L’avertissement de Microsoft concernant l’expiration des certificats Secure Boot a semé le doute, certains craignant déjà un futur blocage de PC. En réalité, il s’agit d’une opération de maintenance planifié, pas d’une rupture de compatibilité.
En juin dernier, Microsoft a publié un billet détaillé pour annoncer que les certificats Secure Boot présents sur la plupart des PC allaient atteindre leur date limite d’ici un an. Trois mois plus tard, l’entreprise a jugé utile de rappeler l’information dans la note de version liée à la mise à jour cumulative de septembre, histoire de s’assurer que l’avertissement parvienne à un maximum de personnes.
Or, ce qui, en temps normal, serait passé inaperçu auprès de la plupart des utilisateurs et utilisatrices attire cette fois l’attention. Windows 10 arrive en fin de vie et la migration vers Windows 11 a déjà été marquée par des exigences matérielles parfois mal comprises, dont Secure Boot fait partie. Que Redmond communique à nouveau à son sujet au moment même où l’on parle d’obsolescence forcée pourrait donc laisser croire à un nouveau problème de compatibilité. Ce n’est pourtant pas le cas. La firme anticipe simplement une opération de maintenance destinée à renouveler la chaîne de confiance qui sécurise le démarrage. Une étape prévue de longue date, indispensable pour protéger les machines après juin 2026 et déployée de manière transparente pour la plupart des utilisateurs et utilisatrices.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
Comprendre enfin Secure Boot et sa chaîne de confiance
Avant d’aller plus loin dans l’analyse, prenons le temps de revenir sur Secure Boot. On en entend souvent parler, surtout depuis qu’il est devenu un prérequis pour installer Windows 11, mais son rôle exact reste flou pour beaucoup et peu savent vraiment comment il fonctionne.
Secure Boot est donc une fonction de sécurité intégrée au firmware UEFI (successeur moderne du BIOS) des PC récents, qui sert à empêcher qu’un logiciel non approuvé ne s’exécute avant Windows. Pour y parvenir, les contrôles débutent dès l’allumage, bien avant que le système d’exploitation ne prenne la main.
En clair, quand on appuie sur le bouton d’alimentation, le firmware UEFI s’exécute en premier. Il met sous tension les composants, initialise le processeur et la mémoire, vérifie que la RAM, le CPU, les cartes et périphériques essentiels fonctionnent correctement, détecte les supports de démarrage disponibles et charge, si besoin, des pilotes UEFI pour permettre à certains périphériques d’être accessibles avant que le système d’exploitation ne prenne la main.
C’est à ce moment-là que Secure Boot entre en jeu. Toujours côté firmware, l’ordinateur vérifie la signature numérique de chaque binaire UEFI qu’il s’apprête à exécuter, comme les pilotes UEFI, les extensions de périphériques (Option ROM au format UEFI) lorsqu’elles sont signées, ou le gestionnaire de démarrage de Windows.
Tout ce processus de vérification s’appuie sur une chaîne de confiance, constituée de plusieurs éléments clés. Elle débute avec la Platform Key (PK), installée par le fabricant, qui définit qui peut modifier la configuration de Secure Boot. Viennent ensuite les Key Exchange Keys (KEK), qui donnent à des acteurs comme Microsoft ou le constructeur (ou toute entité disposant d’une telle clé) la possibilité de mettre à jour les listes de confiance, à savoir la DB qui regroupe des certificats d’autorité et des empreintes de binaires autorisés, et la DBX qui répertorie les signatures révoquées qui doivent être bloquées.
Les signatures des binaires contrôlés par Secure Boot sont ensuite comparées à ces deux bases. Si un élément n’est pas reconnu ou s’il figure dans la liste des éléments révoqués, ce qui peut arriver lorsqu’un bootloader vulnérable a été identifié par Microsoft et ajouté à la DBX, il ne peut pas s’exécuter. S’il est validé, l’UEFI transfère alors le contrôle à Windows Boot Manager, qui charge les composants nécessaires au système, initialise le noyau, monte les volumes et prépare l’écran de connexion. À l’issue de cette étape, le système d’exploitation prend définitivement la main et les protections propres à Windows prennent le relais.
Pourquoi Microsoft alerte déjà sur l'expiration des certificats
Si Microsoft prévient dès maintenant, c’est parce que la hiérarchie de clés et de bases qui soutient Secure Boot repose sur des certificats à durée de vie volontairement limitée, un peu comme ceux qui sécurisent les connexions HTTPS, afin de réduire les risques liés à l’obsolescence des algorithmes de signature et aux compromissions potentielles des clés privées.
Depuis l’arrivée de Secure Boot avec Windows 8, trois certificats d’autorité UEFI assurent la validation des éléments chargés avant le système. Intégrés dès 2011-2012, ils permettent aux PC compatibles UEFI de démarrer uniquement sur des logiciels approuvés : l’un sert à signer les mises à jour des bases de confiance (KEK), un autre le bootloader Windows, et le dernier gère les chargeurs tiers, les applications EFI et les pilotes embarqués dans certains périphériques (Option ROM).
Deux de ces certificats arriveront à expiration en juin 2026, le troisième en octobre de la même année. Pour éviter qu’un PC ne se retrouve soudain incapable de démarrer parce qu’un bootloader ou un pilote UEFI ne peut plus être validé, Microsoft déploie dès maintenant leurs remplaçants. Ces nouveaux certificats, au nombre de quatre (l’un des certificats historiques a été remplacé par deux distincts) et émis en 2023, permettront de continuer à vérifier les binaires autorisés et à bloquer ceux qui seraient vulnérables ou compromis, tout en maintenant la compatibilité avec les systèmes actuels.
C’est pour cette raison que l’éditeur multiplie les rappels. Les constructeurs d’ordinateurs, mais aussi certains développeurs de solutions tierces qui fournissent leurs propres chargeurs UEFI, doivent disposer de suffisamment de temps pour mettre leurs signatures à jour avant que les anciens certificats n’expirent.
Et si rien n’est mis à jour ?
Évidemment, si rien n’est fait, le PC ne s’éteindra pas brutalement. En revanche, il peut refuser de démarrer Windows avec Secure Boot activé. Alors rassurez-vous, cela ne signifie pas pour autant que l’ordinateur est bon pour la casse. Il sera toujours possible de désactiver temporairement Secure Boot pour passer outre cette vérification, d’utiliser un support de récupération déjà approuvé ou d’appliquer ensuite une mise à jour UEFI/firmware intégrant les nouvelles autorités 2023 et actualisant les listes de confiance DB/DBX.
Le vrai risque tient surtout à la sécurité et à la compatibilité. Sans les nouvelles autorités 2023 et les listes de confiance à jour, les mises à jour de sécurité appliquées avant le démarrage de Windows pourraient échouer, les correctifs destinés à bloquer des chargeurs vulnérables risqueraient de ne plus s’appliquer, et des bootloaders récents pourraient être rejetés. L’appareil resterait fonctionnel, mais il perdrait l’une des protections centrales du démarrage et serait plus exposé aux malwares capables d’agir en phase pré-boot, dont vous avez peut-être déjà entendu parler sous le nom de bootkits.
Se préparer sans stress à l’expiration des certificats Secure Boot
Alors maintenant qu’on a compris pourquoi Microsoft s’agitait autour de Secure Boot, que fait-on de cette information ? Pour la plupart des utilisateurs et utilisatrices, la réponse tient en un mot : rien. Si votre PC tourne tel qu’il a été livré, que vous n’avez pas désactivé Secure Boot ni bloqué les mises à jour automatiques, les nouvelles clés arriveront toutes seules via Windows Update avant l’échéance.
Attention toutefois, si votre PC est ancien tout en étant compatible Secure Boot, un firmware trop daté pourrait bloquer le déploiement des nouveaux certificats. Dans ce cas, pensez quand même à faire un tour sur le site du constructeur pour voir s’il existe une mise à jour UEFI à installer avant juin 2026.
Pour les entreprises, la situation est un peu différente. Celles qui utilisent Secure Boot tel qu’il est livré par défaut n’ont rien à changer non plus, mais celles qui ont personnalisé la chaîne de confiance, par exemple en installant leur propre Platform Key (PK) ou en ajoutant des KEK internes, doivent anticiper et s’appuyer sur la documentation ainsi que les outils déjà proposés par Microsoft pour intégrer les nouvelles autorités de certification.
Comme pour toute migration sensible, il est préférable d’avancer par étapes : commencer par déployer les nouveaux certificats sur un petit groupe de machines pilotes, vérifier que tout fonctionne (hyperviseurs, bootloaders tiers, périphériques avec Option ROM signées), puis les étendre progressivement au reste du parc.
Source : Microsoft
