Expiration Des Certificats Secure Boot
Introduction
À partir de juin 2026, les certificats Microsoft qui assurent la confiance du démarrage sécurisé (Secure Boot) sur les appareils Windows arriveront à expiration. Cette échéance menace la capacité des systèmes à recevoir les mises à jour de sécurité liées au pré‑boot, ce qui pourrait exposer les ordinateurs à des logiciels malveillants dès le processus d’amorçage.
Détail du problème
Secure Boot repose sur une chaîne de certificats stockés dans le firmware UEFI : les clés KEK (Key‑Exchange Key) et DB (Signature Database). Depuis l’introduction de Secure Boot avec Windows 8, tous les appareils Windows ont conservé le même jeu de certificats Microsoft. Les versions actuelles, notamment celles de 2011, expirent en juin 2026, tandis que les nouvelles autorités de certification (CA) de 2023 sont déjà disponibles mais doivent être déployées avant cette date.
Impacts potentiels
- Perte de protection contre les bootkits : sans certificats valides, le système ne pourra plus vérifier la signature des composants de démarrage, ouvrant la porte à des attaques de type bootkit.
- Impossibilité de recevoir des correctifs : les appareils qui n’ont pas reçu les nouveaux certificats ne pourront plus installer les mises à jour de sécurité du chargeur de démarrage après juin 2026, compromettant ainsi la stabilité et la conformité du parc informatique.
- Interruption des services : les environnements virtuels ou les appareils gérés par l’IT risquent de rencontrer des échecs de démarrage ou des refus de mise à jour, entraînant des temps d’arrêt non planifiés.
Solutions proposées
| 1️⃣ | Vérifier l’état actuel des certificats – Utiliser les outils Windows (PowerShell Get-SecureBootPolicy, logs d’événements) pour identifier les versions présentes dans le firmware. | Guide Microsoft « Windows Secure Boot certificate expiration and CA updates »microsoft.com |
| 2️⃣ | Déployer les nouvelles CA 2023 – Appliquer les nouvelles clés KEK et DB via les mises à jour Windows mensuelles ou via les stratégies de groupe (GPO) et le registre (WinCS). | Playbook « Secure Boot playbook for certificates expiring in 2026 »microsoft.com |
| 3️⃣ | Coordonner avec les OEM – S’assurer que les fabricants de matériel publient les firmwares compatibles avec les nouvelles CA et les déploient via leurs canaux de mise à jour. | Article Richard Hicks « Windows Secure Boot UEFI Certificates Expiring June 2026 »richardhicks.com |
| 4️⃣ | Automatiser le suivi – Mettre en place des alertes de conformité (ex. Microsoft Endpoint Manager) pour détecter tout appareil restant sur les anciens certificats. | Documentation Microsoft sur la gestion des certificats Secure Bootaskwoody.com |
| 5️⃣ | Tester avant le déploiement – Utiliser des environnements de test pour valider que les nouvelles certificats n’interfèrent pas avec les charges de travail critiques. | Bonnes pratiques IT décrites dans le playbookmicrosoft.com |
Conclusion
L’expiration des certificats Secure Boot en juin 2026 représente un point critique pour la sécurité du démarrage Windows. En identifiant rapidement les appareils concernés, en appliquant les nouvelles autorités de certification 2023 et en collaborant étroitement avec les OEM, les organisations peuvent garantir la continuité de la protection contre les menaces de pré‑boot. Une planification proactive dès maintenant évitera les interruptions de service et maintiendra la confiance dans l’écosystème Windows au-delà de 2026.
