Comment faire, Actualités

La prise en charge de la sécurité de votre Windows prendra fin en juin 2026

par Stefan Dasic | 28 mai 2026
Windows un ordinateur portable

Une mise à jour des certificats Secure Boot est en cours de déploiement sur tous Windows pris en charge via Windows . En juin 2026, les certificats Secure Boot intégrés à Windows 2011 commenceront à expirer, et Microsoft les remplace par de nouveaux certificats datés de 2023.

La bonne nouvelle : si vous maintenez votre PC à jour, vous n'aurez probablement rien à faire. La mauvaise nouvelle : certains appareils plus anciens risquent de ne pas effectuer la transition sans heurts. Votre PC ne cessera pas de fonctionner du jour au lendemain, mais avec le temps, il pourrait se retrouver privé de protections de sécurité essentielles au niveau du démarrage sans que vous vous en rendiez compte.

Voici ce qui se passe, pourquoi c'est important et comment vérifier que votre machine respecte bien la date limite.

Qu'est-ce que le Secure Boot, et qu'est-ce qui arrive à expiration ?

Secure Boot est une fonctionnalité du micrologiciel UEFI intégrée à pratiquement tous les PC vendus depuis environ 2012. Elle s'exécute avant Windows ne commence à se charger, et son rôle est de vérifier que le chargeur d'amorçage et les premiers composants du démarrage ont été signés par une entité de confiance. Si un élément ne figurant pas sur la liste de confiance tente de s'introduire dans la chaîne de démarrage — un bootkit, par exemple —, Secure Boot refuse de le laisser s'exécuter.

Comment fonctionne Secure Boot

C'est la notion de « partie de confiance » qui est essentielle. La confiance s'établit grâce à des certificats cryptographiques intégrés au micrologiciel de votre carte mère. Les certificats actuels ont été émis en 2011 et arrivent aujourd'hui à expiration. Trois certificats spécifiques sont concernés :

  • Microsoft Corporation KEK CA 2011: expire le 24 juin 2026
  • Certificat d'autorité UEFI Microsoft 2011: expire le 27 juin 2026
  • Licence PCA Windows Microsoft Windows 2011: expire le 19 octobre 2026

Microsoft les remplace par un ensemble daté de 2023, comprenant notamment Windows CA 2023 et Microsoft Corporation KEK 2K CA 2023. D'après les ingénieurs de Microsoft qui se sont exprimés lors d'une session AMA en mars 2026, les nouveaux certificats sont valables jusqu'en 2038, et une transition distincte vers la cryptographie post-quantique est prévue vers 2030 pour le matériel futur.

« Est-ce que mon ordinateur va cesser de fonctionner ? »

Non. C'est la chose la plus importante à comprendre, car les rumeurs ont pris le pas sur les faits.

Si la date limite arrive et que votre PC utilise toujours les certificats de 2011, Windows démarrer, Windows continuera de fonctionner et votre PC continuera de fonctionner normalement.

Ce qui change, c'est que, selon les propres termes de Microsoft, l'appareil « ne pourra plus bénéficier de nouvelles mesures de sécurité » pour la phase initiale de démarrage, notamment les mises à jour du Gestionnaire Windows , des bases de données Secure Boot, des listes de révocation et des mesures d'atténuation des vulnérabilités récemment découvertes au niveau du démarrage.

En clair : votre PC devient de plus en plus difficile à protéger au fil du temps. Il est protégé contre les menaces de démarrage connues à ce jour, mais pas nécessairement contre celles qui seront découvertes le mois prochain ou l'année prochaine.

C'est un problème, car les bootkits agissent en contournant Windows les logiciels antivirus. Ils s'exécutent avant tout autre programme et peuvent désactiver les outils de sécurité qui les détecteraient normalement.

Le problème BlackLotus

Si vous voulez un exemple concret illustrant l'importance de la sécurité au niveau du démarrage, penchez-vous sur BlackLotus.

BlackLotus est un bootkit UEFI apparu sur des forums de piratage en 2022 et dont la présence en milieu réel a été confirmée par des chercheurs début 2023. Il exploitait la vulnérabilité CVE-2022-21894, surnommée « Baton Drop », pour contourner le Secure Boot sur Windows entièrement mis à jour. Une fois installé, il pouvait désactiver BitLocker, l'intégrité du code protégée par l'hyperviseur (HVCI) et Microsoft Defender avant que Windows ne soit Windows chargé.

Microsoft a corrigé la faille sous-jacente identifiée sous le numéroCVE-2023-24932, mais la mise à jour sécurisée des gestionnaires de démarrage vulnérables s'avère complexe. La désactivation de composants de démarrage inappropriés peut rendre les systèmes impossibles à démarrer, raison pour laquelle Microsoft a déployé ces mesures de protection progressivement, sur plusieurs années.

Le renouvellement des certificats prévu pour 2026 est une étape normale du cycle de vie (les certificats de 2011 devaient de toute façon arriver à expiration), mais il s'inscrit également dans le cadre du renforcement général de la sécurité du démarrage sécurisé (Secure Boot) que Microsoft a mis en place pour remédier aux vulnérabilités des gestionnaires de démarrage et faire face à des attaques telles que BlackLotus.

Grâce à la mise en place de ces nouveaux ancrages de confiance, Microsoft peut continuer à déployer de nouveaux composants de démarrage signés en 2023 et révoquer en toute sécurité ceux qui présentent des failles à mesure que de nouvelles menaces apparaissent. Les appareils qui n'effectuent pas cette transition risquent à terme de ne plus bénéficier de ces protections futures.

Comment se déroule le déploiement

Microsoft procède à un déploiement par étapes afin d'éviter toute perturbation des systèmes.

Windows planifiée Windows s'exécute environ toutes les 12 heures et applique la mise à jour par étapes :

  1. Ajoutez la nouvelleautorité de certificationWindows 2023à la base de données de signatures du micrologiciel.
  2. Si l'ancien certificat tiers de 2011 est toujours présent, ajoutez-y le certificatMicrosoft UEFI CA 2023et lecertificat Microsoft Option ROM UEFI CA 2023.
  3. Ajoutez la nouvelle cléKEK 2K CA 2023 de Microsoft Corporation.
  4. Mettez à jour le gestionnaire Windows en utilisant une version signée par le nouveau certificat. Cette étape est reportée au prochain redémarrage automatique.

Selon les recommandations de Microsoft destinées aux professionnels de l'informatique, le processus complet prend environ 48 heures et nécessite un ou plusieurs redémarrages. Chaque étape doit aboutir avant que la suivante ne puisse s'exécuter ; un appareil peut donc rester bloqué à mi-parcours pendant un certain temps s'il attend, par exemple, une mise à jour du micrologiciel ou un redémarrage planifié.

Pour la plupart des particuliers, cela se fait en arrière-plan, sans qu'ils s'en rendent compte, via les mises à jour cumulatives habituelles.

À partir de la Windows d'avril 2026, l'application Windows inclut des informations mises à jour sur l'état du démarrage sécurisé dans la section « Sécurité de l'appareil », qui indiquent si les nouveaux certificats ont bien été appliqués.

Paramètres du démarrage sécurisé

Qu'est-ce qui pourrait mal tourner ?

La plupart des systèmes effectueront la transition sans problème, mais il existe quelques points sensibles connus :

  • Les PC plus anciens équipés d'un micrologiciel obsolète.Certaines versions plus anciennes de micrologiciel UEFI ne prennent pas correctement en charge les nouveaux certificats. Ces systèmes peuvent nécessiter une mise à jour du BIOS ou du micrologiciel fournie par le fabricant avant que la transition puisse être menée à bien.
  • Les PC qui ont contourné les exigences Windows .Si le démarrage sécurisé a été désactivé pour installer Windows à l'aide de solutions de contournement non officielles, les nouveaux certificats ne peuvent pas être appliqués correctement.
  • Systèmes BIOS hérités / CSM.Les appareils fonctionnant sous BIOS hérité (ou UEFI avec le module de prise en charge de la compatibilité activé) n'utilisent pas du tout le démarrage sécurisé ; ils ne sont donc absolument pas concernés par cette mise à jour.
  • Firmwares personnalisés et configurations inhabituelles.Certaines configurations de firmware personnalisées ou inhabituelles peuvent déclencher une invite de récupération BitLocker après la modification des paramètres de Secure Boot. Microsoft a pris soin de préciser que BitLockern'estpasdésactivé en soi, mais les utilisateurs devraient garder leurs clés de récupération à portée de main, au cas où.

Selon Windows , des échecs de mise à jour ont été constatés sur des milliers d'ordinateurs équipés d'un micrologiciel obsolète lors des tests. Les recommandations de Microsoft indiquent de manière plus générale que des limitations liées au micrologiciel, à la plateforme ou à l'équipementier peuvent empêcher la mise à jour. Dans de nombreux cas, Windows signalera les systèmes concernés par des avertissements de statut jaunes ou rouges.

Ce que les particuliers devraient faire

Pour la plupart des gens, le conseil est simple :

  • Veillez à ce que Windows soit Windows à jour.Microsoft déploie les nouveaux certificats via Windows habituelles, et la plupart des particuliers n'auront rien d'autre à faire que d'installer les mises à jour mensuelles.
  • Vérifiez l'état de Secure Boot (le texte, pas seulement la couleur).OuvrezWindows >Sécurité de l'appareil>Secure Boot. Une icône verte accompagnée du texte« Secure Boot est activé, ce qui empêche le chargement de logiciels malveillants au démarrage de votre appareil »indique que tout est en ordre. Microsoft précise qu'une simple coche verte ne garantit pas que les nouveaux certificats ont bien été appliqués.
  • Si votre appareil est plus ancien, vérifiez si le fabricant propose une mise à jour du BIOS ou du micrologiciel.Certains systèmes en ont besoin pour que la mise à jour du Secure Boot puisse s'effectuer correctement. Ceci est particulièrement important pour les PC fabriqués avant 2024.
  • Ne désactivez pas le Secure Boot pour « réparer » quoi que ce soit.Désactiver le Secure Boot est exactement la mauvaise solution : cela supprime complètement la protection au lieu de la mettre à jour. Certains systèmes anti-triche de jeux vidéo et certaines applications plus anciennes demandent aux utilisateurs de le faire.
  • Ne vous inquiétez pas pour le nouveau dossier SecureBoot. La mise à jour cumulative Windows de mai 2026 (KB5089549) crée un dossier à l'emplacement C:\Windows\SecureBoot contenant des exemples de scripts PowerShell destinés aux administrateurs informatiques. Il ne s'agit pas d'un logiciel malveillant, c'est tout à fait normal et vous n'avez pas besoin de le supprimer.
  • Utilisez une protection anti-malware à jour et en temps réel, capable de détecter les menaces au niveau du système d'exploitation, même si certaines parviennent à contourner le Secure Boot.

Ce que les équipes informatiques devraient faire

Si vous gérez un parc informatique, Microsoft a publiédes recommandations détailléeset la tâche est plus complexe. En résumé :

  • Faites l'inventaire de vos appareils dès maintenant. Récupérez le nom du fabricant, le modèle, la version du BIOS et sa date, le produit de la carte mère ainsi que l'état du Secure Boot pour l'ensemble du parc. Microsoft fournit un exemple de script PowerShell à l'adresse aka.ms/GetSecureBoot qui affiche les clés de registre et les ID d'événement concernés.
  • Surveillez les ID d'événement 1801 et 1808.L'ID d'événement 1808 confirme que les nouveaux certificats sont bien en place. L'ID d'événement 1801 indique que la mise à jour de l'appareil n'est pas terminée.
  • Effectuez des tests avant le déploiement à grande échelle.Microsoft recommande de tester au moins quatre appareils par combinaison unique de fabricant, de modèle et de micrologiciel. Certains systèmes peuvent nécessiter une mise à jour du micrologiciel par le fabricant avant de pouvoir accepter les nouveaux certificats.
  • Choisissez une seule méthode de déploiement par appareil.Utilisez des clés de registre, des stratégies de groupe, les outils en ligne de commande WinCS ou des scripts Intune/ConfigMgr, mais ne mélangez pas les méthodes sur un même ordinateur.
  • Pensez à la création d'images PXE et à Hyper-V. Les serveurs PXE SCCM/MECM peuvent nécessiter une nouvelle signature boot.wim, et il se peut que les hôtes Hyper-V doivent être mis à jour avant de créer de nouvelles machines virtuelles avec le KEK 2023 dans le modèle de micrologiciel.
  • Répertoriez les appareils qui ne peuvent pas être mis à jour.Les équipements plus anciens pour lesquels le fabricant ne propose plus de micrologiciel devront peut-être être remplacés avant la date limite ou faire l'objet d'une dérogation officielle, assortie de mesures de contrôle compensatoires. Ces appareils continueront de fonctionner, mais ils risquent de ne pas bénéficier des futures protections au niveau du démarrage.

En résumé

Il s'agit là d'un de ces événements liés à la sécurité qui ne provoquera pas d'incident majeur le 24 juin 2026. Rien de visible ne se passera ce jour-là.

Le risque réside dans ce qui se passera dans les mois et les années à venir. Les appareils qui ne parviennent pas à passer à la nouvelle chaîne de confiance risquent de prendre progressivement du retard en matière de protections au niveau du démarrage, alors que Microsoft continue de lutter contre des menaces telles que BlackLotus et d'autres bootkits.

Pour la plupart des particuliers, Windows se chargera automatiquement de la mise à jour. Votre principale tâche consiste à maintenir votre système à jour et à vérifier l'état du démarrage sécurisé avant l'échéance.

Si votre matériel est ancien, c'est le moment idéal pour vérifier si le fabricant propose toujours des mises à jour du micrologiciel — et si votre PC est prêt pour la prochaine décennie de protections Secure Boot.

Prix « Choix de la rédaction » de CNET 2026

« L'une des meilleures suites de cybersécurité au monde. » 

D'après CNET.Lire leur critique

À propos de l'auteur

Stefan Dasic

Stefan Dasic

Passionné par les solutions antivirus, Stefan a été impliqué très tôt dans les tests de logiciels malveillants et l'assurance qualité des produits AV. Au sein de l'équipe Malwarebytes , Stefan se consacre à la protection des clients et à la garantie de leur sécurité.

DERNIERS ARTICLES

Violations de données
une femme et un bateau de croisière

Carnival confirme une fuite de données touchant près de 6 millions de personnes

Mai 28, 2026

Le géant des croisières Carnival a été victime d'une nouvelle fuite de données : le groupe ShinyHunters affirme avoir dérobé des données personnelles concernant près de 6 millions de personnes.

AI
Renseignements sur les menaces : les menaces cachées

Un faux site de téléchargement de ChatGPT infecte Mac Windows Mac avec des logiciels malveillants

Mai 28, 2026

Vous cherchez ChatGPT ? Ce faux site de téléchargement diffuse des logiciels malveillants destinés Mac Windows Mac , en utilisant des charges utiles distinctes adaptées à chaque plateforme.

Actualités
hameçonnage à grande échelle

Le kit de phishing Kali365 contourne l'authentification multifactorielle et vole les identifiants Microsoft

Mai 27, 2026

Le FBI a averti que des pirates informatiques utilisaient un nouveau kit de phishing pour obtenir un accès à long terme aux comptes Microsoft Outlook, Teams et OneDrive.

Articles connexes

Icône des contributeurs

Les contributeurs

Icône du centre des menaces

Centre des menaces

Icône Podcasts

Podcast

Icône de glossaire

Glossaire

Icône d'escroquerie

Escroqueries