Secure Boot : que se passe-t-il vraiment quand les certificats Microsoft expirent en 2026 ?

Par: Michael Korgs | aujourd'hui, 11:41

Les certificats Secure Boot utilisés par Windows depuis 2011 expirent en juin 2026 — le 24 juin précisément pour les premiers d'entre eux. Vos PC ne seront pas bloqués du jour au lendemain, mais les appareils non mis à jour glisseront silencieusement vers un état de sécurité dégradé, sans possibilité de recevoir les correctifs de démarrage critiques pendant des années.

Ce qu'est vraiment Secure Boot

Secure Boot agit comme un contrôle d'identité au démarrage : il vérifie la signature numérique du chargeur de démarrage de Windows avant que le système ne s'initialise, empêchant les logiciels malveillants de s'installer avant même que l'antivirus ne soit actif. Les certificats émis en 2011 — les « UEFI CA 2011 » — arrivent en fin de cycle après quinze ans de service. Microsoft les remplace par des certificats 2023, déjà intégrés dans la plupart des PC fabriqués depuis 2024, ainsi que dans les appareils Dell et Lenovo livrés depuis fin 2024.

La sécurité numérique au démarrage repose sur des certificats qui ont une durée de vie limitée. Illustration : IA

Le vrai risque après juin 2026

Microsoft Support Official confirme que les appareils non mis à jour démarreront normalement — pas de panique. Mais ils ne recevront plus les mises à jour de la base DBX, la liste de révocation qui répertorie les chargeurs malveillants ou compromis. Sans DBX à jour, un PC devient vulnérable aux attaques de type BlackLotus, un bootkit UEFI qui a contourné Secure Boot sur des machines Windows 11 entièrement patchées en exploitant la faille CVE-2023-24932.

Concrètement, c'est comme un vigile qui travaillerait encore avec des avis de recherche vieux de dix ans. Le Windows Forum résume bien la situation : pas de panne massive, mais une dégradation progressive et invisible de la protection, difficile à détecter sans outils spécialisés.

Ce qu'on fait maintenant

Microsoft déploie progressivement les nouveaux certificats via Windows Update. Pour vérifier son statut, on ouvre l'application « Sécurité Windows » et on consulte la section relative à la sécurité des appareils. Les PC achetés depuis 2024 sont probablement déjà à jour.

Pour les entreprises, la situation est plus complexe : le déploiement implique des clés de registre spécifiques, des mises à jour firmware côté constructeur et une sauvegarde des clés BitLocker. Un oubli peut entraîner des coûts de récupération importants. Les PME dont l'informatique est gérée par des prestataires locaux sont particulièrement exposées si ces derniers n'ont pas encore planifié la transition.

La bonne nouvelle : appliquer les mises à jour Windows régulièrement suffit dans la plupart des cas. La date butoir de juin 2026 laisse encore du temps — mais pas pour attendre indéfiniment.