Microsoft accélère le déploiement des certificats Secure Boot 2023 sur Windows 11. Davantage de PC encore en attente pourraient enfin recevoir les nouvelles autorités de démarrage sécurisé, sans intervention manuelle.
Le renouvellement des certificats Secure Boot 2023 avance encore, mais tous les PC Windows 11 n’en profitent pas au même rythme, Redmond s’appuyant sur des données de ciblage précises pour éviter de toucher à la chaîne de démarrage des machines qui ne présentent pas encore assez de garanties. Après plusieurs mois de déploiement progressif, Microsoft élargit à nouveau le cercle des configurations compatibles via la mise à jour optionnelle KB5095093. En clair, si votre PC attendait encore de recevoir automatiquement les nouvelles autorités de démarrage sécurisé, il pourrait bien faire partie de la prochaine vague.
La solution tout-en-un pour protéger votre entreprise
Votre petite entreprise a de grandes ambitions. Protégez-là contre les pirates. Et développez sereinement votre activité !
Le déploiement automatique gagne du terrain
Microsoft a donc décidé d’accélérer prudemment le déploiement automatique des certificats Secure Boot 2023 en enrichissant les données utilisées par Windows Update. La mise à jour KB5095093 ajoute ainsi de nouveaux éléments à la base dite « High Confidence », utilisée pour classer les appareils à partir des caractéristiques matérielles et firmware des machines, mais aussi des réussites et des échecs déjà observés lors du renouvellement des certificats.
Redmond tient notamment compte du constructeur, du modèle, de la carte mère et de la version UEFI. Quand un groupe de machines comparables a déjà appliqué la transition sans incident connu, Windows Update peut proposer automatiquement les nouveaux certificats aux PC du même ensemble. Davantage de configurations vont donc pouvoir avancer sans intervention manuelle.
Une mise à jour qui ne dépend pas seulement de Windows
Si Redmond procède à un déploiement aussi progressif, c’est parce que les certificats Secure Boot ne sont pas appliqués comme de simples composants Windows. Ils doivent être inscrits dans les bases de clés gérées par l’UEFI, puis acceptés par le firmware au démarrage pour autoriser le lancement de Windows Boot Manager.
Microsoft peut donc préparer le renouvellement via Windows Update, mais l’opération dépend aussi de la place disponible dans la partition EFI, des limites propres au firmware et de la manière dont le constructeur a implémenté Secure Boot sur chaque modèle.
Pour rappel, les PC en attente ou incompatibles ne cesseront pas de fonctionner du jour au lendemain. Ils continueront de démarrer et de recevoir les mises à jour classiques. En revanche, ils conserveront une chaîne Secure Boot vieillissante, ce qui pourrait poser un problème de sécurité à terme et compliquer l’installation des prochaines mises à niveau de Windows 11.
