Microsoft a suspendu le déploiement des nouveaux certificats Secure Boot sur certains PC Windows 11. En cause, des incompatibilités de firmware susceptibles de perturber l’installation.

Microsoft
Microsoft

Microsoft poursuit le remplacement des anciens certificats Secure Boot, dont le premier est arrivé à expiration le 24 juin 2026. Un peu plus de deux semaines après cette échéance, la migration vers les certificats de 2023 a déjà été appliquée automatiquement sur la majorité des PC compatibles via Windows Update. Mais certains appareils devront patienter : Redmond a identifié des configurations sur lesquelles l’opération pourrait provoquer des erreurs, voire déclencher l’écran de récupération BitLocker.

Microsoft suspend la mise à jour sur les PC à risque

Lorsqu’un appareil est concerné, l’application Sécurité Windows peut désormais indiquer qu’il appartient à un groupe touché par un problème connu. Microsoft bloque alors volontairement l’installation des nouveaux certificats, le temps qu’un correctif soit mis au point avec le fabricant du PC.

Le problème résulte du firmware UEFI, qui stocke les clés et certificats utilisés par Secure Boot. Certaines versions gèrent mal leur renouvellement ou nécessitent une mise à jour du BIOS avant de pouvoir accepter la nouvelle chaîne de confiance.

HP a notamment reconnu que plusieurs de ses PC pouvaient rencontrer des problèmes avec BitLocker lors de cette migration. Dans ce cas, les certificats de 2023 risquent de ne pas être correctement appliqués. Microsoft recommande donc d’attendre les correctifs distribués par les constructeurs, via Windows Update ou leurs propres outils de maintenance.

Une seconde alerte peut apparaître lorsque le matériel ou le firmware ne permet tout simplement pas la migration. Pour les modèles anciens qui ne sont plus suivis par leur fabricant, aucune mise à jour ne sera nécessairement proposée.

Une nouvelle alerte dans Sécurité Windows peut désormais signaler les PC volontairement exclus de la mise à jour en raison d’incompatibilités connues. © Microsoft
Une nouvelle alerte dans Sécurité Windows peut désormais signaler les PC volontairement exclus de la mise à jour en raison d’incompatibilités connues. © Microsoft

Le PC continuera de fonctionner, mais sa protection prendra du retard

L’absence des nouveaux certificats Secure Boot ne bloque ni le démarrage de Windows 11 ni les mises à jour mensuelles. Le PC conserve également les protections déjà enregistrées dans son firmware.

En revanche, il pourrait ne plus recevoir certaines évolutions de sécurité liées au démarrage. Les nouvelles versions de Windows Boot Manager ou les futures listes de révocation de chargeurs vulnérables peuvent nécessiter les certificats de 2023. À terme, la machine risque donc d’être moins bien protégée contre de nouveaux bootkits ou composants compromis.

Les personnes concernées peuvent vérifier leur situation dans Sécurité Windows > Sécurité de l’appareil > Démarrage sécurisé. Si une incompatibilité est signalée, mieux vaut maintenir Windows et le BIOS à jour sans tenter de forcer l’installation. Désactiver Secure Boot ne résoudrait pas le problème et réduirait encore la protection du PC.

  • Refonte graphique de l'interface réussie
  • Snap amélioré
  • Groupes d'ancrage efficaces
8 / 10
Foire aux questionsContenu généré par l’IA
À quoi servent les certificats Secure Boot et pourquoi doivent-ils être renouvelés sur Windows 11 ?

Secure Boot est une fonction de l’UEFI qui vérifie, au démarrage, que le chargeur d’amorçage et certains composants bas niveau sont signés avec des clés approuvées. Les certificats servent à établir cette “chaîne de confiance” : ils permettent d’accepter des signatures valides et de refuser du code modifié ou malveillant. Comme tout certificat, ils ont une date d’expiration et peuvent aussi être remplacés pour renforcer la sécurité ou changer d’autorité de signature. Sans certificat à jour, certaines nouvelles signatures (ou nouvelles politiques de validation) peuvent ne plus être reconnues. Le renouvellement vise donc à maintenir la capacité de Windows à démarrer de façon fiable tout en bloquant les implants de type bootkit.

Quel rôle joue le firmware UEFI (BIOS) dans la migration des certificats Secure Boot, et d’où viennent les incompatibilités ?

Les clés et certificats utilisés par Secure Boot sont stockés et gérés dans le firmware UEFI, pas uniquement dans Windows. Mettre à jour ces éléments revient à modifier des variables de sécurité (clés, bases d’autorisations, listes de révocation) que certaines implémentations UEFI gèrent différemment selon les fabricants et versions. Sur certains PC, l’UEFI peut mal accepter la nouvelle chaîne de confiance, nécessiter une mise à jour préalable du BIOS/UEFI, ou échouer lors de l’écriture des nouveaux éléments. Ce type d’échec peut empêcher la validation attendue au boot, ce qui déclenche ensuite des mécanismes de récupération. C’est pour limiter les démarrages en échec que la mise à jour est temporairement bloquée sur les configurations identifiées comme à risque.

Pourquoi une mise à jour de certificats Secure Boot peut-elle déclencher l’écran de récupération BitLocker ?

BitLocker s’appuie sur le TPM et sur des mesures d’intégrité du démarrage (Secure Boot, chargeur, paramètres UEFI) pour décider si l’environnement est “inchangé”. Une modification des clés/certificats Secure Boot ou de certains paramètres UEFI peut être interprétée comme un changement significatif de la chaîne de démarrage. Dans ce cas, BitLocker peut exiger la clé de récupération, par précaution, pour éviter qu’un attaquant ne contourne le chiffrement en altérant le boot. Ce n’est pas forcément le signe d’une attaque, mais d’une divergence entre l’état mesuré précédemment et l’état actuel. D’où l’intérêt de laisser les correctifs constructeur gérer la transition, plutôt que de forcer la migration manuellement.