Windows 11 et Secure Boot : Microsoft revient sur les risques qui inquiètent encore les admins

Par Chloé Claessens, Spécialiste cybersécurité.

Publié le 09 juin 2026 à 12h14

Suivez-nous Ajoutez-nous en favori Google

Microsoft a de nouveau répondu aux questions des administrateurs sur l’échéance Secure Boot du 24 juin. Derrière le calendrier officiel, plusieurs cas restent sensibles, notamment les machines privées de cette protection et les infrastructures de démarrage réseau.

Secure Boot : Microsoft précise ce qui peut encore bloquer certains PC Windows. © Melnikov Dmitriy / Shutterstock

À quelques jours de l’échéance Secure Boot prévue le 24 juin prochain, Microsoft continue de déminer le terrain. L’entreprise avait déjà clarifié l’essentiel sur l’expiration des certificats hérités de 2011, mais sa dernière session de questions-réponses est venue apporter des précisions utiles sur les cas encore susceptibles de coincer. Il n’est évidemment toujours pas question d’un arrêt brutal des PC Windows au lendemain de la date limite. En revanche, la transition reste un sujet sensible pour les machines sur lesquelles Secure Boot a été désactivé, pour les parcs gérés par démarrage réseau et pour les appareils dont l’ancienne clé pourrait empêcher l’application de futurs blocages de sécurité.

Bitdefender

8.4/10

Offre partenaire

La solution tout-en-un pour protéger votre entreprise

Votre petite entreprise a de grandes ambitions. Protégez-là contre les pirates. Et développez sereinement votre activité !

Protégez votre entreprise

Offre partenaire

Secure Boot désactivé, PXE mal séquencé, les cas qui peuvent bloquer au démarrage

Dans le détail, le principal risque résulte d’un décalage entre Windows et le firmware de la machine. Si Secure Boot a été désactivé dans l’UEFI, Windows peut continuer à recevoir ses mises à jour, y compris un gestionnaire de démarrage signé avec les autorités 2023. En revanche, les clés correspondantes ne sont pas forcément inscrites dans la base de confiance du firmware, ce qui ne doit théoriquement pas poser problème à moins de réactiver ensuite Secure Boot.

Dans ce cas, l’UEFI serait de nouveau chargé de vérifier les composants lancés au démarrage et, ne reconnaissant encore que les autorités héritées de 2011, pourrait refuser de valider le nouveau bootloader. La machine risquerait alors de ne plus démarrer correctement, non pas parce que la mise à jour aurait cassé Windows, mais parce que le firmware et le bootloader ne parleraient plus la même langue cryptographique. Il faudrait alors installer manuellement les certificats 2023 en suivant la procédure documentée par Microsoft, ce qui suppose d’avoir accès à la machine et de savoir exactement ce que l’on fait.

Les environnements PXE, utilisés pour lancer un PC depuis un serveur interne, déployer une image système ou dépanner une machine sans passer par un support local, obéissent à la même contrainte de compatibilité. Une image de démarrage signée avec les autorités 2011 peut encore fonctionner sur une machine qui ne connaît que cette ancienne chaîne, tant que les certificats concernés ne sont pas révoqués. En revanche, une infrastructure PXE passée trop tôt sur des bootloaders signés 2023 peut bloquer les PC qui n’ont pas encore reçu les nouveaux certificats.

Le problème peut aussi se présenter dans l’autre sens. Certains PC récents sont déjà livrés avec les certificats 2023, et peuvent donc refuser des médias d’installation ou des serveurs de déploiement encore signés selon l’ancien modèle. D’où l’importance, pour les admins, de vérifier l’ordre de migration avant de mettre à jour les bootloaders utilisés par le démarrage réseau.

Sans nouvelle KEK, pas de futures mises à jour DBX

L’autre précision concerne la partie révocation de Secure Boot. Le firmware ne se contente pas de savoir quels composants il peut lancer au démarrage. Il conserve aussi une liste de ce qu’il doit refuser, par exemple des bootloaders compromis ou vulnérables. Cette liste noire, appelée DBX, permet à Microsoft de bloquer après coup des éléments jugés dangereux, même s’ils ont pu être acceptés par le passé.

La mise à jour de cette liste repose sur la KEK, une clé chargée d’authentifier les modifications apportées aux bases Secure Boot. Si une machine conserve l’ancienne clé, certains blocages DBX publiés plus tard pourraient ne plus être appliqués. Le risque serait moins visible qu’un échec au démarrage, mais plus durable, puisque des composants vulnérables pourraient continuer à être acceptés alors que Microsoft chercherait à les exclure.

Pour rappel, Microsoft permet déjà de contrôler l’état du déploiement depuis Sécurité Windows sur les postes individuels, et via les rapports Intune dans les parcs gérés. Les admins peuvent ainsi vérifier si une machine a reçu les nouveaux certificats, si elle fait partie des appareils jugés assez sûrs pour une mise à jour automatique ou si elle nécessite encore une intervention manuelle. Le Patch Tuesday de juin devrait élargir la première catégorie, sans régler tous les cas particuliers. Les configurations rares, les machines peu connectées et les appareils bloqués par un firmware trop ancien resteront à traiter séparément.

Windows 11

Refonte graphique de l'interface réussie
Snap amélioré
Groupes d'ancrage efficaces

8 / 10

Télécharger

Lire le test

Par Chloé Claessens

Spécialiste cybersécurité

Cyber Pro par Bitdefender

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Poster mon commentaire

Commentaires (3)

Klauss007

Quelques précisions techniques, si je peux me permettre, sur certains passages qui mériteraient d’être nuancés.
Sur la « date limite du 24 juin » : aucun PC ne se bloque à cette date. Le firmware valide les signatures au moment où elles ont été apposées (signing time), pas au runtime. Tout ce qui a été signé avant l’expiration du KEK CA 2011 continue donc d’être validé après. La vraie échéance pour les admins, ce sera la révocation DBX future de la PCA 2011, qui arrivera avec un préavis de six mois et qui n’est pas encore annoncée. ce ne sera surement pas avant mi-2027. Et peut être même que ce ne sera pas imposé par Microsoft. (choix des IT).

Sur les PC récents qui refuseraient des médias 2011 : les OEM continuent de mettre la PCA 2011 et l’UEFI CA 2011 dans le Default store des nouvelles machines, justement pour rester compatibles avec les médias d’installation, les environnements WinPE et les outils de déploiement encore signés à l’ancienne. Ces certificats ne vont pas disparaître tant que Microsoft ne les a pas révoqués via DBX. Le cas inverse évoqué dans l’article existe en théorie, mais sur le terrain c’est vraiment l’exception.
Les IT vont attendre que TOUS les poste disposent des certificats 2023 pour commencer à migrer les média de boot / d’installation / de recovery ou de diag.

Enfin, sur « sans nouvelle KEK, pas de futures mises à jour DBX » : la KEK, c’est la clé qui autorise les modifications des bases DB et DBX. Microsoft va signer ses futures mises à jour DBX avec le KEK CA 2023. Sur une machine qui n’a que le KEK CA 2011 enrôlé, le firmware refusera ces mises à jour parce qu’il n’a pas de KEK capable d’en valider la signature, et ce indépendamment de toute notion d’expiration. C’est donc bien l’enrôlement préalable du KEK CA 2023 qui conditionne la capacité à recevoir les futures révocations.

JohanPirlouit

Merci pour tes infos…

Nonobstant, si la DBX peut être mise à jour sur n’importe quel PC avec UEFI, la KEK, elle, ne peut être mise à jour que par une mise à jour du BIOS/EFI du constructeur. Et si le PC est trop ancien pour recevoir une mise à jour de BIOS/EFI, la KEK ne sera jamais mise à jour. Testé avec un portable Dell Vostro 15 3568 de 2017 qui sert d’ordi d’exercice basique : la DBX est bien à jour, y compris les révocations, mais la KEK non. Et il n’y a rien à faire, ce PC n’est plus mis à jour par Dell depuis pas mal de temps.

Une manière de continuer tranquillement le p’tit business de l’obsolescence programmée que seuls quelques uns savent contourner…

Klauss007

Hmmm étrange car LE certificat important c’est le Windows UEFI CA 2023 de la DB Active. Pour information il est signé avec le KEK CA2011 - oui oui.
C’est pour cette raison que c’est le 1er à arriver dans les stores de Certificats.
Immédiatement après (2ème étape) ce sont les certificats additionels qui arrivent, puis enfin le Microsoft Corporation KEK 2K CA 2023.
C’est lui qui signera les PROCHAIN certificat dans DB ou DBX
Et l’ensemble de ces certificats (DANS LES BASE active de l’UEFI) snt apporté par la tache de MAJ Microsoft.
Dans le Bios ce ne sont que des copies (une sauvegarde de stockage des certificats). Cette copie peut également être utilisé si ont execute un recovery des clés dans le Bios. Mais ce n’est PS la méthode préconisée par Microsoft. (on peut tout àfait insytaller ces certificats sur une machine avec un très vieux Bios.)

Si c’est uniquement le KEK 2023 qui manque c’est lié :

Soit à l’OEM qui n’ a pas signé le KEK2023 générique fourni par Microsoft. (Ce KEK signé est ensuite renvoyé par les OEM à Microsoft - Microsoft qui distribura ce KEK si l’empreinte du poste (PK) correspond - existe dans la database Microsoft) probabalement votre cas , car ici un très vieux modèle.
Soit à Microsoft qui ne présente pas à l’ordinateur le bon KEK.
En général dans ce cas on a l’erreur 1795 dans Event Viewer (gestionnaire d’evenements)