Microsoft déploie une mise à jour pour renouveler les certificats Secure Boot expirés

microsoft

Les certificats Secure Boot sur Windows 11 24H2 et 25H2, qui sont presque expirés, sont remplacés par une mise à jour.

Microsoft a commencé à remplacer automatiquement les certificats Secure Boot expirant sur les systèmes Windows 11 24H2 et 25H2. Cette mesure vise à éviter que les appareils ne perdent leur fonctionnalité de démarrage sécurisé après la date d’expiration.

Les certificats expirent en 2026

Secure Boot garantit que seul un logiciel de confiance peut être chargé lors du démarrage d’un PC avec le firmware UEFI (Unified Extensible Firmware Interface). Cela se fait via des certificats numériques stockés dans le firmware. Microsoft a déjà averti les administrateurs informatiques en novembre que les certificats actuels expireront à partir de juin 2026. Sans remplacement rapide, cela pourrait avoir des conséquences sur la sécurité et la disponibilité des systèmes.

Selon Microsoft, les récentes mises à jour de Windows contiennent désormais une télémétrie ciblée pour identifier les appareils éligibles à un remplacement automatique des certificats. Seuls les systèmes qui affichent suffisamment de signaux de mise à jour réussie reçoivent les nouveaux certificats Secure Boot. Microsoft souhaite ainsi limiter le risque de perturbations et contrôler le déploiement.

Risques en cas de report

Les entreprises qui ne mettent pas à jour les certificats à temps risquent de perdre la protection Secure Boot et les mises à jour des composants de pré-démarrage. Cela peut entraîner la perte de confiance envers les nouveaux bootloaders, avec des conséquences directes sur la sécurité des endpoints.

De nombreux appareils sont automatiquement mis à jour via Windows Update, mais les entreprises peuvent également déployer les certificats manuellement via les paramètres du registre, la stratégie de groupe ou le système de configuration Windows. Microsoft conseille de d’abord dresser un inventaire des appareils, de vérifier l’état de Secure Boot et d’appliquer les éventuelles mises à jour du firmware des fournisseurs de matériel avant d’installer les nouveaux certificats.