Microsoft vient de lancer une alerte qui pourrait concerner des millions d’utilisateurs en France et partout ailleurs dans le monde, avec l’expiration prochaine des certificats liés à Secure Boot, un mécanisme de protection intégré à Windows depuis plus de quinze ans.
Une échéance technique, presque invisible pour le grand public, mais qui impose une mise à jour pour continuer à bénéficier d’un environnement sécurisé au démarrage du PC…
Secure Boot, le garde-fou invisible de Windows
Introduit en 2011, Secure Boot agit dès l’allumage de l’ordinateur. Avant même que Windows ne s’affiche, ce système vérifie que seuls des logiciels signés et approuvés peuvent se lancer. L’objectif est de bloquer toute tentative d’injection de code malveillant au niveau du démarrage, là où les antivirus classiques ne peuvent pas toujours intervenir.
Concrètement, Secure Boot s’appuie sur des certificats stockés dans le firmware de la machine. Ces certificats constituent alors une liste de confiance cryptographique, et si un programme ne correspond pas aux signatures validées, il est tout simplement empêché de s’exécuter.
Malheureusement, en place depuis plus de quinze ans, ces certificats commenceront à expirer à partir de juin 2026. Sans renouvellement, les PC concernés basculeront dans ce que Microsoft qualifie d' »état de sécurité dégradé« .
Cela signifie que l’ordinateur continuera de fonctionner, mais il ne pourra plus bénéficier des futures protections liées au démarrage.
Une mise à jour automatique… sous conditions
La bonne nouvelle, c’est que Microsoft a déjà engagé le remplacement de ces certificats via Windows Update. Ainsi, pour la majorité des utilisateurs de Windows 11 et des PC Windows 10 encore pris en charge, l’opération devrait se faire automatiquement à travers les mises à jour mensuelles.
Toutefois, la manoeuvre nécessite une coordination étroite avec les fabricants comme Dell, HP ou Lenovo. En effet, sur certaines machines plus anciennes, une mise à jour du firmware pourra être nécessaire pour installer les nouveaux certificats. Si vous pensez être concerné, assurez-vous de vérifier que votre PC dispose des derniers correctifs Windows, mais aussi du firmware le plus récent disponible sur le site du constructeur.
Enfin, la situation se complique pour les utilisateurs de Windows 10 hors support, et seuls les PC inscrits au programme ESU (Extended Security Updates) recevront ces nouveaux certificats, tandis que les autres resteront exclus du dispositif. À terme, cela pourrait poser des problèmes de compatibilité avec certains pilotes et même certaines mises à jour de logiciels qui dépendent de Secure Boot.
