Windows : anticiper la mise à jour des certificats Secure Boot en 2026
En 2026, plusieurs certificats pour le Secure Boot émis par Microsoft arrivent à expiration. Pour continuer à maintenir l’intégrité de leur mécanisme de démarrage, des millions de machines Windows doivent recevoir les nouveaux certificats. Quelles sont les machines impactées ? Comment mettre à jour les certificats du Secure Boot ? Voici l’essentiel à savoir à ce sujet.
L’expiration des certificats Secure Boot est un sujet chaud à prendre au sérieux en 2026. Surtout, vos machines continueront de démarrer même si vous n’avez pas les nouveaux certificats, donc c’est un signe trompeur. Cet article devrait vous permettre d’y voir plus clair à ce sujet.
Sommaire
- Comprendre l’intérêt de la chaîne de confiance Secure Boot
- L’expiration des certificats Secure Boot en 2026
- Quelles sont les machines impactées ?
- Certificats du Secure Boot expirés, que se passe-t-il ?
- Le déploiement des nouveaux certificats Secure Boot
- Ma machine a-t-elle déjà les nouveaux certificats ?
- Stratégies de déploiement pour les entreprises
- Conclusion
Comprendre l’intérêt de la chaîne de confiance Secure Boot
Le Secure Boot est une fonctionnalité de sécurité intégrée au firmware UEFI des ordinateurs qui valide les signatures numériques au démarrage du système pour garantir l’intégrité de la séquence de démarrage (boot).
Ce mécanisme joue un rôle important puisqu’il empêche certains logiciels malveillants, en particulier les rootkits ou les bootkits, d’entrer en action. En effet, ces malwares sont capables de se charger avant même le système d’exploitation, ce qui leur permet d’être persistants et plus difficilement détectables par les solutions de sécurité.
Pour fonctionner, le Secure Boot repose sur une chaîne de confiance stricte utilisant des clés cryptographiques délivrées par des autorités de certification (CA). Cette chaîne de confiance permet de vérifier que chaque module du firmware, ainsi que le chargeur d’amorçage (bootloader), provient d’une source fiable.
La chaîne de confiance est constituée des éléments suivants :
- Platform Key (PK) : c’est la racine, le point de départ. Elle appartient généralement au fabricant du matériel (OEM) et est stockée dans le firmware de l’ordinateur.
- Key Enrollment Key (KEK) : signée par la PK, cette clé fait autorité pour modifier les bases de données de Secure Boot.
- La base de données autorisée (db) : elle contient les certificats et les signatures des logiciels approuvés au démarrage, c’est-à-dire le bootloader de Windows.
- La base de données interdite (dbx) : à l’inverse, cette base liste les signatures des logiciels révoqués ou connus comme malveillants.
Ainsi, à chaque démarrage de votre machine, le Secure Boot agit pour s’assurer que votre système n’a pas été compromis à bas niveau. Bien qu’il ne soit pas obligatoire avec tous les systèmes d’exploitation, c’est un prérequis de Windows 11.
L’expiration des certificats Secure Boot en 2026
Comme tout certificat numérique (SSL/TLS, signatures de code, etc…), les certificats utilisés par le Secure Boot ont une durée de validité de 15 ans, et donc une date d’expiration. Ainsi, plusieurs certificats émis en 2011 expirent en 2026.
Voici un tableau avec la liste des 4 certificats qui arrivent à expiration en 2026, soit en juin, soit en octobre :
| Autorité de certification | Emplacement | Objectif | Date d’expiration |
|---|---|---|---|
| Microsoft Corporation KEK CA 2011 | KEK | Signature des mises à jour de la DB et de la DBX | 24/06/2026 |
| Microsoft Corporation UEFI CA 2011 | DB | Signature des boot loaders tiers, des options des ROMs, etc. | 27/06/2026 |
| Microsoft Windows Production PCA 2011 | DB | Signature de Windows Boot Manager | 19/10/2026 |
| Microsoft UEFI CA 2011 | DB | Signatures des ROM optionnelles tierces | Juin 2026 |
Pour pallier l’expiration de ces certificats, Microsoft a émis quatre nouveaux certificats (en circulation depuis 2023), qui prendront le relais : Microsoft Corporation KEK 2K CA 2023, Microsoft UEFI CA 2023, Microsoft Option ROM UEFI CA 2023 et Windows UEFI CA 2023.
Quelles sont les machines impactées ?
Toutes les machines Windows (et Windows Server) ne sont pas dans la même situation face à cette mise à jour des certificats. En effet, il est important de noter que la plupart des équipements fabriqués à partir de 2024 intègrent déjà nativement ces nouveaux certificats dans leur firmware. C’est aussi le cas des PC Copilot+ mis sur le marché à partir de 2025.
Avec ce nouveau cycle de déploiement des certificats Secure Boot émis en 2023, Microsoft cible les versions de Windows actuellement supportées et sur lesquelles Secure Boot est actif.
Les systèmes éligibles à la réception automatique des nouveaux certificats incluent :
- Windows 11 (toutes les versions).
- Windows 10 version 22H2 et ultérieures (y compris 21H2 LTSC).
- Windows Server 2022 et 2025.
- Windows Server 2016 et 2019.
- Windows Server 2012 / 2012 R2 (uniquement celles où le programme ESU est actif).
Remarque : les postes sous Windows 10 qui ne sont pas inscrits au programme ESU ne recevront pas automatiquement les nouveaux certificats.
De même, les machines où Secure Boot est désactivé dans le BIOS ne recevront pas ces mises à jour. C’est pour cette raison que Microsoft affirme analyser la configuration des machines, et quand il y a suffisamment de signaux favorables, les nouveaux certificats sont poussés.
Certificats du Secure Boot expirés, que se passe-t-il ?
Il est important de préciser qu’une machine continuera de démarrer et de fonctionner normalement, même si les certificats expirent et qu’elle n’a pas reçu ceux encore valides.
Néanmoins, ce n’est pas sans conséquence parce que cette situation va dégrader le niveau de sécurité de la machine. Par exemple, elle ne pourra plus recevoir de mises à jour pour la base de données de révocation. Concrètement, les machines seront directement exposées aux nouvelles vulnérabilités permettant de contourner le Secure Boot : Microsoft en corrige de temps en temps, donc ce n’est pas un mythe.
En janvier 2026, la vulnérabilité CVE-2026-21265 a été corrigée et Microsoft précise bien qu’elle permet de contourner le Secure Boot, tout en évoquant cette histoire d’expiration de certificats. Autre exemple : l’exploitation de la faille CVE-2023-24932 par des cybercriminels pour déployer le bootkit BlackLotus.
Dans sa documentation, Microsoft liste les impacts suivants :
- Perdre la capacité d’appliquer les mises à jour de sécurité relatives au Secure Boot après juin 2026.
- Devenir incapables de valider (et donc d’exécuter) les logiciels tiers signés avec les nouveaux certificats après juin 2026.
- Cesser de recevoir les correctifs de sécurité pour le gestionnaire de démarrage Windows (Windows Boot Manager) après octobre 2026.
Le déploiement des nouveaux certificats Secure Boot
Microsoft a prévu un déploiement automatique via les mises à jour mensuelles cumulatives. Ce déploiement s’étale de février 2026 à juin 2026, notamment avec la mise à jour KB5077181 publiée le mardi 10 février 2026. Il y a eu aussi un démarrage depuis janvier 2026 pour certains cas.
| Système d’exploitation | Référence de la mise à jour (KB) |
| Windows 11 (versions 24H2 et 25H2) | KB5077181 |
| Windows 11 (version 23H2) | KB5075941 |
| Windows 11 (version 26H1) | KB5077179 |
| Windows 10 (21H2 / 22H2) | KB5075912 (via programme ESU) |
| Windows Server 2025 | KB5073379 |
| Windows Server 2022 | KB5075906 |
| Windows Server 2019 et Windows 10 v1809 | KB5075909 |
| Windows Server 2016 | KB5075902 |
Avant que Windows puisse appliquer les nouveaux certificats, le firmware de la machine doit être prêt à les accepter. Les principaux constructeurs (Dell, HP, Lenovo, ASUS, etc.) ont publié des mises à jour BIOS pour les modèles sortis entre 2018 et 2025. Il est recommandé, voire indispensable, de mettre à jour le firmware de vos machines dans un premier temps.
“Vérifiez auprès de vos fabricants OEM la dernière version disponible du micrologiciel OEM. Appliquez toutes les mises à jour disponibles du micrologiciel à vos systèmes Windows avant d’appliquer les nouveaux certificats. Dans le flux Secure Boot, les mises à jour du micrologiciel fournies par les fabricants OEM sont indispensables pour que les mises à jour Windows Secure Boot s’appliquent correctement.“, précise Microsoft.
Ma machine a-t-elle déjà les nouveaux certificats ?
Pour vérifier si la mise à jour des certificats a été appliquée sur votre machine, vous pouvez consulter la base de Registre Windows. Accédez à cet emplacement :
Ici, il y a plusieurs valeurs de Registre permettant de connaître l’état de votre machine. Voici un exemple :
Alors, comment interpréter ces résultats ?
Toutes les valeurs de Registre sont décrites sur cette page du support Microsoft. Même si Windows gère lui-même la mise à jour, il y a moyen de jouer sur ces paramètres pour déclencher manuellement (surement pas préférable dans l’immédiat).
| Valeur de Registre | Interprétation |
|---|---|
| UEFICA2023Status |
NotStarted : la mise à jour n’a pas encore été exécutée. InProgress : la mise à jour est activement en cours. Updated : la mise à jour s’est terminée avec succès (état attendu !) |
| WindowsUEFICA2023Capable | 0 – ou la clé n’existe pas – le certificat « Windows UEFI CA 2023 » n’est pas dans la base de données 1 – Le certificat “Windows UEFI CA 2023” se trouve dans la base de données 2 – Le certificat “Windows UEFI CA 2023” se trouve dans la base de données et le système démarre à partir du gestionnaire de démarrage signé 2023 |
| UEFICA2023Error | Code d’erreur (le cas échéant). Cette valeur reste 0 en cas de réussite.
Si le processus de mise à jour rencontre une erreur, UEFICA2023Error est défini sur un code d’erreur différent de 0 correspondant à la première erreur rencontrée. Une erreur ici implique que la mise à jour du démarrage sécurisé n’a pas réussi entièrement et peut nécessiter une investigation ou une correction sur cet appareil. |
| ConfidenceLevel | Si la mise à jour n’a pas démarré, c’est surement parce que votre machine est encore en cours d’analyse. C’est d’ailleurs ce que peuvent préciser les données de cette valeur. |
| AvailableUpdates | Contrôle les actions de mise à jour de démarrage sécurisé à effectuer sur l’appareil. Pour le déploiement d’entreprise, cette valeur REG_DWORD doit être définie sur 0x5944 (hexadécimal), une valeur qui active toutes les mises à jour pertinentes (ajout des nouveaux certificats d’autorité de certification 2023, mise à jour de la clé KEK et installation du nouveau gestionnaire de démarrage). Cette valeur se trouve un cran au-dessus dans le Registre (pas dans ). |
Pour initier le processus manuellement, les administrateurs doivent définir la valeur de registre AvailableUpdates sur . Cette action ordonne à Windows de lancer l’installation des nouvelles clés Secure Boot.
Le suivi de l’opération s’effectue aussi dans le Registre :
- La valeur UEFICA2023Status évolue de à , pour finalement afficher une fois le succès confirmé.
- Simultanément, les bits de la valeur sont effacés au fur et à mesure que chaque étape est validée (donc la valeur va changer).
En cas d’échec, le statut reste bloqué sur et un code de diagnostic est généré dans la valeur UEFICA2023Error. Ce mécanisme offre ainsi aux équipes IT une méthode précise pour déclencher la mise à jour et auditer son bon déroulement machine par machine.
Au niveau de l’Observateur d’événements, il y aura aussi des informations visibles, en particulier avec la source TPM-WMI et un ID d’événement 1808.
Stratégies de déploiement pour les entreprises
Pour les administrateurs gérant un parc important, s’en remettre uniquement à Windows Update n’est pas toujours la stratégie privilégiée, car cela manque de contrôle. Il est envisageable de s’appuyer sur Microsoft Intune ou une stratégie de groupe Active Directory. Vous pouvez utiliser des paramètres prévus dans cet objectif ou pousser les clés de Registre évoquées précédemment.
Stratégie de groupe
Les paramètres de configuration du Secure Boot se situent ici :
Ici, il y a plusieurs paramètres, y compris le paramètre “Activez le déploiement du certificat de démarrage sécurisé” qui permet d’ordonner à Windows de récupérer les nouvelles informations.
Voici la ressource de Microsoft où la configuration est détaillée :
Microsoft Intune
Si vous gérez vos machines avec Microsoft Intune, vous pouvez créer un nouveau profil de configuration pour activer le déploiement des nouveaux certificats. Choisissez le type “Catalogue des paramètres” lors de la création.
Donnez un nom à ce profil, puis recherchez la catégorie “Secure Boot“. Elle contient trois paramètres que vous devez ajouter au profil et configurer. Ci-dessous, une configuration adaptée pour les parcs informatiques sous Windows.
Conclusion
La mise à jour des certificats Secure Boot de 2026 est une opération de maintenance planifiée et essentielle pour maintenir la chaîne de confiance de ce mécanisme de sécurité. Vous l’aurez compris, c’est une opération à effectuer une fois tous les 15 ans, donc ce que vous ferez aujourd’hui vous prépare pour les prochaines années. Les certificats émis en 2023 devraient être valides jusqu’en 2038.
Quelques ressources utiles à ce sujet :
- Act now: Secure Boot certificates expire in June 2026
- Windows Secure Boot certificate expiration and CA updates
- Registry key updates for Secure Boot: Windows devices with IT-managed updates
Vous pouvez commenter cet article pour poser vos questions ou apporter des informations supplémentaires.