Tous les PC Windows ne recevront pas forcément les nouveaux certificats Secure Boot 2023. Les modèles trop anciens, les BIOS abandonnés, les systèmes Windows 10 hors support ou les installations Windows 11 à la hussarde sont les premiers concernés.
Le compte à rebours touche à sa fin. À partir du 24 juin, les anciennes autorités Secure Boot de 2011 entreront dans leur phase d’expiration, remplacées par les certificats 2023, dont Microsoft a acté le déploiement généralisé sur les PC Windows compatibles avec les mises à jour de sécurité de juin. Sur les machines récentes, la transition doit rester transparente. Mais pour les configurations les plus anciennes, mal prises en charge ou installées en dehors des clous, l’opération pourrait vite tourner court.
Sponsorisé
Votre petite entreprise a de grandes ambitions. Protégez-là contre les pirates. Et développez sereinement votre activité !
Sponsorisé
Firmware, Windows 10, BIOS hérité : les configurations à surveiller
Les PC les plus exposés ne sont pas forcément les plus vieux au sens strict, mais ceux qui ne peuvent plus suivre la transition côté firmware. Microsoft peut distribuer les nouveaux certificats via Windows Update, mais le firmware doit être capable de les accepter et de les appliquer correctement. Si le fabricant ne publie plus de mise à jour pour le modèle concerné, Windows ne pourra pas tout faire seul.
C’est donc le premier cas à surveiller. Les PC équipés de firmwares sortis de la prise en charge constructeur, ou absents des listes de compatibilité publiées par les fabricants, risquent de rester bloqués sur les autorités de certification de 2011. Dell, par exemple, renvoie désormais à des modèles précis et à des versions minimales de BIOS intégrant les certificats 2023. Chez les autres constructeurs, comme ASUS, la logique reste la même, même si les pages de support ne donnent pas toujours le même niveau de détail. Pas de liste Microsoft unique, donc, mais un tri à faire soi-même, modèle par modèle.
Deuxième cas à part, les machines qui démarrent encore en mode BIOS hérité ou via CSM, pour Compatibility Support Module. Pour rappel, ce mode de compatibilité permet à un PC UEFI de démarrer comme s’il utilisait encore l’ancien mode BIOS, souvent pour prendre en charge un vieux système ou un ancien disque de démarrage. Or, Secure Boot repose sur un démarrage UEFI moderne et sur une chaîne de vérification bien précise. Si le PC démarre en mode hérité, il se place donc en dehors du périmètre dans lequel cette mise à jour peut s’appliquer.
Viennent ensuite les PC encore sous Windows 10, mais plus suivis côté mises à jour, c’est-à-dire ceux qui n’auraient pas souscrit au programme ESU. A contrario, les machines inscrites au programme de mises à jour de sécurité étendues pourront bien recevoir les autorités de 2023, sous réserve que le matériel et le firmware suivent.
Autre profil concerné, les installations Windows 11 non officielles. Si vous avez pesté contre les contraintes techniques imposées par Microsoft, peut-être avez-vous quand même migré vers l’OS en passant outre les exigences liées au processeur, au TPM 2.0 ou à Secure Boot. La machine fonctionne au quotidien, mais cette bidouille a souvent consisté à contourner une partie des garde-fous liés au démarrage sécurisé. Or ce sont justement ces éléments que Microsoft met aujourd’hui à jour. Pas très surprenant, donc, que l’opération cafouille sur des configurations qui n’étaient déjà pas prévues pour la gérer.
Reste le cas des machines temporairement bloquées par prudence. Elles ne sont pas forcément trop anciennes ni hors support, mais Microsoft ou le constructeur peuvent suspendre l’opération lorsqu’un problème firmware connu risque de perturber le démarrage. Dans ce cas, il n’y a pas grand-chose à bricoler côté utilisateur, sinon attendre un correctif ou une consigne officielle du constructeur.
Quand la mise à jour ne vient pas, il n’y a pas toujours de solution
Si la transition ne se fait pas, la première chose à faire reste évidemment de vérifier si le constructeur propose une mise à jour récente du BIOS ou de l’UEFI pour le modèle concerné. Tant que le firmware peut encore être actualisé, la situation n’est pas forcément bloquée.
À défaut de patch constructeur, la suite dépend surtout de la configuration de départ. Un PC encore sous Windows 10 devra passer par le programme ESU pour rester dans un canal de mises à jour compatible. Une installation Windows 11 forcée pourra parfois être remise d’équerre, si Secure Boot existe bien dans l’UEFI, s’il peut être réactivé proprement et si le firmware accepte les nouvelles autorités. En revanche, si la machine démarre en mode BIOS hérité, si le fabricant ne fournit plus de mise à jour ou si Secure Boot n’est pas exploitable, il n’y aura pas de solution logicielle à attendre de la part de Windows.
Ce qui ne veut pas dire que les PC privés des certificats Secure Boot 2023 deviendront inutilisables à partir du 24 juin prochain. Microsoft a confirmé que les machines bloquées sur les autorités de 2011 continueraient de démarrer, de fonctionner normalement et de recevoir les mises à jour classiques. En revanche, elles pourraient être privées des futures mises à jour liées au démarrage sécurisé, voire de certaines évolutions majeures annuelles si Microsoft les conditionne à une chaîne de boot à jour. Pour en avoir le cœur net, vous pouvez vérifier l’état de votre machine dans Sécurité Windows, rubrique Sécurité de l’appareil, où Microsoft affiche désormais le statut de Secure Boot.
En entreprise, le sujet devient surtout une affaire d’inventaire
À l’échelle d’un parc, on rappellera toutefois que le problème ne se limitera pas à savoir si un poste démarre encore. Il faudra identifier les machines bloquées sur les autorités de 2011, comprendre pourquoi elles le sont, puis décider si elles peuvent être maintenues, isolées ou remplacées. Les cas les plus simples relèveront d’un BIOS à mettre à jour. Les autres devront être documentés comme exceptions, en particulier dans les environnements soumis à des exigences de conformité, d’assurance ou d’audit.
Cette phase de tri risque de prendre du temps, parce qu’elle dépend à la fois de Windows, du firmware, du modèle exact de machine et du niveau de support encore assuré par le fabricant. Un même parc peut donc mélanger des PC déjà passés aux nouvelles autorités, des postes temporairement bloqués, et des machines trop anciennes pour suivre.
Dans les cas où le remplacement immédiat ne serait pas possible, les équipes IT pourront durcir les accès, renforcer la surveillance ou limiter les usages les plus exposés. Mais ces mesures ne remplaceront pas une chaîne de démarrage à jour.
