Après 15 ans de bons et loyaux services, les certificats du démarrage sécurisé Secure Boot de Windows vont expirer. S’ils ne sont pas mis à jour par leurs utilisateurs, des millions de machines pourraient devenir vulnérables.
Les certificats Secure Boot sont sur le point d’expirer. C’est ce que vient d’annoncer Microsoft dans un long billet de blog. Introduit en 2011, Secure Boot a pour objectif de filtrer les logiciels au démarrage de Windows pour s’assurer que seuls les logiciels signés numériquement peuvent s’exécuter.
Depuis 15 ans, ce système permet donc d’assurer la sécurité de Windows en bloquant automatiquement le code non approuvé durant la phase de démarrage du système d’exploitation. Mais ce système pourrait, d’ici à quelques mois, être beaucoup moins efficace.
Le fonctionnement de Secure Boot repose sur un système de certificats, stockés directement dans le firmware des PC. Et, malheureusement, la durée de vie de ces certificats n’est pas éternelle. Ces certificats commenceront ainsi à expirer à partir du mois de juin 2026. S’ils ne sont pas remplacés à temps, ils mettront en péril la sécurité de millions de PC sous Windows 11 et Windows 10.
Un défi d’envergure pour Microsoft
Si les PC les plus récents (ceux fabriqués depuis 2024), disposent déjà de ces nouveaux certificats, ce n’est pas le cas des machines plus anciennes. Mais la bonne nouvelle, c’est que le renouvellement des certificats concernés est déjà en cours. Microsoft a commencé, et va continuer, à les remplacer automatiquement en déployant ceux-ci dans les mises à jour proposées dans Windows Update.
Mais ce remplacement requiert une certaine coordination avec les fabricants de PC. Car sur certaines machines, il faudra impérativement mettre à jour le firmware pour qu’elles puissent recevoir ces nouveaux certificats Secure Boot valides. Les fabricants vont donc devoir mettre la main à la pâte pour mettre à jour le micrologiciel de leurs PC. Et ils ne sont pas les seuls à être mis à contribution.
Les utilisateurs de Windows, dont vous faites sans doute partie, vont également avoir leur rôle à jour. Car pour recevoir ces nouveaux certificats Secure Boot, il faudra impérativement avoir une machine disposant des dernières mises à jour de Windows. Si votre PC utilise encore une version de Windows qui n’est plus prise en charge par Microsoft, vous savez donc ce qu’il vous reste à faire. Les machines sous Windows 11 devront donc impérativement fonctionner avec la version 24H2 ou 25H2.
Quant aux PC fonctionnant toujours sous Windows 10, les utilisateurs devront impérativement inscrire leur machine au programme de mises à jour étendu (programme ESU) pour recevoir les derniers correctifs de sécurité, et surtout des certificats Secure Boot à jour.
Que se passera-t-il si les certificats Secure Boot ne sont pas à jour ?
Si votre PC ne reçoit pas les nouveaux certificats Secure Boot avant l’expiration des anciens, votre PC continuera de fonctionner normalement, et vous pourrez toujours utiliser vos logiciels. Mais votre ordinateur « entrera dans un état de sécurité dégradé, limitant sa capacité à recevoir de futures protections au niveau du démarrage » explique Microsoft.
Concrètement, cela signifie qu’à chaque nouvelle vulnérabilité liée au démarrage de Windows découverte, votre PC deviendra de plus en plus exposé à d’éventuelles attaques et ne pourra pas recevoir les mises à jour nécessaires à leur correction.
Enfin, Microsoft indique qu’au cours des prochains mois, l’application Sécurité Windows affichera des messages pour vous permettre de suivre l’état de la mise à jour des certificats de votre PC.
Quoi qu’il en soit, vous devrez impérativement veiller à bien installer les mises à jour mensuelles de Windows via Windows Update pour être certain de recevoir les nouveaux certificats Secure Boot.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.
Par : Opera
Source :
Microsoft