IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Utilisateurs de Windows et de Linux : la date limite de mise à jour des certificats Secure Boot approche. Sans les nouveaux, l'OS ne recevra plus de correctifs critiques pour la phase de démarrage

Le , par Patrick Ruiz

322PARTAGES

14  0 
Utilisateurs de Windows et de Linux : la date limite de mise à jour des certificats Secure Boot approche. Sans les nouveaux, l’OS ne recevra plus de correctifs critiques pour la phase de démarrage

Le temps presse pour les utilisateurs de Windows et de Linux : ils ont jusqu’au 24 juin 2026 pour mettre à jour les certificats secure boot qui protègent leurs systèmes contre les infections UEFI basées sur le micrologiciel, une forme pernicieuse de logiciel malveillant qui se charge avant même que le système d’exploitation et les protections contre les logiciels malveillants ne démarrent.

À compter du 24 juin, trois certificats permettant de vérifier cryptographiquement l’authenticité de chaque élément de micrologiciel et de logiciel chargé lors du démarrage du système arriveront à expiration. Ces certificats signés par Microsoft constituent les piliers de Secure Boot. Secure Boot vérifie les signatures numériques de tous les micrologiciels chargés lors du démarrage du système afin de s’assurer qu’ils proviennent d’un fournisseur de confiance, tel que le fabricant de la carte mère sur laquelle le système fonctionne.

Le Secure Boot est conçu pour contrecarrer les bootkits UEFI, une forme de logiciel malveillant qui altère l’Interface firmware extensible unifiée (UEFI), le successeur du BIOS, ces deux composants lançant la séquence de démarrage initiale. Comme ces bootkits se chargent avant le système d’exploitation et la plupart des autres codes, ils peuvent être difficiles à détecter. Une fois installés, ils chargent généralement sur le système d’exploitation des logiciels malveillants qui volent des identifiants, créent des portes dérobées dans le système ou effectuent d’autres actions malveillantes. Même lorsque le système d’exploitation est désinfecté, le bootkit peut réinfecter le système. Les bootkits survivent également aux réinstallations du système d’exploitation.


Microsoft déploie actuellement de nouveaux certificats datant de 2023

Secure Boot est une fonctionnalité de sécurité essentielle de Windows qui garantit que seuls les composants fiables et signés sont autorisés à s'exécuter pendant le processus de démarrage. Les certificats actuellement utilisés dans l'écosystème Windows ont été introduits en 2011 et arrivent désormais en fin de vie. Secure Boot est un mécanisme de sécurité intégré au firmware UEFI (Unified Extensible Firmware Interface) des ordinateurs modernes.

Avant même que Windows se charge, l'UEFI du PC vérifie que les programmes au démarrage qui se lancent sont bien ce qu'ils prétendent être ; c'est le rôle du Secure Boot. Pour fonctionner, il s'appuie sur des certificats cryptographiques (semblables à des pièces d'identité numériques) qui confirment que les composants de démarrage proviennent d'une source de confiance. Ce qui empêche des maliciels de s'exécuter très tôt dans la séquence de démarrage.

Comme tout certificat numérique, ceux utilisés par le Secure Boot ont une durée de validité de 15 ans. Les certificats en service depuis 2011 arrivent donc à expiration en 2026, avec des dates précises : Microsoft Corporation KEK CA 2011 le 24 juin, Microsoft Corporation UEFI CA 2011 et Microsoft Option ROM UEFI CA 2011 le 27 juin, et Microsoft Windows Production PCA 2011 le 19 octobre 2026. Microsoft a amorcé le remplacement de ces certificats.

Pour éviter que des millions de machines ne deviennent vulnérables ou incapables de démarrer, Microsoft déploie actuellement de nouveaux certificats datant de 2023. Cette transition est particulièrement délicate, car elle modifie directement le micrologiciel UEFI. Le démarrage sécurisé est une norme fondamentale qui vérifie les signatures cryptographiques des logiciels lors de l'allumage pour s'assurer que seul du code de confiance est exécuté.

Le déploiement de la mise à jour s'adapte intelligemment aux capacités du matériel. Les ordinateurs plus anciens qui fonctionnent encore avec un BIOS hérité ne sont physiquement pas capables de supporter le démarrage sécurisé, et le système ignorera donc totalement la tentative de mise à jour pour ces appareils.

Si un PC est compatible, mais que le démarrage sécurisé a été désactivé manuellement dans le BIOS, Microsoft bloquera intentionnellement l'installation de la mise à jour pour éviter de rendre le système inutilisable. La mise à jour vers les certificats 2023 exige au préalable que les utilisateurs corrigent eux-mêmes les erreurs de configuration de leur BIOS, puis plusieurs redémarrages afin de préparer, appliquer et charger les nouveaux gestionnaires.

Il n'est pas nécessaire de désactiver le chiffrement BitLocker durant cette procédure, car le système gère automatiquement la protection des clés à travers les différents redémarrages. Dans le cas des organisations, le déploiement automatisé n'est pas recommandé pour les grandes flottes informatiques d'entreprise.

Microsoft déconseille fortement aux administrateurs d'appliquer massivement cette mise à jour sans l'avoir préalablement testée sur des modèles matériels spécifiques. Les environnements professionnels utilisant le démarrage réseau (PXE) devront également planifier cette transition avec soin, car il est techniquement impossible de proposer simultanément les gestionnaires de démarrage de 2011 et de 2023 sur une même image de déploiement.

Les serveurs et les machines virtuelles, comme ceux sous Hyper-V ou Windows Server 2025, exigent une approche manuelle. Ces systèmes critiques ne bénéficient pas du déploiement automatisé grand public et nécessitent des interventions directes via des commandes spécifiques pour appliquer les certificats.

Il est possible de vérifier facilement si un ordinateur est à jour en consultant la section « Sécurité de l'appareil » dans l'application « Sécurité Windows », où un indicateur vert confirme la bonne application des certificats. Par ailleurs, Microsoft met en garde : si un utilisateur ignore cette mise à jour et dépasse la date butoir, son ordinateur continuera de démarrer et de fonctionner, mais « son niveau de sécurité subira une dégradation permanente ».

Sans le certificat de 2023, Microsoft cessera d'envoyer des mises à jour de sécurité pour le processus de démarrage, ainsi que les listes noires permettant de bloquer les nouveaux maliciels. À plus long terme, l'absence de ces certificats entraînera le blocage intentionnel des futures mises à jour majeures du système d'exploitation Windows, une mesure préventive pour éviter que la machine ne se retrouve dans un état empêchant tout redémarrage.

Ces nouveaux certificats de 2023 offrent une tranquillité d'esprit sur le long terme, puisque leur date d'expiration est fixée à l'année 2038. (Leur durée de vie correspond à 15 ans comme les certificats de 2011.) Bien que l'industrie informatique anticipe déjà une transition vers la cryptographie post-quantique à l'horizon 2030 pour les matériels futurs, les appareils actuels resteront protégés par les clés de 2023 jusqu'à la fin de leur cycle de vie utile.


Sous Linux, la mise à jour de l’UEFI se fait en utilisant le service LVFS (Linux Vendor Firmware Service) et l'outil en ligne de commande fwupd

fwupd est le gestionnaire de mise à jour de micrologiciel standard préinstallé sur la plupart des distributions Linux modernes (comme Ubuntu, Fedora et Arch). Si le micrologiciel du système n'est pas pris en charge par LVFS, la méthode la plus sûre consiste à une utilisation directe de l'outil de mise à jour intégré au BIOS.


L’UEFI constitue historiquement un point d’achoppement entre les univers Linux et Windows. Certains utilisateurs de Linux continuent de rencontrer des difficultés avec le dual boot sur les systèmes UEFI. Les utilisateurs signalent régulièrement des problèmes tels que les mises à jour Windows qui écrasent le chargeur d'amorçage, des complications liées à BitLocker et certains obstacles en lien avec Secure Boot.

Source : Microsoft (1, 2, 3)

Et vous ?

Avez-vous déjà procédé à la mise à jour des certificats UEFI sur votre système ?
Rencontrez-vous des difficultés particulières dans ce processus en tant qu’utilisateur de Linux ?

Voir aussi :

Microsoft commencera à renouveler les certificats Secure Boot en mars pour les utilisateurs de Windows 11 et Windows 10 ESU, car les certificats Secure Boot d'origine arriveront à expiration en juin 2026

Un ex responsable de Microsoft affirme que l'entreprise a raté le train de l'IA, tout comme ce fut le cas avec Internet et le mobile. L'IA Copilot dans Windows 11 fait l'objet de sarcasmes et rejets

La nouvelle faille de sécurité zero-day YellowKey de BitLocker sous Windows, permet en étant muni d'une clé USB de déverrouiller des disques chiffrés sous Windows 11 et Windows Server 2022/2025
Vous avez lu gratuitement 20 409 articles depuis plus d'un an.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de Eric80
Membre éprouvé https://www.developpez.com
Le 22/06/2026 à 19:06
comme j'écrivais au dessus le 27 mai, j'invite tout les PC n'ayant plus de MAJ bios/EFI par le constructeurs, cad quasi tout les PC un peu vieux (> 4- 5 ans), d'utiliser Mosby pour avoir sa propre clef PK pour SecureBoot, et ensuite pouvoir mieux recevoir tout les certificats 2023.

en cas de reset bios, un petit tour par Mosby pour restaurer la PK. Plus de craintes d avoir Windows ou Debian qui ne démarre plus à cause de certificats SecureBoot.
3  0 
Avatar de NotABread
Membre actif https://www.developpez.com
Le 20/06/2026 à 22:18
Citation Envoyé par Artemus24 Voir le message
Salut à tous.

J'ai désactivé le "secure boot" dans mon Asus, et ces derniers jours, j'ai voulu le réactiver.
Et bien impossible d'avoir autre chose que "Sécurité du matériel standard non prise en charge", quand j'arrive à rentrer dans mon windows 10 Pro.
Dans le cas où le "secure boot" fonctionne, je ne peux même plus entrer dans windows 10 Pro.

En quoi serais je impacter par ces certificats de sécurité si mon "secure boot" n'est pas activé ?
Je suis dans le même cas sous Debian, le "secure boot" n'est pas activé.
ça ne devrait pas faire de différence, les signatures ne sont pas vérifiées sans secure boot. Par contre, certain programme/jeux peuvent refuser de se lancer sans secure boot (il me semble que c'est le cas de Vanguard, anticheat de Riot Games)
2  0 
Avatar de NotABread
Membre actif https://www.developpez.com
Le 18/06/2026 à 13:44
... que les utilisateurs corrigent eux-mêmes les erreurs de configuration de leur BIOS ...
Je ne pense pas que les utilisateurs qui ont désactivé le secure boot l'aient fait par erreur mais par choix ou nécessité.

Le Secure Boot est conçu pour contrecarrer les bootkits UEFI
Quand je lis ça, je ne suis pas sûr que ça soit techniquement correct, ou du moins il échoue
https://arstechnica.com/information-...os-reinstalls/
Il protège le bootloader de l'OS contre l'installation de bootkit mais il ne protège pas l'OS des bootkits
Je ne comprend pas d'ailleurs comment le bootloader de l'OS peut s'assurer que le firmware UEFI est intègre s'il dépend dudit firmware pour garantir son intégrité

Mon plus gros reproche au secure boot est que out of the box, il dépend beaucoup de Microsoft comme tiers de confiance et c'est pénible d'avoir quelque chose d'indépendant (c'est par constructeur). J'aurais préféré un mode "installation d'OS" qui permet à un OS de mettre son propre certificat dans la liste de confiance, avec en prime le certificat généré à la volet si on veut ou géré par la DSI histoire qu'il soit propre à chaque machine/parc. Et en dehors de ce mode, la liste de confiance est en lecture seule. Pas de tiers de confiance, et on protège de bootloader d'altération par malware.
Après, si une faille ou l'utilisateur donne tous les droits à un malware, la protection du bootloader fera une belle jambe quand il aura perdu toutes ses données.

PS: Il n'y avait pas des PC portable ou tablet qui avaient leur clé secure boot inchangeable ? S'ils ne bénéficient de mise à jour de leur firmware, ça fera de beau presse papier
1  0 
Avatar de Ti-Slackeux
Membre expérimenté https://www.developpez.com
Le 22/06/2026 à 17:09
Citation Envoyé par NotABread Voir le message
ça ne devrait pas faire de différence, les signatures ne sont pas vérifiées sans secure boot. Par contre, certain programme/jeux peuvent refuser de se lancer sans secure boot (il me semble que c'est le cas de Vanguard, anticheat de Riot Games)
Bah,
J'ai plus la liste sous la main mais il n'y a pas si longtemps un editeur a demander d'activer la totale comme "trucs de sécurité au boot windows" pour éviter le cheat
finalement windows ET le jeu se sont fait trouver easy et pendant une période BETA-TEST, un must ....
In game on voyait les cheaters comme le nez au milieu de la figure, un comble >.<
Donc secure boot, uefi and co c'est pipo land
1  0 
Avatar de Artemus24
Expert éminent sénior https://www.developpez.com
Le 20/06/2026 à 21:33
Salut à tous.

J'ai désactivé le "secure boot" dans mon Asus, et ces derniers jours, j'ai voulu le réactiver.
Et bien impossible d'avoir autre chose que "Sécurité du matériel standard non prise en charge", quand j'arrive à rentrer dans mon windows 10 Pro.
Dans le cas où le "secure boot" fonctionne, je ne peux même plus entrer dans windows 10 Pro.

En quoi serais je impacter par ces certificats de sécurité si mon "secure boot" n'est pas activé ?
Je suis dans le même cas sous Debian, le "secure boot" n'est pas activé.
0  0 
Avatar de Artemus24
Expert éminent sénior https://www.developpez.com
Le 20/06/2026 à 22:26
Je n'utilise pas mon Windows 10 Pro pour jouer.
Je pense, mais je peux me tromper, que cela ne va rien changer au fonctionnement de mon Asus.
Je vais continuer à entrer dans mon Windows 10 Pro, ainsi que dans mon Debian Trixie, en ayant "secure boot" de désactivé.
Autrement dit, les certificats n'auront pas d'impact.
0  0 
Avatar de bacelar
Expert éminent sénior https://www.developpez.com
Le 22/06/2026 à 16:01
Bin si, plus de mise à jour automatique du firmware.
0  1