Temps de lecture : 4 min
En pratique, une autre échéance technique majeure se profile pour l’écosystème Windows. Après la fin du support de Windows 10, c’est au tour des certificats cryptographiques fondateurs de Secure Boot, émis en 2011, d’arriver à expiration en juin 2026. Ce qui compte vraiment, c’est de comprendre l’impact concret sur vos parcs machines et les actions à mener, sans alarmisme inutile.
Secure Boot : le gardien du démarrage, décortiqué
Sur le terrain, Secure Boot n’est pas une option marketing. C’est une fonction de sécurité matérielle, activée par défaut sur les PC vendus avec Windows 10/11 et supportée par les principales distributions Linux. Son rôle ? Agir comme un contrôleur d’intégrité au démarrage. Il vérifie que chaque composant logiciel (bootloader, noyau) est signé numériquement et approuvé avant son exécution. Cela bloque les rootkits ou les tentatives de boot sur un périphérique non autorisé.
Le cœur du problème : la chaîne de certificats de 2011
Décortiquons ça. Secure Boot s’appuie sur une chaîne de confiance cryptographique ancrée dans le micrologiciel UEFI de la machine. Deux certificats clés, émis par Microsoft en 2011, sont au centre de cette architecture :
- La Key Exchange Key (KEK)
- Le certificat d’autorité UEFI CA
Ces certificats, présents dans la quasi-totalité des PC fabriqués depuis 2011, expirent en juin 2026. En pratique, une fois expirés, ils ne peuvent plus valider les signatures des logiciels de démarrage. Conséquence directe : le système d’exploitation peut refuser de démarrer. La solution de contournement ? Désactiver Secure Boot. Mais cela implique de perdre l’accès aux disques chiffrés avec BitLocker et d’abaisser significativement le niveau de sécurité du poste.
La réponse de Microsoft : les certificats 2023
Sans langue de bois, remplacer ces certificats n’est pas trivial. Si c’était simple, ce serait une cible de choix pour les acteurs malveillants. Microsoft l’a compris et a publié de nouveaux certificats en 2023. L’opération est complexe car elle nécessite de mettre à jour la racine de confiance (Platform Key), gérée par le fabricant du matériel (OEM).
Depuis 2024, les nouveaux appareils des grands OEM (Dell, HP, Lenovo, etc.) et les PC Copilot+ 2025+ embarquent d’office ces certificats 2023. Sur le terrain, pour le parc existant, la mise à jour doit être coordonnée entre Microsoft (via Windows Update) et les fabricants (via des mises à jour de firmware).
Diagnostic : votre PC est-il concerné ?
Passons au concret. Pour vérifier si votre machine dispose déjà des certificats 2023, exécutez cette commande en PowerShell (Admin) :
> ([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023')
- Résultat True : Vous êtes à jour.
- Résultat False : Une mise à jour de firmware est probablement nécessaire.
Ce qui compte vraiment : Si votre PC est géré par une politique de mises à jour standard (Windows Update activé), et qu’il provient d’un grand OEM, la mise à jour des certificats devrait être automatique via les mises à jour mensuelles de Windows 11, ou de Windows 10 avec un abonnement ESU. L’application Sécurité Windows doit indiquer l’état de cette mise à jour.
Cas particuliers : Linux, PC assemblés, Mac
En pratique, les scénarios se complexifient en dehors du cas standard Windows/OEM.
- Linux en dual-boot : Microsoft indique que la mise à jour couvrira aussi les certificats utilisés par les chargeurs d’amorçage Linux courants.
- PC assemblé (DIY) : Contactez le fabricant de votre carte mère pour une éventuelle mise à jour du BIOS/UEFI. Sur du matériel ancien, le support peut être absent. La désactivation de Secure Boot reste une option, avec les inconvénients évoqués.
- Mac : Non concerné. L’écosystème Apple utilise sa propre implémentation (Secure Boot basé sur Apple Silicon ou T2).
- Linux seul (sans Windows) : Vous ne recevrez pas les mises à jour automatiques de Microsoft. Renseignez-vous auprès du distributeur de votre matériel ou de votre distribution.
Les risques de l’inaction
Sans langue de bois, ne pas mettre à jour expose à deux risques principaux, comme le précise Microsoft :
- Blocage des correctifs de sécurité pré-démarrage, affaiblissant la sécurité globale du boot.
- Incompatibilité avec les nouveaux chargeurs d’amorçage signés, pouvant compromettre la maintenance et les mises à jour futures du système.
À retenir : 1) L’expiration des certificats Secure Boot 2011 en juin 2026 est un problème technique réel pour la sécurité du démarrage. 2) La majorité des PC gérés recevront la mise à jour automatiquement via Windows Update et les firmware OEM. 3) Pour les cas particuliers (PC assemblés, Linux pur), une action manuelle de vérification et de mise à jour du firmware sera probablement nécessaire.
Conclusion : anticipation et vérification
Sur le terrain, cette échéance est gérable. Pour les administrateurs IT, l’action immédiate est d’inventorier le parc (via la commande PowerShell) et de vérifier la disponibilité des firmwares auprès des fabricants, surtout pour les machines critiques ou hors standard. Pour les particuliers sur des machines récentes de grande marque, laissez les mises à jour automatiques faire leur travail. L’important est d’avoir conscience du sujet pour anticiper et éviter un problème de boot surprise en 2026. Ce qui compte vraiment, c’est la préparation, pas la panique.
Ingénieur systèmes et architecte cloud pendant 8 ans chez un leader européen de l’hébergement, reconverti dans l’analyse tech et business. Passionné par l’intersection entre infrastructure IT, IA générative et transformation digitale des entreprises. J’aide les décideurs et les équipes techniques à naviguer dans l’écosystème tech sans bullshit marketing.