Microsoft remplace les certificats Secure Boot auxquels beaucoup de PC Windows font confiance depuis 2011. Deux de ces anciennes autorités de certification commencent à expirer en juin 2026, puis le certificat de démarrage Windows suit en octobre 2026.
Cela peut donner l’impression qu’un compte à rebours est attaché à chaque PC. Ce n’est pas exactement le cas. Microsoft indique qu’un état de certificat non pris en charge ne devrait pas empêcher instantanément un PC normal de démarrer le 1er juin 2026. Le risque le plus réaliste est plus discret mais important : un PC qui manque le rafraîchissement des certificats 2023 peut ne plus être éligible à de futures protections de démarrage, mises à jour de sécurité du Boot Manager, révocations et changements de supports de récupération.
La bonne réaction n’est donc pas la panique. C’est de vérifier maintenant, de mettre à jour prudemment et d’éviter de casser soi-même son chemin de récupération.
Réponse rapide
Installez les mises à jour Windows, redémarrez, puis vérifiez Sécurité Windows
La plupart des appareils Windows domestiques pris en charge devraient recevoir les certificats Secure Boot 2023 via Windows Update. Après mise à jour, ouvrez Sécurité Windows > Sécurité des appareils > Secure Boot et lisez le texte d'état, pas seulement la couleur de l'icône.
Ne désactivez pas Secure Boot comme “solution”. Ne réinitialisez pas les clés Secure Boot et ne forcez pas les révocations si vous ne savez pas exactement pourquoi et si vous n’avez pas un support de récupération qui démarre encore.
Mon PC va-t-il arrêter de fonctionner en juin 2026 ?
Pour la plupart des PC Windows 10/11 pris en charge et des PC Windows 11, la réponse devrait être non. Microsoft présente l’expiration des certificats 2026 comme une transition de sécurité et de maintenance, pas comme une date universelle de panne au démarrage.
PC Windows 11 pris en charge, Windows Update normal, firmware récent, Secure Boot activé, et Sécurité Windows indiquant que toutes les mises à jour de certificats requises sont appliquées.
PC non redémarré depuis des mois, vieux BIOS/UEFI, BitLocker, vieux support USB de récupération, ou état Secure Boot jaune/rouge.
Parcs gérés, anciens PC assemblés, systèmes Windows 10 non pris en charge, environnements PXE/WinPE, dual boot, VM ou machines dont le firmware OEM ne peut pas accepter les mises à jour de confiance 2023.
La version trompeuse de l’histoire est “les PC Windows vont briquer quand les certificats expirent”. La version utile est : votre PC peut continuer à démarrer, mais la chaîne de confiance de démarrage doit passer des certificats 2011 aux certificats 2023 si vous voulez que la protection Secure Boot future continue de fonctionner.
Vérifier votre PC en 5 minutes
1. Installer les mises à jour Windows et redémarrer
Ouvrez Paramètres > Windows Update, installez les mises à jour de sécurité/cumulatives disponibles et redémarrez quand Windows le demande. Microsoft livre le rafraîchissement des certificats Secure Boot via la maintenance normale pour beaucoup d’appareils pris en charge.
Si vous repoussez souvent les redémarrages, c’est le genre de cas où cela masque l’état réel. Plusieurs étapes Secure Boot demandent un redémarrage avant que l’état suivant apparaisse.
Ce principe rejoint l’hygiène de sécurité générale : maintenir le chemin de confiance avant d’en avoir besoin. Si vous remettez toute la configuration à plat, traitez le système, le firmware, le routeur, les comptes et les supports de récupération comme des parties d’une même routine de mise à jour, pas comme des tâches isolées.
2. Ouvrir l’écran d’état Secure Boot
Ouvrez Sécurité Windows, puis Sécurité des appareils, puis Secure Boot.
Lisez le message. Microsoft avertit qu’une icône verte seule ne suffit pas ; l’état entièrement mis à jour doit indiquer que les mises à jour de certificats requises et le Boot Manager mis à jour ont été appliqués.
Si Sécurité Windows indique que des mises à jour sont en attente, installez Windows Update et redémarrez de nouveau. Si l’écran demande une action firmware ou fabricant, allez sur la page support du fabricant avant d’essayer des corrections registre.
3. Confirmer que Secure Boot est activé
Appuyez sur Win + R, tapez msinfo32, puis ouvrez Informations système.
| Champ | Ce que vous voulez | Ce que cela veut dire |
|---|---|---|
| Mode BIOS | UEFI | Secure Boot dépend d'un démarrage UEFI, pas d'un BIOS hérité. |
| État du démarrage sécurisé | On | Secure Boot est actuellement activé. |
| Configuration PCR7 | Souvent Binding Possible ou Bound | Contexte utile pour BitLocker/chiffrement, mais pas une vérification complète des certificats. |
Cet écran confirme l’état de Secure Boot. Il ne prouve pas que tous les certificats 2023 sont installés.
4. Vérification PowerShell optionnelle
Ouvrez PowerShell en administrateur et lancez :
Confirm-SecureBootUEFI
True signifie que Secure Boot est activé. False signifie qu’il est désactivé. Une erreur signifie souvent que la commande ne peut pas lire Secure Boot UEFI sur cette plateforme. C’est utile, mais la disponibilité des certificats se vérifie mieux via Sécurité Windows, les valeurs d’administration Microsoft et les journaux d’événements.
Quel chemin vous concerne ?
Qu’est-ce qui expire vraiment ?
Secure Boot est un système de confiance au niveau firmware. Avant que Windows démarre, le firmware UEFI vérifie si les composants de démarrage précoces sont signés par des autorités de certification approuvées. Ces bases de confiance vivent dans le firmware/NVRAM, pas seulement dans un dossier Windows.
| Rôle | Ancien certificat | Remplacement | Pression d'expiration |
|---|---|---|---|
| Autorise les mises à jour des bases Secure Boot | Microsoft Corporation KEK CA 2011 | Microsoft Corporation KEK 2K CA 2023 | Juin 2026 |
| Fait confiance à Windows Boot Manager | Microsoft Windows Production PCA 2011 | Windows UEFI CA 2023 | Octobre 2026 |
| Fait confiance aux apps/loaders UEFI tiers | Microsoft UEFI CA 2011 | Microsoft UEFI CA 2023 | Juin 2026 |
| Fait confiance à certains composants firmware de démarrage | Microsoft UEFI CA 2011 | Microsoft Option ROM UEFI CA 2023 | Juin 2026 |
La structure 2023 est plus granulaire : elle sépare plus clairement la confiance du démarrage Windows, des applications EFI tierces et des option ROM.
Pourquoi BlackLotus et KB5025885 reviennent souvent
Deux sujets liés sont souvent mélangés :
- Le rafraîchissement des certificats 2026. Les anciennes autorités Secure Boot expirent, donc les PC ont besoin de la chaîne de confiance 2023.
- Le durcissement CVE-2023-24932 / BlackLotus. Microsoft prépare aussi des révocations et changements de Boot Manager pour bloquer des bootloaders signés vulnérables utilisés par des bootkits.
Ils sont connectés parce qu’ils touchent aux bases de confiance Secure Boot et aux signatures du Boot Manager. Ce n’est pas la même tâche.
Vérifier les certificats 2023 est une bonne étape pour un particulier. Forcer des révocations DBX ou des atténuations pilotées par registre sans préparation peut casser d’anciens supports de démarrage, environnements de récupération, flux PXE ou dual boot. Le calendrier d’application permanent de Microsoft doit être traité comme contrôlé par Microsoft, pas deviné.
Ce qu’il ne faut pas faire
Cela masque le problème d'état et affaiblit la protection avant démarrage.
Certains anciens firmwares par défaut peuvent ne pas inclure les certificats 2023. Réinitialiser après un Boot Manager signé 2023 peut créer un problème de démarrage.
De vieux WinRE, WinPE, PXE, clés USB d'installation et chargeurs dual boot peuvent échouer s'ils dépendent encore de composants signés 2011 révoqués.
Sauvegardez les clés de récupération avant les travaux firmware ou Secure Boot.
BitLocker, supports de récupération et clés USB d’installation
BitLocker et Secure Boot sont étroitement liés. C’est bon pour la sécurité, mais cela signifie que les changements de firmware et de confiance de démarrage peuvent déclencher une demande de récupération.
Avant de changer les réglages BIOS/UEFI, de réinitialiser les clés Secure Boot ou d’appliquer une maintenance Secure Boot administrée, sauvegardez votre clé de récupération BitLocker. Sur beaucoup de PC Windows 11, le chemin est Paramètres > Confidentialité et sécurité > Chiffrement de l’appareil > Chiffrement de lecteur BitLocker, ou la page de clés de récupération du compte Microsoft si votre appareil les y stocke.
Les supports de récupération sont l’autre piège. Une clé USB Windows, une image WinRE, une clé WinPE ou une image PXE créée avant la transition du Boot Manager 2023 peut ne pas démarrer après certaines révocations. Les administrateurs doivent reconstruire ou mettre à jour les supports de récupération avec les outils Windows actuels avant un déploiement large. Les particuliers devraient recréer leurs supports depuis les outils Microsoft actuels plutôt que garder une vieille clé comme unique plan de secours.
Firmware OEM : quand le fabricant compte
Windows Update peut livrer beaucoup de choses, mais les bases Secure Boot vivent finalement dans le firmware. Si le firmware ne peut pas accepter les bonnes mises à jour, Windows peut signaler un état bloqué ou limité.
| Fabricant | Prochaine étape pratique |
|---|---|
| Dell | Vérifier Dell Update/SupportAssist et la page support du modèle. Dell indique que les BIOS client après le 1er janvier 2026 incluent les certificats 2023. |
| HP | Utiliser HP Support Assistant ou la page support du modèle et chercher des mises à jour BIOS/UEFI liées aux certificats Secure Boot. |
| Lenovo | Utiliser Lenovo Vantage ou la page support ; pour les modèles entreprise, vérifier les notes de déploiement Boot Manager/WinPE. |
| ASUS | ASUS indique que Windows Update est préférable ; le BIOS ou la réinitialisation manuelle des clés est surtout pour les cas où Windows ne peut pas obtenir ou appliquer la mise à jour. |
| Carte mère assemblée | Vérifier le modèle exact et les notes BIOS. Chercher Windows UEFI CA 2023, Secure Boot certificate, UEFI CA, KEK, DB, DBX ou BlackLotus. |
N’installez un firmware que depuis le fabricant de l’appareil ou de la carte mère. Un “BIOS updater” trouvé au hasard n’est pas un raccourci.
Les propriétaires de PC assemblés doivent traiter cela comme une question de support carte mère, pas comme une simple case Windows. Si vous reconstruisez ou remplacez une machine ancienne, vérifiez le modèle exact de la carte, l’historique du BIOS et le support du fabricant avant de planifier un changement matériel.
Checklist petit bureau et administrateurs IT
Si vous gérez plus de quelques PC, ne traitez pas cette transition comme une mise à jour grand public en un clic.
- Inventoriez modèles, versions BIOS/UEFI, état Secure Boot et statut de support Windows.
- Assurez-vous que les clés BitLocker sont séquestrées et récupérables.
- Mettez à jour le firmware d’abord pour les groupes matériels qui en ont besoin.
- Pilotez plusieurs appareils par catégorie modèle/firmware.
- Utilisez les valeurs d’état et événements Microsoft documentés.
- Reconstruisez ou validez WinRE, WinPE, USB d’installation et PXE.
- Documentez rollback et récupération avant des révocations larges.
Microsoft documente les déclenchements entreprise via AvailableUpdates, la tâche planifiée \Microsoft\Windows\PI\Secure-Boot-Update, et les valeurs sous HKLM\SYSTEM<wbr>CurrentControlSet<wbr>Control<wbr>SecureBoot<wbr>Servicing.
Source de journal utile :
TPM-WMI
Événements utiles :
| ID événement | Sens en clair |
|---|---|
| 1036 | Mise à jour Secure Boot DB appliquée. |
| 1043 | Mise à jour KEK appliquée. |
| 1044 | Microsoft Option ROM UEFI CA 2023 installé. |
| 1045 | Microsoft UEFI CA 2023 installé. |
| 1799 | Windows Boot Manager signé 2023 installé. |
| 1800 | Redémarrage requis. |
| 1801 | Les certificats mis à jour ne sont pas encore appliqués au firmware. |
| 1802 | Blocage à cause d'un problème firmware connu. |
| 1803 | KEK signée OEM PK manquante ; Microsoft indique que Windows ne peut pas contourner certains cas. |
| 1808 | Entièrement mis à jour. |
Windows 10, Windows 7 et vieux PC
Windows 10 a atteint la fin du support normal le 14 octobre 2025 pour les consommateurs. Certains utilisateurs et organisations peuvent continuer via Extended Security Updates, mais un PC Windows 10 non pris en charge n’est pas un bon endroit pour dépendre de futures maintenances de chaîne de démarrage.
Sur Windows 10, vérifiez l’inscription ESU ou l’obtention de mises à jour, installez les maintenances disponibles, redémarrez, vérifiez Secure Boot et l’état des certificats, mettez à jour le firmware OEM si le matériel est encore pris en charge, et planifiez une sortie du matériel/logiciel non pris en charge si nécessaire.
Si vous avez encore Windows 7
Windows 7 est une autre situation. Microsoft a arrêté son support normal le 14 janvier 2020, et le programme Extended Security Updates principal a couru jusqu’au 10 janvier 2023. Des systèmes embarqués, médicaux, industriels ou de point de vente peuvent encore exister, mais cela ne les rend pas adaptés à un rafraîchissement Secure Boot piloté par Windows Update.
Ne basculez pas Secure Boot, CSM, UEFI ou TPM à la légère. Gardez une image disque complète, retirez navigation web et e-mail de la machine, isolez-la du réseau ou gardez-la hors ligne si possible, utilisez une liste d’autorisation pare-feu minimale, remplacez les outils d’accès distant non pris en charge et demandez au fournisseur une voie OS supportée.
Beaucoup d'installations Windows 7 utilisent Legacy BIOS/CSM ou d'anciennes hypothèses de démarrage UEFI. Activer Secure Boot ou réinitialiser les clés firmware peut empêcher la machine de démarrer.
Une carte mère ou un portable peut recevoir de nouveaux certificats firmware, mais l'OS Windows 7 non pris en charge ne reçoit toujours pas de maintenance de sécurité Windows actuelle.
Si la machine pilote un outil, une caisse, un appareil de labo ou une vieille application métier, documentez son rôle, sauvegardez-la, isolez-la d'Internet et planifiez un remplacement pris en charge.
Linux dual boot, PXE et VM
Les systèmes dual boot demandent plus de prudence. Beaucoup de distributions Linux utilisent un shim signé par Microsoft pour participer à Secure Boot. La transition vers des composants signés 2023 dépend de la distribution, du paquet shim et de la base de confiance firmware.
Mettez à jour Windows et la distribution Linux avant de changer la confiance Secure Boot, vérifiez les consignes Secure Boot/shim de la distribution, n’appliquez pas de révocations DBX larges sans valider les deux chemins de démarrage, et gardez une clé de récupération actuelle pour chaque OS. Les environnements PXE/WinPE et les VM doivent aussi être vérifiés selon les notes Microsoft et fournisseur.
Les termes sans brouillard
Secure Boot vérifie les signatures avant le démarrage de Windows. UEFI est l’interface firmware moderne dont il dépend. KEK autorise les changements des bases de confiance. DB contient les signatures autorisées. DBX bloque les composants connus comme mauvais ou révoqués. Windows UEFI CA 2023 sert à la confiance du Windows Boot Manager. Microsoft UEFI CA 2023 concerne les applications/loaders UEFI tiers. Microsoft Option ROM UEFI CA 2023 concerne certains composants de démarrage de firmware matériel. Boot Manager est le composant Windows précoce impliqué dans l’histoire BlackLotus.
| Terme | Sens | Pourquoi c'est important |
|---|---|---|
| Secure Boot | Fonction UEFI qui vérifie les signatures des logiciels de démarrage avant Windows. | Bloque certains bootkits et codes non autorisés au tout début du démarrage. |
| UEFI | Firmware moderne qui remplace l'ancien BIOS traditionnel. | Secure Boot dépend de l'UEFI et de ses bases de confiance. |
| KEK | Base de clés qui autorise les changements des bases Secure Boot. | Si la KEK n'est pas à jour, certaines mises à jour de confiance peuvent rester bloquées. |
| DB | Base des signatures et autorités autorisées. | Windows Boot Manager doit être signé par une autorité approuvée dans cette chaîne. |
| DBX | Base des signatures révoquées ou explicitement bloquées. | Les révocations peuvent empêcher de vieux supports de démarrage de fonctionner. |
| Windows UEFI CA 2023 | Nouvelle autorité liée à la confiance du Windows Boot Manager. | C'est un élément central de la transition Windows 2026. |
| Microsoft UEFI CA 2023 | Nouvelle autorité pour des applications et chargeurs UEFI tiers. | Elle compte pour certains environnements dual boot, outils et supports de démarrage. |
| Option ROM UEFI CA 2023 | Autorité liée à certains composants firmware de matériel au démarrage. | Elle peut dépendre du support BIOS/UEFI fourni par l'OEM. |
| Boot Manager | Composant Windows précoce qui lance le système après la validation firmware. | Le durcissement BlackLotus et les signatures 2023 le concernent directement. |
Plan raisonnable pour la semaine
Pour un PC domestique : sauvegardez les fichiers importants, enregistrez la clé BitLocker si le chiffrement est activé, installez les mises à jour Windows, redémarrez jusqu’à ce qu’aucun redémarrage ne soit en attente, vérifiez Sécurité Windows > Sécurité des appareils > Secure Boot, vérifiez l’application OEM pour un BIOS/UEFI si Windows signale un problème firmware, et recréez toute vieille clé USB d’installation/récupération Windows avec les outils Microsoft actuels.
Pour un petit bureau, ajoutez inventaire, groupes pilotes, surveillance des événements et validation des supports de récupération avant de toucher aux réglages de révocation larges.
La version calme est aussi la version sérieuse : mettez à jour normalement, vérifiez l’état réel des certificats, et ne transformez pas une transition gérable en problème de démarrage auto-infligé.
Notes de sources
Le guide s’appuie sur la vue d’ensemble Microsoft de l’expiration des certificats Windows Secure Boot, la page d’état de l’application Sécurité Windows, le guide Microsoft Learn, la référence événements Secure Boot, KB5025885, le playbook Windows IT Pro Secure Boot 2026 et la page de cycle de vie Windows 7. Le contexte OEM vient des pages support Dell et ASUS.