🔐 Expiration des certificats Secure Boot : des millions de PC Windows concernés dès 2026

Après près de quinze ans d’utilisation, les certificats liés au démarrage sécurisé Secure Boot arrivent à échéance. Microsoft a confirmé que ces certificats commenceront à expirer à partir de juin 2026. Sans mise à jour, des millions d’ordinateurs sous Windows pourraient voir leur niveau de protection diminuer.

Secure Boot : un pilier de la sécurité Windows depuis 2011

Introduit en 2011, Secure Boot a été conçu pour empêcher l’exécution de logiciels malveillants lors du démarrage du système. Son principe est simple : seuls les composants signés numériquement et validés peuvent se lancer au moment du boot.

Ce mécanisme agit avant même le chargement de l’OS, bloquant tout code non autorisé susceptible de compromettre le système. Il constitue aujourd’hui un élément central de la sécurité de Windows 11 et Windows 10.Mais le fonctionnement de Secure Boot repose sur des certificats stockés directement dans le firmware (UEFI) des PC. Or, ces certificats ont une durée de validité limitée. À partir de juin 2026, les anciens certificats commenceront à expirer, ce qui pourrait affaiblir la protection au démarrage si aucun renouvellement n’est effectué.

Mise à jour des certificats : comment Microsoft prépare la transition

Bonne nouvelle : les PC récents, notamment ceux commercialisés depuis 2024, intègrent déjà les nouveaux certificats. Pour les machines plus anciennes, le renouvellement est en cours.

Microsoft déploie progressivement les nouveaux certificats via Windows Update. Toutefois, cette opération nécessite une coordination avec les fabricants de PC. Dans certains cas, une mise à jour du firmware (BIOS/UEFI) sera indispensable pour permettre l’installation des nouveaux certificats Secure Boot.Les constructeurs devront donc publier des mises à jour adaptées. De leur côté, les utilisateurs devront s’assurer que leur système est à jour.

• Les PC sous Windows 11 devront fonctionner au minimum avec les versions 24H2 ou 25H2.
• Les ordinateurs sous Windows 10 devront être inscrits au programme ESU (Extended Security Updates) pour continuer à recevoir les correctifs de sécurité et les nouveaux certificats.

Un PC exécutant une version de Windows non prise en charge ne pourra pas bénéficier de ces mises à jour critiques.

Que risque un PC si Secure Boot n’est pas mis à jour ?

Si les certificats ne sont pas renouvelés avant leur expiration, l’ordinateur continuera de fonctionner normalement. Les logiciels resteront utilisables et le système démarrera comme d’habitude.

En revanche, le PC basculera dans un état de sécurité dégradé. Cela signifie qu’il ne pourra plus recevoir efficacement les futures protections liées au démarrage sécurisé. À mesure que de nouvelles vulnérabilités seront découvertes, la machine deviendra progressivement plus exposée.Microsoft prévoit d’afficher des notifications dans l’application Sécurité Windows afin d’informer les utilisateurs de l’état de leurs certificats.

Une règle simple : maintenir Windows à jour

Pour éviter tout risque, il est essentiel d’installer régulièrement les mises à jour mensuelles via Windows Update. Cette maintenance garantit non seulement la réception des correctifs de sécurité classiques, mais aussi l’actualisation des certificats Secure Boot indispensables à la protection du démarrage.

À l’approche de 2026, la gestion des mises à jour Windows ne sera plus seulement une question de confort, mais un enjeu majeur de cybersécurité.

source: 01.net