Microsoft commence le déploiement d’une mise à jour de sécurité fondamentale pour les systèmes d’exploitation Windows. Il s’agit d’un renouvellement des certificats Secure Boot, une technologie introduite en 2011 pour protéger les PC contre les malwares au démarrage. Les certificats originaux arrivent à expiration entre juin et octobre 2026.
Pourquoi ce renouvellement de certificats est-il indispensable ?
Secure Boot constitue la première ligne de défense d’un PC, s’assurant avant même le chargement de Windows que seul du code signé et de confiance peut s’exécuter.
Microsoft explique que retirer les anciens certificats et en introduire de nouveaux est une pratique standard de l’industrie, pour éviter que des informations d’identification vieillissantes ne deviennent un point faible.
Sans cette mise à jour, un appareil entre dans un état de sécurité dégradé, le rendant vulnérable aux futures menaces et incapable d’installer de nouvelles protections au niveau du démarrage.
Quelles sont les conséquences pour les utilisateurs ?
Pour la grande majorité des utilisateurs de Windows 11, la transition sera transparente. Les nouveaux certificats sont installés automatiquement via les mises à jour mensuelles (Windows Update). Par ailleurs, de nombreux PC fabriqués depuis 2024 incluent déjà les nouveaux certificats.
Cependant, une » fraction des appareils » pourrait nécessiter une mise à jour du firmware fournie par le fabricant (OEM). Il est donc conseillé de vérifier les pages de support de son fabricant pour s’assurer d’avoir les dernières versions.
Microsoft ajoute que dans les prochains mois, des messages spécifiques seront disponibles dans l’application Sécurité Windows afin d’aider à suivre plus précisément les mises à jour des certificats.
Quels appareils sont les plus à risque ?
Le principal risque concerne les appareils fonctionnant sur des versions non prises en charge de Windows.
Microsoft insiste sur ce point : » Les appareils exécutant des versions non prises en charge (Windows 10 et plus anciennes, à l’exception de ceux qui se sont inscrits aux mises à jour de sécurité étendues ; ESU) ne recevront pas les nouveaux certificats. «
Ces appareils deviendront progressivement plus exposés aux menaces et pourraient rencontrer des problèmes de compatibilité avec de futurs logiciels ou du matériel.
À vérifier avec PowerShell (en tant qu’administrateur)
À noter que sur une page d’aide, Dell propose un moyen global de vérifier les certificats Secure Boot et déterminer si les plus récents sont présents. Deux méthodes sont détaillées et reposent sur une commande PowerShell.