Les certificats Windows Secure Boot expirent le 24 juin

Les certificats Secure Boot de l'ère 2011, qui garantissent la sécurité du démarrage de la plupart des ordinateurs Windows, arrivent à expiration le 24 juin, soit dans un mois. Les appareils dépourvus des certificats de remplacement 2023 ne cesseront pas de fonctionner, mais ils perdront la possibilité de recevoir les futurs correctifs de sécurité au niveau du démarrage. Les utilisateurs de Windows 11 utilisant des versions prises en charge sont mis à jour automatiquement, mais le matériel plus ancien et les machines Windows 10 non prises en charge sont plus difficiles à mettre à jour.

Ce qui expire et quand

Trois certificats arrivent à échéance : le Microsoft Corporation KEK CA 2011 le 24 juin, le Microsoft UEFI CA 2011 le 27 juin et le Microsoft Windows Production PCA 2011 le 19 octobre. Ce dernier signe le chargeur de démarrage de Windows lui-même, ce qui fait du mois d'octobre l'échéance la plus critique pour l'intégrité du démarrage à long terme. Microsoft a commencé à déployer des certificats de remplacement 2023 via Windows Update en janvier et a avancé le déploiement avec chaque mise à jour mensuelle, y compris la KB5089549 de ce mois-ci.

Que se passera-t-il après le 24 juin ?

Votre ordinateur ne cessera pas de démarrer. Microsoft indique que les appareils dont les certificats ont expiré continueront à démarrer normalement et à recevoir les mises à jour standard de Windows ( ). Ce qu'ils perdent, c'est la possibilité de recevoir les nouvelles mises à jour de la base de données Secure Boot, les listes de révocation de certificats et les correctifs pour les vulnérabilités de la couche d'amorçage récemment découvertes. Les exploits au niveau de l'amorçage tels que BlackLotus ont spécifiquement ciblé cette couche. Un appareil dont les certificats ont expiré n'a aucun moyen de se protéger contre les menaces futures au niveau du micrologiciel.

Comment vérifier votre appareil

Ouvrez Windows Security, sélectionnez Device Security et vérifiez la section Secure Boot. L'article d'assistance KB5062710 de Microsoft ( ) de Microsoft explique la signification de l'expiration et les mesures à prendre si la mise à jour n'a pas été appliquée. Les utilisateurs de Windows 10 qui ne bénéficient pas du programme Extended Security Updates ne recevront pas les nouveaux certificats et n'auront aucune possibilité de remédiation à partir du 24 juin.

Appareils susceptibles de ne pas recevoir la correction

Certains matériels plus anciens nécessitent une mise à jour correspondante du micrologiciel OEM parallèlement au déploiement des certificats Windows, car la nouvelle chaîne de certificats doit être ancrée directement dans le micrologiciel UEFI. Les appareils des fabricants qui ont cessé d'émettre des mises à jour de micrologiciels peuvent continuer à utiliser les certificats 2011, quelle que soit l'installation de Windows. Microsoft conseille d'appliquer la dernière mise à jour, de vérifier l'état à l'aide de KB5062710 et de contacter l'assistance OEM si les certificats 2023 n'apparaissent pas sur un système entièrement mis à jour.