À un mois de l’expiration des premiers certificats Secure Boot historiques, Microsoft écarte le scénario du PC Windows 11 soudain inutilisable. Les machines en retard continueront de démarrer, mais leur sécurité au niveau du boot risque peu à peu de décrocher.
Non, les PC Windows 11 qui n’auront pas reçu les nouveaux certificats Secure Boot d’ici juin 2026 ne s’éteindront pas dans un grand moment de panique firmware. Microsoft l’a confirmé à plusieurs reprises lors de ses sessions Ask Microsoft Anything consacrées au renouvellement des certificats Secure Boot, puis dans sa documentation officielle. Les machines concernées continueront de démarrer, et les mises à jour Windows classiques de s’installer. En revanche, elles poursuivront leur route au prix d’une chaîne de démarrage de moins en moins bien protégée, tandis que les futures mises à niveau Windows pourraient finir par leur être refusées.
Offre partenaire
Votre petite entreprise a de grandes ambitions. Protégez-là contre les pirates. Et développez sereinement votre activité !
Offre partenaire
Un retard sans effet immédiat, du moins en apparence
Depuis plusieurs mois, Microsoft prépare le remplacement des certificats Secure Boot introduits en 2011 par une nouvelle chaîne datée de 2023. Une opération nécessaire, puisque les anciennes autorités arrivent en fin de vie à partir du 24 juin prochain, et qui touche à l’UEFI, au Windows Boot Manager ainsi qu’aux bases de signatures utilisées dès les premières étapes du démarrage, ce qui explique le déploiement progressif adopté par l’éditeur.
Toujours est-il qu’en cas de retard, le PC ne deviendra pas inutilisable du jour au lendemain. Il pourra continuer à lancer Windows, recevoir les mises à jour standard et servir au quotidien comme si de rien n’était. Or, c’est justement là que se niche le piège, car si rien ne change en surface, la machine commence pourtant à décrocher côté démarrage sécurisé. Sans les certificats Secure Boot 2023, elle ne pourra en effet plus accepter les futurs composants de boot signés par la nouvelle chaîne de confiance.
Bootkits et futures mises à niveau, là où l'échéance pourrait coûter cher
En clair, pas de blocage immédiat, mais un état de sécurité dégradé, plus discret et donc plus sournois. La conséquence la plus sérieuse concerne ainsi les futures mises à jour du Windows Boot Manager et des listes de révocation DBX, bases de signatures utilisées par Secure Boot pour refuser des éléments compromis ou associés à des composants vulnérables.
Pour bien saisir de quoi il retourne, il faut savoir que lorsqu’un élément de démarrage est identifié comme dangereux, Microsoft peut ajouter sa signature à la DBX afin d’empêcher son chargement avant le lancement de Windows. Un PC qui n’a pas migré vers les certificats 2023 risque donc d’être privé de ces révocations futures, et par extension d’une partie des protections prévues contre les bootkits et les attaques visant la chaîne de démarrage.
Microsoft a par ailleurs prévenu que les grandes mises à niveau de Windows pourraient, à terme, exiger l’application de cette nouvelle chaîne de confiance. Non pour forcer la main aux utilisateurs et utilisatrices, mais pour éviter des échecs d’installation ou des situations de démarrage chaotique si l’environnement EFI du PC n’est pas compatible avec les certificats Secure Boot 2023.
Pour éviter d'en arriver là, on rappellera que vous pouvez contrôler l'état des certificats Secure Boot depuis l'application Sécurité Windows, section Sécurité des appareils. En cas d'alerte, il faudra suivre les consignes affichées et éventuellement redémarrer votre PC pour finaliser l'opération.
À noter également que la migration ne dépend pas uniquement de Windows. Comme elle touche aussi au firmware UEFI, elle suppose que le constructeur du PC, ou le fabricant de la carte mère dans le cas d’une configuration assemblée, propose des mises à jour de firmware compatibles avec les nouvelles autorités Secure Boot.
Secure Boot est un mécanisme de l’UEFI qui vérifie, dès l’allumage, que les composants de démarrage (bootloader, gestionnaire de démarrage, etc.) sont bien signés avec des clés approuvées. Il repose sur une chaîne de confiance : si un certificat ou une autorité de signature arrive en fin de vie, cela ne “casse” pas forcément le démarrage sur-le-champ. En revanche, cela complique l’acceptation de futurs composants signés avec une nouvelle chaîne, et peut empêcher l’application de protections ou de mises à jour liées au boot. L’enjeu principal est donc la continuité de la confiance cryptographique au niveau firmware, pas le fonctionnement quotidien de Windows.
Qu’est-ce que la base DBX de Secure Boot, et pourquoi son absence de mise à jour augmente le risque ?La DBX (Forbidden Signature Database) est la liste de révocation de Secure Boot : elle contient des signatures ou certificats explicitement interdits car associés à des bootloaders compromis ou vulnérables. Quand un élément est ajouté à la DBX, l’UEFI bloque son chargement avant même que Windows ne démarre, ce qui coupe court à certaines attaques très précoces. Si une machine ne suit pas le renouvellement de la chaîne de certificats, elle peut se retrouver incapable d’ingérer des DBX plus récentes. Résultat : des composants de démarrage pourtant connus comme dangereux peuvent rester chargeables, ce qui affaiblit la défense contre les bootkits et attaques de la chaîne d’amorçage.
Pourquoi le renouvellement des certificats Secure Boot implique Windows et aussi une mise à jour du firmware UEFI ?Les clés et bases de signatures utilisées par Secure Boot sont stockées et exploitées côté firmware UEFI, pas uniquement dans Windows. Windows peut mettre à jour certains éléments (comme le Windows Boot Manager), mais l’acceptation des nouvelles autorités de signature dépend de ce que le firmware sait reconnaître et valider. Si le constructeur ne propose pas un UEFI compatible avec la nouvelle chaîne, la machine peut rester bloquée sur l’ancienne confiance, même si Windows est à jour. C’est pour cela que la migration peut nécessiter à la fois des mises à jour Windows et des mises à jour BIOS/UEFI du fabricant.
