Aller au contenu
Règlement du forum ×
IPTV et arnaques ×

Les certificats de démarrage de Windows expirent bientôt

laliche

Par laliche
dans Windows

 Share

Messages recommandés

  • Modérateurs
laliche Grand Master

laliche

Posté(e)
  • Modérateurs
Posté(e)

Microsoft a introduit la fonctionnalité Secure Boot avec Windows 8 en 2012 afin d'améliorer la sécurité des PC Windows en empêchant les logiciels malveillants, notamment les rootkits et les bootkits, de se charger dans votre système avant même le démarrage du système d'exploitation.

Révélation

Près de quinze ans plus tard, les certificats Secure Boot d'origine expireront fin juin 2026. Si cela peut paraître inquiétant, la plupart des utilisateurs de PC Windows n'ont pas à s'en préoccuper, même ceux qui possèdent d'anciens ordinateurs ne bénéficiant pas de la mise à jour des certificats. Voici pourquoi.

Avant d'aborder le processus de certificat de démarrage sécurisé, permettez-moi d'expliquer brièvement ce qu'est le démarrage sécurisé. Comme je l'ai mentionné, il s'agit d'une fonctionnalité de sécurité UEFI introduite avec Windows 8 au début des années 2010. Elle fait partie de l'UEFI (Unified Extensible Firmware Interface) et s'exécute dès l'allumage de votre ordinateur, avant même le chargement de Windows.

Le démarrage sécurisé vérifie les composants de démarrage et leurs signatures par rapport aux clés, signatures et certificats de confiance stockés dans le microprogramme UEFI. Il s'agit notamment de la clé de plateforme (PK), des clés d'échange de clés (KEK), de la base de données de signatures autorisées (DB) et de la base de données de signatures interdites (DBX).

Ensemble, ils déterminent quel code est autorisé à s'exécuter avant le chargement du système d'exploitation. Ils permettent également à Microsoft et aux fournisseurs de matériel de mettre à jour les bases de données de confiance du démarrage sécurisé en ajoutant de nouveaux certificats et en révoquant ceux qui sont compromis.

Le problème, c'est que ces certificats de démarrage sécurisé ont une date d'expiration. Ils ont été émis en 2011, un an avant la sortie de Windows 8, et expireront fin juin 2026, à l'exception d'un certificat (Microsoft Windows Production PCA 2011) qui expirera un peu plus tard, le 19 octobre 2026.

Vous devriez obtenir de nouveaux certificats via Windows Update.
Microsoft remplace les anciens certificats par de nouveaux, émis en 2023 et valides jusqu'en 2038. Bonne nouvelle: la mise à jour est automatique pour la plupart des particuliers. Si vous possédez un PC Windows, vous recevrez les nouveaux certificats via les mises à jour Windows.

Il y a de fortes chances que votre PC les possède déjà, et il existe un moyen simple de le vérifier. L'état du certificat de démarrage sécurisé a été ajouté à l'application Sécurité Windows via la mise à jour KB5083769 de Windows 11, déployée sur les PC Windows en avril 2026. Puisque nous sommes en juin, votre PC devrait déjà avoir cette mise à jour installée.

Pour vérifier si les nouveaux certificats de démarrage sécurisé sont présents sur votre PC, ouvrez les Paramètres Windows et accédez à Confidentialité et sécurité. Cliquez ensuite sur Sécurité Windows, puis sur le bouton Ouvrir la sécurité Windows en haut du menu.

Une fois dans Sécurité Windows, cliquez sur le menu hamburger et sélectionnez l'onglet Sécurité de l'appareil. Vous y trouverez l'état du démarrage sécurisé de votre ordinateur. Si une coche verte apparaît et que le message indique que le démarrage sécurisé est activé et que toutes les mises à jour de certificats requises ont été appliquées, tout est en ordre.

Mais que se passerait-il si ce n'était pas le cas ? Il n'y a pas lieu de paniquer.

Alors que la plupart des PC Windows exécutant Windows 11 ont déjà vu leurs certificats de démarrage sécurisé mis à jour, certains systèmes ne prennent pas en charge les mises à jour automatiques des certificats via Windows Update.
Si un point d'exclamation jaune apparaît lors de la vérification de l'état du démarrage sécurisé dans Sécurité Windows, accompagné d'un message indiquant que le démarrage sécurisé est activé, mais que votre appareil ne prend pas en charge les mises à jour automatiques des certificats de démarrage sécurisé, vérifiez si le fabricant de votre carte mère a publié une mise à jour du micrologiciel permettant cette mise à jour. Si votre carte mère est trop ancienne et qu'aucune mise à jour du micrologiciel n'est disponible, vous ne pourrez probablement pas recevoir les certificats mis à jour.

Les PC affichant une croix rouge à côté de l'état du démarrage sécurisé dans la section Sécurité de Windows ne pourront pas recevoir les nouveaux certificats et devront continuer à fonctionner sans eux, même si le démarrage sécurisé est activé. De même, si le démarrage sécurisé n'est pas activé sur votre PC, soit parce que vous avez ignoré les exigences de Windows 11 lors de l'installation du système d'exploitation, soit parce que votre PC est trop ancien pour prendre en charge le démarrage sécurisé via un BIOS hérité, vous ne recevrez pas les certificats mis à jour.

Ne vous inquiétez pas, votre PC continuera de fonctionner correctement même sans les certificats mis à jour, mais sa sécurité avant démarrage sera compromise. Windows devrait continuer de démarrer normalement même si votre machine ne reçoit pas les certificats mis à jour. Cependant, sa sécurité sera compromise car Microsoft ne pourra pas mettre à jour les bases de données de démarrage sécurisé contenant les certificats de confiance et les signatures révoquées, et votre PC ne recevra pas non plus les futures mises à jour de démarrage sécurisé destinées à corriger les vulnérabilités nouvellement découvertes.

En d'autres termes, votre PC sera protégé contre les menaces actuelles au niveau du démarrage et les rootkits (tant que le démarrage sécurisé est activé, bien sûr), mais il ne recevra pas les futures mises à jour conçues pour protéger contre les nouvelles menaces. Cela dit, il n'y a pas lieu de s'inquiéter, car les chances que votre PC personnel soit infecté par un rootkit ou un logiciel malveillant similaire sont très faibles. Si vous suivez les bonnes pratiques de sécurité, vous ne devriez pas rencontrer de problème.

En définitive, il est essentiel que votre PC reçoive des certificats de démarrage sécurisé à jour, car ils permettent à Microsoft de contrer les futures menaces au niveau du démarrage. Toutefois, même si votre PC ne peut pas recevoir de mises à jour, il démarrera et fonctionnera correctement, à ceci près qu'il ne bénéficiera pas des futures mises à jour du démarrage sécurisé conçues pour le protéger contre les nouvelles menaces au niveau du démarrage.

 

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Share
Aller sur la liste des sujets
×
×
  • Créer...