Par Christophe | Publié le
🔥 Ce qu’il faut retenir
- Les certificats Windows Secure Boot de 2011 expirent le 24 juin 2026
- Les PC non mis à jour perdront les protections de sécurité au niveau du démarrage
- Microsoft déploie automatiquement les certificats de remplacement via Windows Update
Microsoft fait face à une échéance critique : les certificats Secure Boot installés en 2011 sur la plupart des PC Windows arrivent à expiration le 24 juin prochain. Cette situation concerne des millions d’appareils qui risquent de perdre leurs protections de sécurité au niveau du firmware si les mises à jour appropriées ne sont pas installées.
Trois certificats critiques arrivent à expiration
Trois certificats essentiels au fonctionnement de Secure Boot atteignent leur date limite d’utilisation. Le Microsoft Corporation KEK CA 2011 expire le 24 juin, suivi du Microsoft UEFI CA 2011 le 27 juin. Le plus critique reste le Microsoft Windows Production PCA 2011, qui expire le 19 octobre et signe directement le chargeur de démarrage de Windows.
Microsoft a anticipé cette situation en déployant les certificats de remplacement de 2023 via Windows Update depuis janvier. Le processus s’accélère avec chaque mise à jour mensuelle, notamment la récente KB5089549.
Les appareils avec des certificats expirés continueront à démarrer normalement mais perdront la capacité de recevoir de nouveaux correctifs de sécurité au niveau firmware.
Impact sur la sécurité des appareils
Contrairement à ce que l’on pourrait craindre, les PC affectés ne cesseront pas de fonctionner après l’expiration. Les utilisateurs pourront toujours démarrer leur système et recevoir les mises à jour Windows classiques.
La perte concerne spécifiquement les mises à jour de la base de données Secure Boot, les listes de révocation de certificats et les correctifs pour les nouvelles vulnérabilités découvertes au niveau du démarrage. Cette couche de sécurité s’avère cruciale face aux exploits comme BlackLotus qui ciblent spécifiquement le firmware.
Un appareil avec des certificats expirés n’aura aucune possibilité de correction contre les futures menaces au niveau firmware.
Vérification et mise à jour automatique
Les utilisateurs de Windows 11 sur les versions supportées bénéficient d’une mise à jour automatique des certificats. La situation s’avère plus complexe pour les anciens matériels et les machines Windows 10 non supportées.
Pour vérifier l’état des certificats, il suffit d’ouvrir Windows Security, de sélectionner Sécurité de l’appareil et de consulter la section Secure Boot. Cette vérification permet de s’assurer que les nouveaux certificats sont bien installés.
Cette expiration programmée souligne l’importance de maintenir les systèmes à jour, particulièrement au niveau des composants de sécurité fondamentaux. Les administrateurs système doivent s’assurer que leurs parcs informatiques reçoivent bien les mises à jour critiques avant les dates d’expiration.
Que se passe-t-il si les certificats expirent sur mon PC ?
Votre ordinateur continuera à démarrer normalement et recevra les mises à jour Windows standard. Cependant, vous perdrez la possibilité de recevoir les correctifs de sécurité au niveau firmware et les mises à jour de la base de données Secure Boot.
Comment vérifier l’état des certificats Secure Boot ?
Ouvrez Windows Security, sélectionnez “Sécurité de l’appareil” puis consultez la section Secure Boot. Vous pourrez y vérifier si les nouveaux certificats de 2023 sont installés sur votre système.
Les anciens PC Windows 10 sont-ils concernés ?
Oui, les machines Windows 10 non supportées et les anciens matériels font face à un défi plus important pour recevoir les certificats de remplacement. Microsoft déploie prioritairement les mises à jour sur Windows 11 et les versions supportées.
Quand expire le certificat le plus critique ?
Le certificat Microsoft Windows Production PCA 2011, qui signe le chargeur de démarrage Windows, expire le 19 octobre 2026. Cette date représente l’échéance la plus critique pour l’intégrité du démarrage à long terme.
