windows 11 (version 24H2 ou 25H2) et les appareils Windows 10 inscrits dans le programme Extended Security Updates (ESU). Les versions Windows non prises en charge ne les recevront pas. Le processus de rafraîchissement commence en mars 2026 pour les utilisateurs éligibles, de nombreux systèmes de 2024 et presque tous ceux de 2025 incluant déjà les certificats dans leur firmware. Pour vérifier si un PC dispose des nouveaux certificats, les utilisateurs peuvent exécuter une commande PowerShell en tant qu'administrateur : ([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'). Un résultat «true» indique que la base de données active utilise le certificat mis à jour. Des étapes supplémentaires incluent s'assurer que Secure Boot est activé, vérifier les mises à jour de firmware des OEM comme Dell, HP, Lenovo ou Asus, et avoir une clé de récupération BitLocker prête si le chiffrement est actif. Pour les PC plus anciens, réinitialiser les clés Secure Boot dans le BIOS peut libérer de l'espace NVRAM. Microsoft a collaboré avec les principaux fabricants de PC pour préparer cette transition, qu'il décrit comme une pratique standard de l'industrie pour s'aligner sur les normes de sécurité modernes. Les organisations informatiques ont été informées depuis l'année dernière, et les utilisateurs domestiques peuvent obtenir un support via les services Microsoft.
