Ce qu’est vraiment Secure Boot, et pourquoi c’est important
Quand vous appuyez sur le bouton d’allumage de votre PC, il se passe quelque chose avant même que Windows ne démarre. Le firmware de votre machine, un logiciel de bas niveau qu’on appelle UEFI (Unified Extensible Firmware Interface), vérifie que les programmes qui se chargent au démarrage sont bien ce qu’ils prétendent être. C’est le rôle de Secure Boot : le système s’assure que rien de frauduleux ne peut se glisser dans le processus de démarrage.
Pour fonctionner, ce système repose sur des certificats cryptographiques, que l’on peut considérer comme des pièces d’identité numériques. Secure Boot utilise ces clés pour confirmer que les modules de firmware proviennent d’une source de confiance, ce qui empêche les programmes malveillants de s’exécuter très tôt dans la séquence de démarrage, avant même que Windows ne soit chargé.
Après quinze ans de service, les certificats Secure Boot qui équipent les systèmes Windows vont commencer à expirer en juin 2026. Trois d’entre eux disparaissent en juin, un quatrième en octobre. Leurs remplaçants existent déjà : les certificats de 2023, distribués automatiquement via Windows Update depuis quelques mois.
Que se passe-t-il concrètement si votre PC n’est pas à jour ?
Les appareils qui n’ont pas reçu les nouveaux certificats continueront de démarrer et de fonctionner normalement, et les mises à jour Windows habituelles continueront de s’installer. En revanche, ces appareils ne pourront plus recevoir les nouvelles protections de sécurité pour le processus de démarrage précoce. En clair, votre PC ne tombera pas en panne, mais une partie de sa protection sera inexistante tant que vous n’aurez pas les bons certificats. Ce n’est pas anodin quand on sait ce que les hackers sont capables de faire dans ce créneau très précis du démarrage.
L’exemple le plus concret, c’est BlackLotus. Découvert en 2023, BlackLotus a été le premier bootkit UEFI capable de contourner Secure Boot sur des systèmes Windows 11 entièrement à jour. Une fois chargé, il pouvait désactiver BitLocker, la protection de code par hyperviseur et Windows Defender, le tout avant même que le système d’exploitation ne soit lancé, invisible aux antivirus. Ce type de menace opère à un niveau si bas dans la machine que les outils de sécurité classiques ne peuvent pas l’atteindre. Les nouveaux certificats de 2023 sont la réponse à long terme à cette vulnérabilité.
Comment savoir où en est votre machine
Depuis le Patch Tuesday d’avril 2026, Windows 11 affiche directement l’état de vos certificats Secure Boot dans l’interface de sécurité. L’application Sécurité Windows affiche désormais des informations supplémentaires sur le statut des mises à jour des certificats Secure Boot sous forme d’une icône verte, jaune ou rouge avec l’option de Démarrage sécurisé.
Pour y accéder, ouvrez les Paramètres de Windows (raccourci Windows + i). Dans la colonne de gauche, cliquez sur Confidentialité et sécurité, puis entrez dans Sécurité Windows. Sur la page qui s’ouvre, sous la section Zones de protection, cliquez sur Sécurité de l’appareil. Le module Sécurité Windows s’ouvre alors sur la page dédiée. Faites défiler jusqu’à trouver Démarrage sécurisé.
Il y a ensuite 3 cas possibles: une icône verte signifie que tout est en ordre et que vos certificats sont à jour. Vous n’avez donc rien à faire. Une icône jaune signale un problème qui peut être résolu facilement, comme une limitation matérielle ou firmware qui empêche la mise à jour automatique des certificats. Dans ce cas, il faudra contacter le fabricant de l’appareil. Une icône rouge indique que Secure Boot est bien actif, mais que l’appareil n’est techniquement pas en mesure de recevoir les mises à jour des certificats. Le PC fonctionne normalement, mais reste exposé si un programme malveillant venait à cibler le démarrage.
Ce que vous devez faire selon votre situation
Pour la grande majorité des utilisateurs, la mise à jour est déjà en train de se faire en arrière-plan. Pour la plupart des particuliers et des entreprises qui laissent Microsoft gérer les mises à jour de leur PC, les nouveaux certificats seront installés automatiquement via le processus mensuel de mise à jour Windows, sans aucune intervention nécessaire.
Si votre icône est verte après avoir appliqué les dernières mises à jour, c’est terminé. Si elle reste jaune, la priorité est de vérifier si votre fabricant a publié une mise à jour firmware pour votre modèle. Ces mises à jour UEFI sont généralement disponibles sur le site du constructeur et s’installent facilement comme n’importe quel pilote. C’est une étape que beaucoup de gens ne pensent jamais à faire, alors que le firmware est la première couche de sécurité de toute la machine.
Les PC Copilot+ et la plupart des appareils fabriqués depuis 2024 sont déjà équipés des nouveaux certificats de 2023. Si vous avez acheté un ordinateur neuf dans les deux dernières années, vous êtes probablement déjà couvert. Pour tous les autres, c’est le moment de vérifier.
🟣 Pour ne manquer aucune news sur le Journal du Geek, suivez-nous sur Google et sur notre canal WhatsApp. Et si vous nous adorez, on a une newsletter tous les matins.
