Microsoft est, en ce moment, en train de grer une transition critique autour de Secure Boot, un mcanisme de scurit fondamental du dmarrage UEFI. Problme, plusieurs certificats historiques utiliss depuis plus dune dcennie arrivent en fin de vie en 2026, et si les machines ne reoivent pas les nouveaux certificats temps, cela pourrait entraner de srieux soucis de compatibilit et de scurit.
Les certificats concerns datent de 2011 et sont au cur de la chane de confiance Secure Boot de Windows. On retrouve notamment :
- – Microsoft Corporation KEK CA 2011
- – Microsoft Corporation UEFI CA 2011
- – Microsoft Windows Production PCA 2011
Leur expiration commencera ds juin 2026 et se poursuivra jusquen octobre 2026. Pour viter toute rupture, Microsoft a dj dploy de nouveaux certificats bass sur lre 2023, qui devront tre prsents dans le firmware UEFI et la base Secure Boot des machines avant la date fatidique.
Quels sont les risques
Secure Boot ne se limite pas une simple option dans le BIOS. Il dtermine quels composants sont autoriss se lancer au dmarrage du PC, comme le bootloader de Windows, les pilotes UEFI ou encore certains firmwares. Si une machine continue utiliser les anciens certificats aprs leur expiration, elle peut :
- – Refuser de dmarrer avec des composants rcemment signs
- – Perdre la cohrence de la chane de confiance Secure Boot
- – Rencontrer des problmes avec de futurs pilotes, mises jour ou OS
En clair, un systme mal prpar peut devenir de plus en plus instable ou incompatible mesure que lcosystme passera aux nouvelles signatures.
Les dates cls retenir
| Date dexpiration | Certificat expirant | Nouveau certificat | Fonction | Emplacement |
|---|---|---|---|---|
| Juin 2026 | Microsoft Corporation KEK CA 2011 | Microsoft Corporation KEK 2K CA 2023 | Signe les mises jour des bases DB et DBX | KEK |
| Juin 2026 | Microsoft Corporation UEFI CA 2011 | Microsoft Corporation UEFI CA 2023 Microsoft Option ROM UEFI CA 2023 |
Signe les OS, pilotes et Option ROMs tiers | DB |
| Octobre 2026 | Microsoft Windows Production PCA 2011 | Windows UEFI CA 2023 | Signe le bootloader et les composants Windows | DB |
Windows 10, le vrai point de vigilance
Sur Windows 11, la transition devrait se faire automatiquement via les mises jour cumulatives normales, tant que la machine reste supporte et jour. En revanche, la situation est beaucoup plus dlicate pour Windows 10.
Si un PC sous Windows 10 nest pas sur une version LTSC ou inscrit au programme Extended Security Updates aprs la fin du support, il se peut quil ne reoive jamais la mise jour des certificats Secure Boot. Et dans ce cas, en 2026, la machine risque de ne plus faire confiance aux nouveaux composants signs.
Autrement dit, si vous comptez garder Windows 10 au-del de 2025, il faut imprativement vrifier que le systme recevra bien les mises jour ncessaires cette transition Secure Boot.
Que faut-il faire concrtement
La recommandation de Microsoft est simple mais cruciale :
- – Maintenir les systmes supports jour
- – Vrifier que les certificats Secure Boot 2023 sont bien installs avant mi-2026
- – Ne pas supposer que Windows 10 sera automatiquement couvert sans un canal de support actif
- – Passer Windows 11
Le premier jalon important arrive en juin 2026. Plus on sen approche sans la nouvelle chane de confiance Secure Boot, plus le risque de casse logicielle augmente.
noter que Microsoft a dj commenc pousser ces changements via les mises jour cumulatives, comme par exemple le KB5073724 pour Windows 10.