Microsoft prépare une transition délicate pour des millions de PC Windows 11. En juin 2026, les certificats Secure Boot originaux, utilisés depuis 2011 pour sécuriser le démarrage des ordinateurs, arriveront à expiration. L’entreprise déploie donc progressivement de nouveaux certificats, datés de 2023, afin d’éviter que les machines deviennent plus vulnérables aux attaques visant le processus de démarrage.

Secure Boot est un mécanisme de sécurité intégré au micrologiciel UEFI des ordinateurs. Son rôle est de vérifier, au démarrage, que les composants essentiels du système, comme des pilotes, des applications et le gestionnaire de démarrage de Windows, sont bien signés et approuvés. Ce contrôle repose sur une chaîne de confiance composée de plusieurs clés et bases de données, dont la DB, qui contient les signatures autorisées, et la DBX, qui regroupe les signatures révoquées associées à des logiciels compromis.

L’enjeu est important, mais il ne faut pas le dramatiser à l’excès. Selon les explications données par Microsoft lors d’une séance Ask Microsoft Anything tenue en mars 2026, un PC Windows 11 qui n’aura pas reçu les nouveaux certificats en juin 2026 ne cessera pas automatiquement de fonctionner. Il continuera de démarrer et d’exécuter Windows. Le problème se situera plutôt sur le plan de la sécurité. Une machine restée avec les anciens certificats ne pourra plus recevoir certaines mises à jour critiques liées au démarrage, ni les nouvelles listes de révocation destinées à bloquer de futurs logiciels malveillants de type bootkit.

Cette transition est sensible parce qu’elle touche directement au micrologiciel de la carte mère. Microsoft affirme donc procéder par étapes, avec des déploiements contrôlés et des mises à jour cumulatives, afin de limiter les risques. Dans certains cas, l’installation des nouveaux certificats peut entraîner plusieurs redémarrages. L’entreprise précise aussi que le processus est conçu pour tenir compte de BitLocker, le système de chiffrement de Windows, afin d’éviter de verrouiller inutilement l’utilisateur hors de sa machine.

Les ordinateurs plus anciens ne sont pas tous concernés de la même façon. Les machines utilisant encore un véritable BIOS hérité, sans prise en charge d’UEFI et de Secure Boot, ne recevront pas cette mise à jour, car elles ne peuvent pas techniquement l’appliquer. En revanche, les systèmes UEFI configurés avec un mode de compatibilité peuvent être traités normalement si Secure Boot est activé. Microsoft indique aussi que la mise à jour échoue volontairement lorsque Secure Boot est désactivé dans le BIOS, afin d’éviter des comportements imprévisibles selon les fabricants de cartes mères.

Pour les particuliers, la vérification se fait dans l’application Sécurité Windows, à la section Sécurité de l’appareil. Microsoft y affiche désormais l’état des certificats Secure Boot. Un indicateur vert signifie que tout est en ordre. Un avertissement jaune ou rouge indique qu’une action peut être requise. L’objectif est d’alerter les utilisateurs avant que l’absence de mise à jour ne devienne un obstacle à de futures mises à niveau de Windows.

La situation est plus complexe pour les entreprises. Les administrateurs doivent composer avec des parcs informatiques variés, des images de démarrage réseau, des machines virtuelles, des serveurs et parfois des configurations personnalisées de Secure Boot. Microsoft déconseille les déploiements forcés sur l’ensemble d’une flotte sans tests préalables. Dans certains environnements, notamment avec PXE, Hyper-V ou Windows Server, des interventions manuelles et des scripts PowerShell peuvent être nécessaires.

Cette échéance illustre un défi plus large de l’industrie informatique. Des mécanismes de sécurité installés il y a plus d’une décennie arrivent maintenant à leur limite cryptographique. Microsoft prévoit que les certificats 2023 pourront tenir jusqu’en 2038, mais l’entreprise évoque déjà l’arrivée de nouveaux certificats liés à la cryptographie post-quantique dans les années 2030. Pour les utilisateurs, le message est simple : il n’y a pas lieu de paniquer, mais il vaut mieux vérifier dès maintenant l’état de Secure Boot sur son PC Windows 11. Juin 2026 ne transformera pas les ordinateurs négligés en presse-papiers, mais il pourrait les laisser durablement moins bien protégés.

Source : Microsoft, Windows Latest

*****

Du lundi au vendredi, Bruno Guglielminetti vous propose un regard sur l’essentiel de l’actualité numérique avec 120 secondes de Tech.

Ou encore…

Écoutez la plus récente édition de Mon Carnet,
le magazine hebdomadaire de l’actualité numérique.