Microsoft confirme l’expiration progressive des certificats Secure Boot historiques à partir de juin 2026. Votre PC continuera de démarrer, mais sa capacité à recevoir les protections de sécurité au boot sera compromise. Décryptage.
Les certificats cryptographiques qui fondent la chaîne de confiance du démarrage sécurisé Windows ont été émis en 2011, à l’époque de… Windows 8. Quinze ans plus tard, ces autorités de certification arrivent en fin de validité. Microsoft a publié un document technique détaillant le calendrier : le certificat KEK (Key Enrollment Key) et le certificat UEFI CA expirent en juin 2026, le certificat Windows Production PCA suivra en octobre de la même année. Des versions de remplacement, millésimées 2023, doivent prendre le relais.
Point essentiel : un PC dont les certificats n’ont pas été renouvelés ne cessera pas de fonctionner. Les mises à jour Windows classiques continueront de s’installer normalement. En revanche, la machine perdra progressivement sa capacité à recevoir les futures protections liées au processus de boot : mises à jour du gestionnaire de démarrage, listes de révocation (DBX), correctifs contre les vulnérabilités de type bootkit. C’est une érosion silencieuse, mais bien réelle, de la posture de sécurité.
À lire : Windows 11 : tous les bugs ont été corrigés selon Microsoft, non, vous ne rêvez pas
Ce qui complique la transition pour le parc existant
Microsoft distribuera les nouveaux certificats via Windows Update pour une large part des appareils. Mais la mise à jour de la base de signatures UEFI (DB) et du KEK dépend aussi du firmware de la carte mère.
Concrètement, certaines machines exigeront une mise à jour BIOS/UEFI fournie par le constructeur. Les PC récents sont généralement déjà équipés des certificats 2023. Les configurations plus anciennes, les environnements dual-boot, les postes professionnels sous maintenance réduite ou les machines assemblées sans suivi OEM structuré sont les plus exposés.
BitLocker et révocation : les angles morts à surveiller
Microsoft mentionne explicitement le durcissement BitLocker parmi les scénarios affectés. Cette technologie de chiffrement s’appuie sur les mesures du TPM, qui intègrent l’état de Secure Boot. Un décalage de certificat pourrait, selon la configuration, déclencher une demande de clé de récupération au redémarrage. Par ailleurs, sans KEK à jour, l’appareil ne pourra plus recevoir de mises à jour de la DBX. Si un bootloader signé mais vulnérable venait à être exploité, Microsoft ne pourrait tout simplement pas le révoquer sur ces machines.
L’outil Sécurité Windows permet désormais de vérifier l’état des certificats Secure Boot de votre appareil. En pratique, le réflexe à adopter dès maintenant est simple : lancez Windows Update, installez toutes les mises à jour disponibles, puis rendez-vous sur le site du fabricant de votre PC ou de votre carte mère pour vérifier si une mise à jour BIOS/UEFI est proposée. Mieux vaut s’en occuper à froid que de découvrir le problème le jour où BitLocker vous réclame une clé de récupération.
Source : Microsoft Support KB5062710
