Certificats UEFI : Microsoft rappelle l'urgence des mises à jour avant leur expiration en juin 2026

Les premiers certificats de sécurité UEFI, présents sur tous les ordinateurs depuis quinze ans, vont expirer dès juin 2026. Sans mise à jour, les machines pourraient être exposées à des malwares ciblant le Secure Boot, selon Futura Sciences. Cette fonctionnalité, obligatoire sur Windows 11 et optionnelle sur Windows 10, garantit que seul un système d’exploitation certifié peut démarrer, limitant ainsi les risques de bootkits.

Une faille potentielle pour les systèmes non mis à jour

Introduit en 2011, l’UEFI (Unified Extensible Firmware Interface) a remplacé le BIOS traditionnel sur la plupart des machines modernes. Parmi ses innovations, le Secure Boot permet de bloquer l’exécution de logiciels non signés au démarrage, une protection cruciale contre les attaques de bas niveau comme les bootkits. « Ces certificats garantissent que seul un système d’exploitation valide peut s’exécuter », explique Futura Sciences. Pourtant, les premiers certificats émis lors de la création du Secure Boot arrivent à échéance dans quelques semaines.

Le Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques (CERT-FR) a alerté sur ce risque dès avril 2026. Si la plupart des PC sous Windows devraient recevoir automatiquement les nouveaux certificats émis en 2023, certains utilisateurs pourraient être privés de cette protection. Les raisons ? Un blocage des mises à jour Windows, des bugs dans Windows Update, ou encore des configurations personnalisées empêchant l’installation automatique. Autant dire que l’expiration des certificats ne signifiera pas une panne immédiate, mais elle ouvrira des failles exploitables.

Windows Update en première ligne, mais pas seul responsable

Pour s’assurer que leur machine est protégée, les utilisateurs de Windows 10 et 11 doivent vérifier l’état de leurs mises à jour. Cela se fait via l’application « Paramètres », puis « Windows Update ». Une recherche des dernières mises à jour doit être lancée, suivie d’un redémarrage pour finaliser l’installation. « Les certificats doivent être installés à la fois au niveau du système d’exploitation et dans le micrologiciel UEFI », précise Futura Sciences. Sans cela, le Secure Boot ne fonctionnera plus correctement, exposant l’ordinateur à des risques accrus.

Les administrateurs systèmes bénéficient désormais d’un nouveau dossier « Secure Boot » dans Windows 11, incluant des scripts pour faciliter les installations. Curieusement, ce dossier est aussi présent sur la version Famille de Windows 11, bien qu’il soit de taille réduite et puisse être ignoré par les utilisateurs lambda. En revanche, les possesseurs de machines anciennes doivent rester vigilants : une réinitialisation manuelle du UEFI ou la mort de la pile CMOS pourrait réinstaller les anciens certificats, créant un conflit entre le micrologiciel et le système d’exploitation.

Comment vérifier si vos certificats sont encore valides ?

Windows 11 offre désormais un moyen simple de contrôler l’état des certificats Secure Boot. Dans « Paramètres », rubrique « Confidentialité et sécurité », puis « Sécurité Windows », une icône dédiée à la « Sécurité des appareils » indique si tout est à jour. Une coche verte signale un système protégé, tandis qu’une croix rouge ou un triangle jaune révèle un problème. Dans ce cas, une mise à jour manuelle du micrologiciel UEFI pourrait être nécessaire.

Pour les utilisateurs plus techniques, deux commandes PowerShell permettent de vérifier manuellement l’état des certificats. En les exécutant dans une session administrateur (accessible via un clic droit sur le bouton Démarrer), il est possible de confirmer la présence du certificat « Windows UEFI CA 2023 » dans la base de données du Secure Boot. Si les commandes retournent « True » pour les deux vérifications, le système est à jour. Sinon, il est impératif d’installer toutes les mises à jour disponibles et de redémarrer l’ordinateur.

« L’expiration des certificats UEFI ne bloquera pas le démarrage des ordinateurs, mais elle empêchera l’installation de nouveaux systèmes d’exploitation ou ouvrira la porte à des malwares exploitant des failles non corrigées. » — Futura Sciences

Des conséquences pratiques, notamment pour Linux et les machines anciennes

Les utilisateurs souhaitant installer ou réinstaller un système d’exploitation, comme Linux, devront utiliser un média d’installation intégrant les nouveaux certificats. Sans cela, l’installation pourrait être bloquée ou compromise. Par ailleurs, les propriétaires de machines anciennes ou de configurations personnalisées doivent anticiper les risques de conflit entre les certificats du micrologiciel et ceux du système d’exploitation. Une réinitialisation du UEFI, même accidentelle, pourrait ramener les anciens certificats, rendant la machine vulnérable malgré une mise à jour de Windows.

Pour les administrateurs systèmes, la situation exige une attention particulière. La dernière mise à jour de Windows 11 a introduit un dossier « Secure Boot » contenant des scripts d’installation, facilitant la gestion des certificats. Cependant, cette automatisation ne dispense pas d’une vérification manuelle, surtout sur des parcs informatiques étendus ou des environnements hybrides (Windows/Linux).

Cette situation rappelle l’importance des mises à jour régulières et de la vigilance face aux vulnérabilités liées au firmware. Avec l’évolution constante des menaces informatiques, la gestion des certificats de sécurité devient un enjeu central pour la protection des données et l’intégrité des systèmes.