Avant même que Windows ne s’affiche à l’écran, une série de vérifications s’effectue en coulisses. C’est là qu’intervient Secure Boot, inauguré en 2011. Son rôle est simple à comprendre : empêcher tout programme non autorisé, et donc potentiellement malveillant, de se lancer au démarrage.
Secure Boot, le garde du corps invisible du PC
Pourquoi est-ce crucial ? Parce qu’un logiciel malveillant installé à ce niveau peut passer sous les radars des antivirus classiques. En bloquant les programmes non signés dès l’allumage, Secure Boot protège la base même du système. Pour fonctionner, ce mécanisme s’appuie sur des certificats stockés dans le firmware du PC (au niveau de l’UEFI). Ces certificats servent en quelque sorte de liste de confiance : seuls les logiciels validés peuvent démarrer.
Or, ces certificats, en place depuis plus de quinze ans, arrivent en fin de cycle et commenceront à expirer à partir de la fin juin de cette année. Microsoft a donc lancé leur remplacement via Windows Update. « À mesure que la sécurité cryptographique évolue, les certificats et les clés doivent être renouvelés périodiquement pour maintenir une protection solide », explique Nuno Costa, responsable chez Microsoft.
Premier point rassurant : votre PC ne va pas cesser de fonctionner. Windows continuera de démarrer, les logiciels resteront utilisables. En revanche, la machine entrera dans ce que Microsoft appelle un « état de sécurité dégradé ». En clair, elle ne pourra plus recevoir de futures protections liées au démarrage. Si de nouvelles failles sont découvertes à ce niveau — ce qui arrive régulièrement — l’ordinateur ne pourra plus installer les correctifs nécessaires.
Avec le temps, cela peut aussi provoquer des problèmes de compatibilité. Certains systèmes d’exploitation récents, mises à jour de firmware ou logiciels qui dépendent de Secure Boot pourraient refuser de se lancer. Autre point important : seuls Windows 11 et les PC Windows 10 inscrits au programme Extended Security Updates recevront ces nouveaux certificats. Les versions non prises en charge sont exclues.
Concrètement, que doit-on faire ? Dans la grande majorité des cas, rien de spécial. Si le PC installe automatiquement les mises à jour Windows, les nouveaux certificats seront déployés via les correctifs mensuels habituels. Microsoft précise toutefois qu’une petite partie des appareils pourrait nécessiter une mise à jour supplémentaire du firmware fournie par le constructeur (Dell, HP, Lenovo ou autre). Il peut donc être utile de vérifier que sa machine dispose bien du dernier firmware disponible sur la page de support du fabricant.
🟣 Pour ne manquer aucune news sur le Journal du Geek, suivez-nous sur Google et sur notre canal WhatsApp. Et si vous nous adorez, on a une newsletter tous les matins.
