Ventoy vient de corriger plusieurs problèmes de démarrage liés à Secure Boot et aux nouveaux certificats déployés avec Windows 11. Une mise à jour à installer si vous utilisez l’outil pour créer des clés USB multiboot.
Un nouveau shim pour passer le cap UEFI CA 2023
Le principal changement est arrivé avec Ventoy 1.1.14. Cette version met à jour le fichier shim utilisé lorsque Secure Boot est actif, afin de corriger un problème de compatibilité avec l’UEFI CA 2023, la nouvelle autorité de certification liée au renouvellement Secure Boot de Microsoft. Les anciens certificats, datant de 2011, arrivent en fin de vie en 2026, tandis que les nouveaux certificats sont progressivement déployés via les mises à jour de Windows 11.
En pratique, un support Ventoy créé avec une ancienne version pouvait donc être bloqué très tôt sur certains PC, avant même l’affichage du menu permettant de choisir une ISO Windows, Linux ou un outil de dépannage. Depuis Ventoy 1.1.14, l’outil s’appuie sur une nouvelle autorité de certification. Lors du premier démarrage sur un PC avec Secure Boot activé, il peut donc demander d’enregistrer sa propre clé de confiance dans le firmware UEFI. L’opération n’est à faire qu’une fois par ordinateur.
Ventoy 1.1.14 ajoute aussi une option VTOY_SECURE_BOOT_POLICY, qui permet d’ajuster la façon dont l’outil gère Secure Boot. Les versions suivantes ont corrigé d’autres problèmes de démarrage : Ventoy 1.1.15 règle un souci lorsque Secure Boot est désactivé dans le firmware UEFI, et Ventoy 1.1.16 corrige un cas similaire sur d’anciens firmwares UEFI.
Bref, si votre clé USB Ventoy sert à installer Windows 11, tester des ISO Linux ou dépanner des PC récents, mieux vaut la mettre à jour avant d’en avoir besoin dans l’urgence.
Secure Boot est une fonction de l’UEFI qui n’autorise le démarrage que de chargeurs d’amorçage (bootloaders) signés avec des clés jugées fiables par le firmware. L’objectif est d’empêcher qu’un bootloader modifié (malware, rootkit) prenne le contrôle avant le système d’exploitation. Si le composant qui lance Ventoy n’est pas signé avec un certificat reconnu, la machine peut refuser de booter bien avant d’afficher le menu de choix des ISO. Ce blocage peut se produire même si les ISO sont intactes, car la vérification se fait au niveau de la chaîne de démarrage.
À quoi correspond l’UEFI CA 2023 de Microsoft et pourquoi le passage depuis les certificats 2011 change la donne ?UEFI CA 2023 est une nouvelle autorité de certification utilisée par Microsoft pour signer des éléments compatibles Secure Boot, dans le cadre d’un renouvellement des certificats. Les certificats historiques (souvent associés à 2011) arrivent en fin de vie en 2026, et Windows 11 commence à déployer les nouveaux certificats via ses mises à jour. Résultat : certains firmwares UEFI et certains outils de démarrage doivent s’aligner sur cette nouvelle chaîne de confiance, sinon la signature peut être considérée comme invalide ou non reconnue. C’est typiquement le genre de transition silencieuse qui ne se voit pas… jusqu’au jour où une clé USB ne démarre plus sur une machine à jour.
C’est quoi un “shim” dans le contexte Secure Boot, et pourquoi Ventoy peut demander d’enregistrer une clé dans l’UEFI ?Un shim est un petit bootloader intermédiaire, signé pour être accepté par Secure Boot, qui sert ensuite de relais pour lancer d’autres composants tout en gérant la validation des signatures. Il est très utilisé côté Linux pour rester compatible avec les politiques de Secure Boot sans dépendre d’un unique bootloader figé. Quand un outil comme Ventoy met à jour son shim pour rester compatible avec de nouveaux certificats, il peut aussi nécessiter d’ajouter une clé de confiance (Machine Owner Key, selon l’implémentation) dans l’UEFI. Cette étape permet au firmware d’accepter durablement la chaîne de démarrage de Ventoy sur cette machine, et ne se fait qu’une fois par ordinateur.
