Les certificats Secure Boot Microsoft datant de 2011 expirent en juin 2026. Sans mise à jour, les appareils Windows ne recevront plus de correctifs de sécurité au niveau du démarrage et resteront exposés aux bootkits UEFI indétectables.
En bref
- Les certificats Secure Boot Microsoft datant de 2011 (Windows UEFI CA 2011, Microsoft Corporation KEK CA 2011) expirent en juin 2026, dès maintenant.
- Les appareils Windows non mis à jour avec les nouveaux certificats 2023 ne recevront plus de correctifs de sécurité pour la couche de démarrage, les exposant aux bootkits UEFI indétectables.
- Action immédiate : appliquer les mises à jour cumulatives Windows de mai/juin 2026 ; vérifier les appareils pré-2018 auprès des fabricants pour les mises à jour firmware BIOS.
Les faits
En juin 2026, les certificats d'autorité de certification utilisés par Secure Boot, la fonctionnalité garantissant l'intégrité de la chaîne de démarrage Windows, arrivent à expiration. Ces certificats, le Windows UEFI CA 2011 et le Microsoft Corporation KEK CA 2011, ont été émis en 2011 avec une durée de vie de 15 ans. L'échéance, anticipée depuis 2024, est maintenant atteinte.
L'expiration ne provoque pas immédiatement un refus de démarrage ni un écran bleu. Windows continuera à s'exécuter normalement. Ce qui cesse, c'est la capacité de l'appareil à recevoir des mises à jour de sécurité spécifiques à la couche de démarrage : correctifs pour le Windows Boot Manager, mises à jour des bases de données Secure Boot, actualisation des listes de révocation DBX interdisant les bootloaders compromis connus, et mitigations contre les nouvelles vulnérabilités de type bootkit UEFI.
En d'autres termes, les appareils non mis à jour deviennent des cibles statiques pour les attaques bootkit. Ces malwares s'installent avant le chargement du système d'exploitation, sont invisibles aux antivirus traditionnels, survivent aux réinstallations Windows complètes, et peuvent intercepter l'ensemble des activités de la machine. Le bootkit BlackLotus, suivi sous CVE-2023-24932, avait précisément exploité une faiblesse dans ce mécanisme. La mise à jour des certificats Secure Boot constitue la remédiation complète et définitive contre cette famille de menaces.
Microsoft distribue depuis 2024, via les mises à jour cumulatives mensuelles, les nouveaux certificats 2023 : Windows UEFI CA 2023 et Microsoft Corporation KEK 2K CA 2023. La distribution automatique est activée par défaut sur les appareils Windows 10 et 11 jugés haute confiance, c'est-à-dire présentant un historique de mises à jour stable et un firmware UEFI compatible. Un Secure Boot playbook officiel guide les équipes IT dans un déploiement progressif en plusieurs phases.
Deux catégories de parcs sont particulièrement exposées. D'abord, les appareils antérieurs à 2018 dont le firmware UEFI peut ne pas prendre en charge nativement les nouveaux certificats sans mise à jour BIOS du fabricant. Les OEM ASUS, Dell, HP et Lenovo ont publié des notes de support spécifiques pour leurs modèles. Ensuite, les appareils non gérés, BYOD ou hors domaine, qui n'ont pas reçu les mises à jour automatiques ou dont la politique Windows Update a été désactivée.
En environnement d'entreprise, la migration comporte des risques opérationnels. Une mise à jour Secure Boot mal appliquée sur un firmware incompatible peut rendre un appareil non démarrable. Microsoft recommande de tester sur un sous-ensemble représentatif avant déploiement généralisé, en conservant des images de restauration. L'application Windows Security dispose désormais d'une section Etat des certificats Secure Boot pour suivre la progression poste par poste.
Les environnements industriels OT/IT, les parcs en mode air-gap et les établissements avec des cycles de patch allongés sont en situation de risque particulièrement élevé. Ces parcs ne reçoivent pas les mises à jour automatiquement et leurs équipes IT n'ont parfois pas encore mesuré l'impact concret de l'expiration. L'ANSSI a sensibilisé les opérateurs d'importance vitale (OIV) sur cette échéance dans ses communications du premier trimestre 2026.
Pour les parcs gérés via Microsoft Intune, SCCM ou WSUS, le déploiement se fait en deux temps : phase d'enrôlement des nouveaux certificats, puis activation de l'enforcement strict après validation sur le parc. Brûler les étapes expose à des problèmes de démarrage sur les appareils dont le firmware n'a pas encore été mis à jour par le fabricant, ce qui peut paralyser des postes critiques en production.
Impact et exposition
Tout appareil Windows 10 ou 11 n'ayant pas reçu les mises à jour cumulatives de 2025-2026 est potentiellement concerné. Les parcs industriels OT/IT, les environnements air-gap, les établissements scolaires et les PME avec des PC non gérés sont les plus exposés. Les appareils pré-2018 avec firmware incompatible resteront en risque structurel sans mise à jour BIOS du fabricant.
Recommandations
- Vérifier l'état des certificats via Sécurité Windows > Protection du compte > Etat des certificats Secure Boot sur vos postes clés.
- Appliquer les mises à jour cumulatives Windows de mai/juin 2026 sur l'ensemble du parc managé via WSUS, Intune ou SCCM.
- Contacter les fabricants de vos appareils pré-2018 pour obtenir les mises à jour firmware BIOS nécessaires avant la migration Secure Boot.
- Tester la migration sur un sous-ensemble représentatif avec images de restauration disponibles avant déploiement généralisé.
- Identifier les appareils en air-gap ou non gérés et définir un plan de traitement manuel priorisé par criticité.
Alerte critique
L'expiration est en cours en juin 2026. Les appareils non mis à jour ne planteront pas immédiatement, mais ils deviennent des cibles permanentes pour les bootkits UEFI indétectables par les antivirus et persistants aux réinstallations Windows. La fenêtre d'action est maintenant.
Mon PC va-t-il cesser de démarrer si je n'applique pas la mise à jour ?
Non. L'expiration des certificats 2011 ne provoque pas de refus de démarrage immédiat. Windows continuera à fonctionner et Windows Update continuera à livrer des mises à jour applicatives classiques. Ce qui cesse, c'est la réception de correctifs spécifiques à la couche de démarrage sécurisé : protection contre les bootkits, listes de révocation, mitigations UEFI. L'urgence est sécurité et non fonctionnelle, mais elle s'aggrave avec le temps à mesure que de nouvelles vulnérabilités bootkit non corrigeables s'accumulent.
Votre infrastructure est-elle exposée ?
Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu'elles ne soient exploitées.
Demander un auditUn projet cybersécurité ?
Expert dispo · Réponse 24h