En marge du Patch Tuesday de janvier, Microsoft a commencé à remplacer automatiquement les certificats Secure Boot appelés à expirer à partir de juin 2026. Un changement nécessaire pour la sécurité des PC.
Annoncé de longue date et documenté à plusieurs reprises, le renouvellement des certificats Secure Boot entre désormais dans une phase plus concrète. Ce mardi, Microsoft a commencé à intégrer les nouveaux certificats à la mise à jour de sécurité de janvier sur Windows 11 24H2 et 25H2, pour anticiper l’expiration des autorités historiques émises en 2011. L’éditeur privilégie un déploiement progressif sur les appareils jugés prêts, afin d’éviter les incidents sur des configurations qui nécessitent d’abord une mise à jour du firmware UEFI.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
Un renouvellement conditionné à la configuration PC
Jusqu’ici, le sujet se résumait surtout à une échéance et à une préparation à mener en amont, la mise à jour obligatoire de janvier faisant entrer le dossier dans une phase active. Les certificats sont dorénavant déployés de manière graduelle en s’appuyant sur le flux mensuel de correctifs, qui intègre notamment des éléments de ciblage pour identifier les appareils éligibles, mais l’installation automatique reste réservée aux machines jugées prêtes. Des dires de Redmond, ce ciblage s’appuie sur des critères de compatibilité, liés notamment au matériel, au firmware UEFI et à la stabilité du système observée lors des mises à jour précédentes, afin de limiter les échecs sur les configurations les plus sensibles.
Microsoft ne cherche donc pas à couvrir tout le parc immédiatement, et il faudra s’attendre à un décalage temporaire entre machines, y compris sur des postes maintenus au même niveau de correctifs. Certains modèles de PC devront en effet d’abord passer par une mise à jour UEFI côté constructeur, le firmware devant être en mesure d’actualiser les autorités et les listes de confiance utilisées par Secure Boot au démarrage.
Ce que l’expiration des certificats implique pour la sécurité du démarrage
Pour rappel, Secure Boot s’appuie sur des autorités et des listes de confiance stockées dans l’UEFI, utilisées pour valider les composants exécutés avant le démarrage de Windows, en premier lieu Windows Boot Manager et, selon les configurations, certains éléments de la phase pré-boot. Lorsque ces autorités expirent, le système ne lâche évidemment pas du jour au lendemain. En revanche, la chaîne de validation perd sa capacité à évoluer, ce qui peut entraîner le rejet de nouveaux bootloaders et empêcher l’application de mises à jour de sécurité reposant sur l’actualisation des listes de confiance ou de révocation.
C’est cette dégradation progressive que Microsoft cherche à éviter en déployant dès maintenant un jeu de certificats de remplacement datés de 2023, appelés à succéder aux certificats Microsoft 2011 stockés dans les bases Secure Boot, notamment le KEK et la DB, utilisés depuis l’ère Windows 8.
Un chantier à piloter pour les entreprises
Pour la majorité des PC grand public, l’opération doit se faire de manière transparente. Si Secure Boot est activé, que le firmware est à jour et que les mises à jour Windows ne sont pas bloquées, les nouveaux certificats devraient s’installer automatiquement au fil des correctifs mensuels.
La situation est plus nuancée dans les environnements professionnels. Les organisations ayant personnalisé leur chaîne de démarrage, par exemple en installant leurs propres clés Secure Boot ou en déployant des bootloaders spécifiques, ne rentreront pas toujours dans le parcours automatique, ou pas au même rythme, et ont donc intérêt à inventorier leur parc, vérifier l’état Secure Boot des machines, appliquer les mises à jour UEFI des constructeurs lorsque nécessaire, puis tester le déploiement des certificats sur un périmètre pilote avant généralisation.
Pour suivre l’avancement, Microsoft renvoie à des repères déjà présents dans Windows. Dans le Registre, sous HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing, la valeur UEFICA2023Status permet de savoir si un poste n’a pas encore reçu les certificats, s’il est en cours de traitement ou s’il est à jour, l’état Updated confirmant que l’opération a abouti. À l’inverse, UEFICA2023Error signale qu’un poste n’a pas pu aller au bout du processus.
Dans l’Observateur d’événements, vous pouvez aussi traquer l’Event ID 1808, qui confirme l’application des certificats côté firmware, et l’Event ID 1801, qui indique un échec, le plus souvent lié à un prérequis côté constructeur, typiquement un BIOS ou un firmware UEFI à mettre à jour avant l’actualisation des autorités et des listes de confiance.
Sources : Microsoft [1], Microsoft [2]
