Windows Secure Boot 2026 : Microsoft émet un dernier avertissement concernant l'expiration des certificats

Microsoft a déjà commencé à déployer la chaîne de certificats Secure Boot de remplacement dont Windows aura besoin lorsque les certificats originaux de 2011 commenceront à expirer en juin 2026. Notebookcheck a récemment couvert l'avertissement de Microsoft et les signaux de déploiement précoce apparaissant dans les récentes mises à jour cumulatives, mais la prochaine phase concerne moins Windows que la préparation des microprogrammes.

Si le micrologiciel UEFI de votre PC n'est pas prêt à accepter et à conserver les nouveaux certificats 2023, Windows Update peut tenter le transfert et laisser l'appareil bloqué dans ce que Microsoft décrit comme un état de sécurité dégradé, où les futures mises à jour de sécurité liées au démarrage risquent de ne pas s'appliquer proprement.

Qu'est-ce qui expire réellement, et quand ?

Les ancres de confiance de Microsoft Secure Boot de Microsoft datant de 2011 commencent à expirer à la fin du mois de juin 2026, avec des expirations supplémentaires plus tard en 2026. La ventilation de Dell est l'un des calendriers publics les plus clairs, indiquant la date d'expiration du premier certificat de 2011 comme étant le 24 juin 2026 (Microsoft Corporation KEK CA 2011), suivi du 27 juin 2026 (Microsoft Corporation UEFI CA 2011), et un autre certificat de clé expirant le 19 octobre 2026 (Microsoft Windows Production PCA 2011).

En pratique, de nombreux fournisseurs se font l'écho du même résultat : les systèmes devraient continuer à démarrer, mais les appareils qui ne passent pas à la chaîne de certificats de l'ère 2023 risquent de ne plus pouvoir recevoir les futures mises à jour du chargeur de démarrage et de Secure Boot, d'où l'expression "sécurité dégradée".

La part de Microsoft : Windows peut fournir la nouvelle chaîne de confiance, mais seulement si les microprogrammes coopèrent

Le principal outil technique est déjà présent dans les versions de Windows prises en charge. La KB5036210 de Microsoft indique que les mises à jour de Windows publiées à partir du 13 février 2024 incluent la possibilité d'appliquer le certificat Windows UEFI CA 2023 à la base de données des signatures autorisées de l'UEFI Secure Boot (db), et que la mise à jour de la db est nécessaire pour recevoir les futures mises à jour du chargeur de démarrage par le biais des mises à jour mensuelles.

Microsoft indique également que "la plupart des appareils personnels Windows" devraient recevoir les nouveaux certificats automatiquement par le biais des mises à jour gérées par Microsoft, mais prévient explicitement que certains appareils peuvent nécessiter une mise à jour du micrologiciel de l'équipementier pour appliquer correctement les nouveaux certificats.

Le rôle des OEM : Clés actives ou clés par défaut, et pourquoi les réinitialisations peuvent vous nuire

C'est là que la politique du fournisseur en matière de microprogrammes est plus importante que ne le pensent la plupart des utilisateurs. La FAQ Secure Boot Transition de Dell fait la distinction entre la base de données Active Secure Boot (ce que le système applique réellement au démarrage et que Windows Update modifie généralement) et la base de données Default Secure Boot (le jeu de réinitialisation d'usine, généralement mis à jour par le biais d'un flashage du BIOS). Dell prévient également que certaines actions du microprogramme, telles que l'activation du mode "Expert Key", peuvent effacer les variables actives provenant de Windows Update si la base de données par défaut n'a pas été mise à jour de manière appropriée.

Ce même document de Dell décrit également une "stratégie de double certificat", indiquant que Dell a commencé à expédier des certificats 2011 et 2023 sur les plateformes nouvellement lancées à la fin de l'année 2024 et a étendu cette approche aux plateformes durables expédiées par les usines à la fin de l'année 2025.

Les conseils de Lenovo pour les PC commerciaux décrivent également la solution comme une mise à jour du BIOS qui ajoute les certificats 2023 aux variables Secure Boot par défaut, avec des étapes supplémentaires parfois nécessaires pour activer les variables 2023 sur les systèmes qui ne sont pas déjà préconfigurés. L'avis signale également la récupération BitLocker comme un effet secondaire potentiel, ce qui explique pourquoi la sauvegarde des clés de récupération avant les changements de firmware reste une bonne pratique.

L'avis de HP indique également que la société a travaillé avec Microsoft pour préparer les produits HP compatibles avec Secure Boot aux nouveaux certificats pour les nouveaux certificats et prévient que l'expiration du certificat peut empêcher les systèmes de recevoir les mises à jour de sécurité liées à Secure Boot et à Windows Boot Manager, ce qui augmente l'exposition aux menaces de type "bootkit".

Le problème des cartes mères DIY et gaming : vous devez parfois "installer vous-même les clés par défaut"

ASUS est l'un des rares fournisseurs de cartes mères destinées aux consommateurs à avoir publié un guide très procédural, étape par étape, pour cette transition, y compris la manière de confirmer que les nouvelles entrées 2023 sont présentes dans le micrologiciel et ce qu'il faut faire si ce n'est pas le cas.

Dans son site support FAQaSUS décrit la navigation dans la gestion des clés UEFI Secure Boot et vérifie que KEK inclut "Microsoft Corporation KEK 2K CA 2023" et que le db inclut "Windows UEFI CA 2023" (ainsi que d'autres entrées Microsoft de l'ère 2023). Il documente également les étapes de remédiation telles que "Installer les clés de démarrage sécurisé par défaut" ou "Restaurer les clés d'usine" après la mise à jour du BIOS, ce qui permet de repeupler les bases de données de clés à partir du magasin par défaut du microprogramme.

C'est cette lacune qui a tendance à toucher le plus durement les systèmes de bricolage : Windows peut fournir des mises à jour, mais le micrologiciel de la carte mère peut encore nécessiter une intervention manuelle avant que les nouvelles clés ne soient pleinement présentes et actives.

Comment vérifier l'état de préparation à l'aide des signaux officiels de Microsoft ?

Pour les parcs gérés par les services informatiques, le manuel de Microsoft Secure Boot de Microsoft présente des indicateurs concrets que vous pouvez surveiller.

Microsoft indique qu'un déploiement réussi peut être confirmé en vérifiant les entrées du journal des événements du système Windows pour l'ID d'événement 1808, et que les échecs d'application des certificats mis à jour sont associés à l'ID d'événement 1801. Le même manuel de jeu fait également référence à la clé de registre UEFICA2023Status qui devrait être "Updated", et note qu'une clé UEFICA2023Error ne devrait pas exister à moins qu'une erreur ne soit en cours.

Le guide recommande aussi explicitement d'appliquer les mises à jour du micrologiciel OEM avant les mises à jour Windows liées à Secure Boot si votre organisation a identifié des problèmes ou si votre OEM recommande une mise à jour du BIOS, ce qui renforce le thème général : l'aspect Windows n'est que la moitié de l'histoire.

Le cas limite du "zombie" de Windows 10 est toujours réel

Enfin, l'actualisation des certificats est un autre point de pression pour les partisans de Windows 10. La documentation de support de Microsoft indique que le support de Windows 10 s'est terminé le 14 octobre 2025, et Microsoft positionne Windows 10 Extended Security Updates (ESU) comme la voie payante pour continuer à recevoir les mises à jour de sécurité après cette date.

Le guide Secure Boot de Microsoft rappelle également que les appareils fonctionnant avec des versions de Windows non prises en charge ne reçoivent pas les mises à jour de Windows, ce qui explique pourquoi le transfert Secure Boot est effectivement lié au fait de rester sous Windows est effectivement lié au fait de rester sur un chemin de maintenance pris en charge (ou ESU pour Windows 10, le cas échéant).