Après des semaines de déploiement inégal et de blocages liés aux firmwares, Windows 11 affiche enfin l’état des certificats Secure Boot directement dans Sécurité Windows. Une façon plus simple de savoir si votre PC suit la transition engagée par Microsoft, ou si la mise à jour bute sur une limite matérielle.
Microsoft continue de baliser le renouvellement des certificats Secure Boot à l’approche de leur expiration et ajoute désormais un nouvel indicateur dans l’application Sécurité Windows pour signaler l’état de ces certificats sur les PC. Le statut affiché indique si la machine a déjà reçu les nouvelles autorités 2023, si elle fonctionne encore sur l’ancienne configuration ou si la mise à jour se heurte à une limitation plus sérieuse, probablement du côté du firmware.
Secure Boot dans Windows 11, un suivi enfin plus lisible
Pour rappel, depuis le début de l’année, Microsoft remplace progressivement les certificats Secure Boot intégrés à l’UEFI depuis 2011 par de nouvelles autorités émises en 2023, afin de maintenir à jour la chaîne de confiance utilisée au démarrage de Windows. En principe, l’opération aurait dû se dérouler sans bruit pour la plupart des PC, mais le déploiement s’est révélé plus irrégulier que prévu. D’un constructeur à l’autre, d’un modèle à l’autre, et parfois d’une version de firmware à l’autre, la transition n’avance pas partout au même rythme. Certaines machines ont absorbé la mise à jour sans difficulté particulière, tandis que d’autres doivent encore passer par une mise à jour UEFI avant de pouvoir suivre le mouvement.
Jusqu’ici, vérifier l’état réel du déploiement n’avait rien d’évident. Il fallait aller chercher l’information dans le Registre et dans l’Observateur d’événements, puis se référer à la documentation publiée par Redmond pour savoir si la transition avait bien été appliquée ou si la machine attendait encore son tour.
Microsoft a donc ajouté, dans l’application Sécurité Windows des éditions Home et Pro de Windows 11, un repère plus lisible pour suivre cette transition. Un indicateur vert signale qu’aucune action n’est requise, à condition que le message associé confirme que toutes les mises à jour de certificats attendues ont bien été appliquées. Un indicateur jaune renvoie d’abord à une machine utilisant encore une ancienne configuration et attendant sa mise à jour. À partir de mai, un avertissement supplémentaire préviendra si le blocage vient du matériel ou du firmware. Un indicateur rouge, enfin, apparaît lorsqu’une mise à jour de sécurité du démarrage ne peut plus être appliquée à la configuration actuelle du PC.
Sur les appareils gérés en entreprise et sur Windows Server, les données d’état existent bien, mais ces indicateurs ne s’affichent pas par défaut. Le suivi du déploiement reste entre les mains des équipes IT, qui doivent continuer à s’appuyer sur leurs outils d’administration, leurs stratégies internes et les contrôles système déjà en place, plutôt que sur des alertes affichées directement aux utilisateurs finaux.
Comment vérifier l’état de Secure Boot sur votre PC
Pour vérifier l’état de Secure Boot, ouvrez Sécurité Windows depuis la recherche Windows.
Dans l’application, cliquez sur Sécurité de l’appareil dans la colonne de gauche, puis faites défiler la page jusqu’à la rubrique Démarrage sécurisé (ou Secure Boot si votre système est en anglais).
Si l’indicateur est vert, RAS. En revanche, s’il est jaune ou rouge, il va falloir creuser un peu plus loin.
Que faire si l’indicateur est jaune ou rouge
Si l’indicateur est jaune, il ne faut pas forcément y voir tout de suite un problème matériel. Dans bien des cas, le PC attend encore l’application de la mise à jour, le déploiement a été temporairement suspendu pour des raisons de compatibilité, ou la machine n’a pas encore été suffisamment qualifiée pour entrer dans le parcours automatique d’actualisation des certificats. Commencez donc par vérifier que Windows est bien à jour, puis redémarrez la machine. Si l’état persiste, un blocage lié au matériel ou au firmware peut aussi être en cause.
Si l’indicateur est rouge, le problème est d’une autre nature. Le PC ne parvient plus à recevoir correctement les mises à jour nécessaires à la chaîne de démarrage sur sa configuration actuelle. Il ne s’agit donc plus simplement d’attendre que le déploiement suive son cours. Vérifiez sans tarder si une mise à jour firmware est disponible, puis consultez les indications affichées dans Sécurité Windows pour voir si Microsoft renvoie vers une procédure plus précise.
À défaut, le PC continuera évidemment de fonctionner, mais avec une chaîne de démarrage moins bien protégée et davantage exposée à de futurs problèmes de compatibilité ou de sécurité.
