Le renouvellement des certificats Secure Boot devait passer presque inaperçu. C’était sans compter sur un écosystème PC dépendant de firmwares UEFI bien moins homogènes qu’espéré.
Annoncé de longue date, le renouvellement des certificats Secure Boot est entré cette année dans une phase concrète sur Windows 11. Microsoft remplace progressivement les autorités historiques intégrées à l’UEFI depuis 2011 par de nouveaux certificats émis en 2023, pour anticiper leur expiration en 2026 et continuer à mettre à jour les listes de confiance et de révocation utilisées au démarrage. Une opération de maintenance attendue, en somme. Sauf qu’à mesure que le déploiement avance, c’est surtout le chaos persistant des firmwares qui remonte à la surface. Car si certaines machines absorbent la transition sans difficulté, d’autres rappellent à quel point l’écosystème PC reste tributaire d’implémentations inégales, parfois mal documentées, parfois franchement capricieuses.
Un déploiement progressif qui dépend d’abord de l’état du parc
Si Microsoft n’a pas déployé les nouveaux certificats Secure Boot en une seule fois sur l’ensemble des PC compatibles, ce n’est pas uniquement pour lisser la transition. Leur installation touche à des éléments stockés dans l’UEFI, utilisés pour valider les composants exécutés avant même le chargement de Windows. En clair, la réussite de l’opération ne dépend pas seulement du correctif mensuel, mais aussi de la capacité du firmware à intégrer proprement cette mise à jour de la chaîne de confiance.
C’est bien pour cette raison que l’éditeur a réservé l’installation automatique aux machines considérées comme prêtes. Dès le départ, Microsoft a choisi d’avancer progressivement, en ciblant les appareils dont l’état matériel, le firmware UEFI et le niveau de stabilité semblaient compatibles avec cette évolution. Un même correctif de sécurité ne garantit donc pas, à lui seul, que deux PC sous Windows 11, maintenus au même niveau de mise à jour, se trouveront au même stade. L’un pourra recevoir sans difficulté les nouveaux certificats, tandis qu’un autre devra d’abord passer par une mise à jour UEFI côté constructeur, voire rester temporairement à l’écart du déploiement automatique.
Ce type d’approche en dit déjà long sur la situation. Si une opération de maintenance annoncée de longue date ne peut pas être appliquée uniformément à l’ensemble du parc, c’est bien que tous les PC ne présentent pas les mêmes garanties face à cette transition, et que le désordre côté firmware commence bien avant les premiers ratés visibles. Secure Boot est souvent perçu comme une fonction intégrée à Windows 11, alors qu’une partie essentielle de son fonctionnement repose sur une couche bien plus disparate, celle du firmware, avec tout ce que cela implique de différences entre constructeurs, générations de cartes mères et politiques de suivi logiciel.
Le grand désordre des firmwares face à la transition Secure Boot
Alors forcément, ce qui devait arriver arriva. À mesure que les nouveaux certificats Secure Boot débarquent sur les machines jugées compatibles, les premiers retours confirment que la prudence affichée par Microsoft n’avait rien d’exagéré.
Comme l’a relevé Windows Latest, ces écarts se traduisent déjà par des comportements très variables selon les fabricants. Chez ASUS, l’application des mises à jour de la DBX (la liste de révocation utilisée par Secure Boot pour bloquer les composants jugés vulnérables ou non fiables au démarrage) peut exiger une désactivation temporaire de Secure Boot.
Chez MSI, le firmware peut ignorer silencieusement les mises à jour, mal gérer la DBX, afficher des modes Secure Boot qui ne correspondent pas toujours aux libellés de l’interface, ou revenir de façon inattendue aux clés d’usine.
Du côté d’ASRock, la remise en ordre se révèle parfois plus laborieuse encore. Certaines cartes mères imposent de vider les clés Secure Boot déjà enregistrées dans l’UEFI, de restaurer les clés d’usine, de réinstaller manuellement les clés de confiance fournies par Microsoft, voire d’appliquer soi-même les mises à jour de la DBX. Bref, le chantier.
À l’inverse, les PC Dell, HP ou Lenovo semblent mieux absorber la transition, même si les déploiements restent étalés, que les mises à jour BIOS ou UEFI n’arrivent pas au même rythme selon les modèles, et que plusieurs redémarrages peuvent parfois être nécessaires avant que les changements soient pleinement pris en compte.
Secure Boot n’est finalement pas le maillon le plus fragile de l’histoire. Ce qui grippe, c’est tout ce qu’il y a autour, à commencer par des firmwares dont la qualité et le suivi varient encore beaucoup trop d’un constructeur à l’autre. Tant que rien ne vient bousculer l’équilibre, ces défauts de discipline passent plus ou moins inaperçus. Mais dès qu’une évolution un peu sensible pointe le bout de son nez, comme ce renouvellement de certificats, c’est tout le désordre accumulé qui refait surface. La transition en cours aura au moins le mérite de rappeler que l’écosystème PC ne pourra pas éternellement traiter le firmware comme un sujet secondaire.
Secure Boot s’appuie sur des certificats et des clés stockés dans l’UEFI pour vérifier, par signature numérique, que les composants lancés au démarrage (chargeur de démarrage, gestionnaire de boot, etc.) sont bien autorisés. Si une autorité de certification arrive à expiration ou devient obsolète, la chaîne de confiance ne peut plus être maintenue correctement. Renouveler ces certificats permet de continuer à accepter les composants légitimes tout en gardant la capacité de bloquer ceux qui sont compromis. C’est une opération de sécurité préventive, planifiée à l’avance, car une rupture de confiance au démarrage peut empêcher la machine de démarrer ou réduire la protection contre les bootkits.
Qu’est-ce que la DBX dans Secure Boot, et pourquoi sa mise à jour peut provoquer des blocages ?La DBX (Forbidden Signatures Database) est une liste de révocation utilisée par Secure Boot pour refuser explicitement des binaires, certificats ou signatures jugés vulnérables ou non fiables. Concrètement, même si un composant était autrefois accepté, une entrée dans la DBX peut le rendre invalidé au démarrage. Mettre à jour la DBX est crucial pour se protéger contre des attaques connues, mais cela peut aussi bloquer des outils de récupération, d’anciens bootloaders ou des environnements mal maintenus. Si le firmware applique mal la DBX (ou la met à jour de façon incomplète), on peut se retrouver avec des comportements incohérents selon les machines, allant du simple avertissement à l’échec de boot.
Pourquoi une mise à jour Windows ne suffit-elle pas toujours pour appliquer correctement les changements Secure Boot dans l’UEFI ?Les informations de Secure Boot (clés de confiance, certificats, DBX) sont stockées dans la NVRAM et gérées par le firmware UEFI, pas uniquement par le système d’exploitation. Windows peut orchestrer l’opération, mais il dépend des routines et de l’implémentation UEFI du constructeur pour écrire, conserver et activer ces données correctement. Or, selon les marques et générations de cartes mères, la gestion des clés peut être incomplète (écritures ignorées, retour aux clés d’usine, modes mal étiquetés, etc.). Résultat : deux PC à jour côté Windows peuvent se retrouver à des stades différents, parce que l’un nécessite un BIOS/UEFI plus récent ou une intervention manuelle sur les clés Secure Boot.
