À partir de 2026, des millions de PC risquent de ne plus démarrer correctement à cause de l’expiration des certificats Secure Boot utilisés depuis 2011. Windows comme Linux seront concernés : sans les nouvelles clés publiées par Microsoft, le chargeur de démarrage sera bloqué. La bonne nouvelle, c’est qu’il existe une solution simple pour anticiper ce problème dès aujourd’hui et éviter de se retrouver avec un ordinateur inutilisable.
Qu’est-ce que Secure Boot ?
Secure Boot est une technologie intégrée à l’UEFI (qui remplace le BIOS traditionnel) et qui sécurise la séquence de démarrage d’un ordinateur. Lorsqu’il est activé, il vérifie que chaque composant chargé au tout début (comme le bootloader ou les applications EFI) est signé numériquement par une autorité de confiance. Son rôle est d’empêcher qu’un logiciel malveillant s’exécute avant même le système d’exploitation.
Le mécanisme repose sur plusieurs bases de clés stockées dans l’UEFI :
- PK (Platform Key) : la clé principale, qui donne l’autorité pour gérer la plateforme.
- KEK (Key Exchange Key) : les clés qui autorisent la mise à jour des listes d’approbation et de révocation.
- db (Database) : la liste des signatures autorisées (bootloaders et applications EFI valides).
- dbx (Database of eXcluded signatures) : la liste noire qui bloque les binaires vulnérables ou compromis.
La plupart des ordinateurs contiennent déjà des certificats Microsoft dans la db et la KEK. Ceux-ci permettent de valider le bootloader Windows, les chargeurs Linux (via shim/GRUB) et de recevoir les mises à jour de sécurité Secure Boot. Grâce à ce système de signatures, l’intégrité du démarrage est garantie avant même que l’OS ne se charge et réduit fortement les risques d’attaques au niveau firmware.
Pourquoi 2026 est une date critique pour Secure Boot ?
Les certificats Microsoft intégrés dans les firmwares depuis 2011 arrivent à expiration. Deux dates sont particulièrement importantes : juin 2026 (fin du Microsoft UEFI CA 2011) et octobre 2026 (fin du Windows Production PCA 2011). Après ces échéances, les clés utilisées actuellement ne seront plus reconnues comme valides par Secure Boot.
- Sans le Windows UEFI CA 2023, Windows ne pourra plus démarrer.
- Sans le Microsoft UEFI CA 2023, les distributions Linux (GRUB, shim) et les applications EFI tierces échoueront à charger.
- Sans le KEK CA 2023, les mises à jour Secure Boot via Windows Update ne pourront plus être appliquées.
Un ordinateur non préparé affichera au démarrage des messages du type « Secure Boot violation » empêchant complètement le lancement du système d’exploitation.
Microsoft prépare la transition pour les PC compatibles
Pour éviter une coupure brutale en 2026, Microsoft a déjà amorcé la transition vers les nouveaux certificats. Depuis 2024, des mises à jour spécifiques (KB5036210) déploient automatiquement le Windows UEFI CA 2023 et le Microsoft Corporation KEK CA 2023 sur les machines compatibles. Ces certificats sont inscrits directement dans les bases Secure Boot de l’UEFI (db et KEK).
Le processus est transparent pour la majorité des utilisateurs :
- Ajout automatique dans la base db et permet à Windows de continuer à démarrer après 2026.
- Ajout automatique dans la base KEK et garantit que les futures mises à jour Secure Boot pourront encore être appliquées.
Cependant, cette automatisation a ses limites. Les PC fonctionnant uniquement sous Linux ne recevront pas ces correctifs via Windows Update. De même, certains vieux ordinateurs abandonnés par leur constructeur risquent de ne pas bénéficier de mises à jour de firmware intégrant les nouvelles clés. Dans ces cas précis, un ajout manuel des certificats 2023 reste indispensable pour assurer la compatibilité au-delà de 2026.
Les nouveaux certificats à installer sur votre machine
Pour assurer la continuité de Secure Boot après l’expiration des anciennes clés en 2026, Microsoft a publié trois nouveaux certificats. Ils remplacent directement ceux de 2011 et garantissent la compatibilité aussi bien pour Windows que pour Linux et les applications EFI tierces. Ces fichiers sont disponibles officiellement sur le site de Microsoft et peuvent être téléchargés dès maintenant afin d’être intégrés manuellement si nécessaire.
| Nom du certificat | Usage | Lien de téléchargement |
|---|---|---|
| Microsoft Corporation KEK CA 2023 (Key Exchange Key) | Autorise les mises à jour de db/dbx. | Télécharger KEK CA 2023 |
| Windows UEFI CA 2023 | Sert pour le bootloader Windows | Télécharger Windows UEFI CA 2023 |
| Microsoft UEFI CA 2023 | Sert à signer les bootloaders tiers, applications EFI, etc | Télécharger Microsoft UEFI CA 2023 |
Si votre machine ne reçoit pas automatiquement les nouveaux certificats via Windows Update ou une mise à jour de firmware, il est possible de les ajouter vous-même. La procédure est assez simple et peut être réalisée depuis le menu UEFI de l’ordinateur.
- Commencez par copier les trois fichiers .crt sur une clé USB formatée en FAT32.
- Redémarrez ensuite votre PC et entrez dans le BIOS/UEFI.
- Dans les menus de sécurité, ouvrez la section Secure Boot → Key Management.
- Choisissez alors l’option Enroll key ou Enroll certificate et parcourez la clé USB pour sélectionner les fichiers à importer.
- Une fois les certificats chargés, validez l’enregistrement, sauvegardez vos changements et redémarrez la machine.
Votre UEFI disposera désormais des nouvelles clés Microsoft, garantissant un démarrage sécurisé au-delà de 2026.
Préparez votre PC pour éviter le blocage Secure Boot en 2026
L’échéance de 2026 marquera un tournant pour Secure Boot. Lorsque les certificats de 2011 arriveront à expiration, un ordinateur qui n’a pas été mis à jour pourra tout simplement refuser de démarrer. C’est un risque concret qu’il vaut mieux anticiper dès aujourd’hui plutôt que de le découvrir au moment critique.
La bonne nouvelle, c’est que la majorité des PC sous Windows recevront automatiquement les nouveaux certificats via Windows Update, sans intervention de l’utilisateur. En revanche, pour les machines fonctionnant uniquement sous Linux ou pour certains matériels plus anciens qui ne bénéficient plus de mises à jour constructeur, l’import manuel reste une étape indispensable.
En prenant quelques minutes pour vérifier vos clés et ajouter les certificats Microsoft 2023 si nécessaire, vous vous assurez de conserver un démarrage fiable et sécurisé bien au-delà de 2026.
Sources et ressources
À propos de l'auteur
Adrien Piron
