Table des matières
Si votre PC a plus de deux ans, vos certificats Windows Secure Boot expireront en juin 2026. Vous ne recevrez plus les mises à jour de Secure Boot, ce qui pourrait éventuellement provoquer des problèmes de démarrage. Alors que Microsoft déploie progressivement de nouveaux certificats via Windows Update, vous pouvez éviter l’incertitude d’un déploiement progressif en suivant ce guide pour mettre à jour les certificats de démarrage sécurisé dès maintenant.
Que sont les certificats de démarrage sécurisé
La fonctionnalité Secure Boot de PC UEFI garantit que le PC démarre uniquement avec des logiciels signés numériquement provenant de fabricants de confiance. Ce processus d’authentification comporte plusieurs étapes, et la première et la plus importante consiste à utiliser des certificats publics pour identifier les fabricants de logiciels de confiance avant même qu’une seule ligne de code ne soit exécutée.
Pour cela, le micrologiciel UEFI de votre PC contient une liste de certificats de fabricant qui fonctionnent essentiellement comme des « cartes d’identité » pour confirmer que le logiciel provient d’une source fiable. Cela permet de protéger contre les bootkits et les rootkits, car ces logiciels malveillants ne fonctionneront pas sans les certificats des fabricants enregistrés.
Pourquoi vous devez mettre à jour les derniers certificats de démarrage sécurisé
Les certificats Secure Boot, comme tous les autres certificats, ont une date d’expiration. La plupart des PC réalisé avant 2024 utiliser le Microsoft Corporation UEFI CA 2011 certificats qui expirent en juin 2026. À leur expiration, votre PC ne recevra pas les mises à jour du gestionnaire de démarrage Windows, ce qui le rendra vulnérable aux nouvelles menaces. Vous aurez également des difficultés à utiliser le matériel le plus récent signé avec de nouveaux certificats.
Vous devez mettre à jour avec la dernière version Windows UEFI CA 2023 certificats. En fait, Microsoft travaille déjà avec les OEM pour activer ces certificats via les mises à jour Windows. Cependant, il existe de nombreuses raisons pour lesquelles vous souhaiterez peut-être activer ces certificats manuellement dès maintenant. Voici les plus courants :
- Il n’y a aucune garantie que Microsoft activera les certificats sur votre PC spécifique avant la date d’expiration. Le déploiement automatique est basé sur l’importance des appareils ; vous pourriez attendre des mois (ou il ne s’active jamais).
- Les anciens certificats de 2011 sont vulnérables au bootkit BlackLotus qui peut contourner le démarrage sécurisé. En mettant à jour dès maintenant, vous bénéficiez de cette sécurité immédiatement.
- Si les mises à jour Windows sont désactivées sur votre PC ou si vous préférez gérer vous-même les mises à jour, les certificats devront peut-être être mis à jour manuellement.
- Si vous disposez d’un lecteur de récupération, il risque de ne pas fonctionner après la mise à jour du certificat. Il est préférable de les installer selon vos conditions afin de pouvoir créer un nouveau lecteur de récupération en temps opportun.
Même si vous ne serez pas exclu de votre PC si vous n’installez pas les derniers certificats, cela compromettra la sécurité de votre PC et rendra difficiles les futures mises à niveau matérielles.
Vérifiez si votre PC exécute les derniers certificats de démarrage sécurisé
Il est possible que Microsoft ait déjà activé les certificats sur votre PC spécifique. Vous pouvez exécuter une commande PowerShell pour le confirmer.
Recherchez « PowerShell » dans la recherche Windows, faites un clic droit sur Windows PowerShellet sélectionnez Exécuter en tant qu’administrateur.
Exécutez la commande suivante :
(System.Text.Encoding)::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
Si la sortie indique Vraivous disposez déjà des certificats les plus récents et vous n’avez rien d’autre à faire. Si ça dit FAUXvous devrez les mettre à jour et les activer.
Installez les certificats de démarrage sécurisé 2023 sous Windows
Les certificats Windows UEFI CA 2023 sont probablement déjà présents sur votre PC. Microsoft a en fait ajouté ces certificats à tous les PC dotés de la mise à jour cumulative Windows 11 février 2024, mais ne les a pas activés. Si votre PC a été mis à jour au moins une fois après la mise à jour de Windows 11 de février, vous pouvez suivre ces étapes pour déployer et activer les certificats :
Ouvrez à nouveau PowerShell en tant qu’administrateur et exécutez la commande suivante :
reg add HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f
Cette commande modifiera le registre pour déployer les certificats 2023. Le 0x5944 Bitmask dans la commande exécute en fait six instructions différentes pour préparer votre PC à installer Windows UEFI CA 2023.
Maintenant, pour activer les instructions effectuées par la commande ci-dessus, vous devez exécuter la commande suivante dans PowerShell :
Start-ScheduledTask -TaskName "MicrosoftWindowsPISecure-Boot-Update"Cette commande exécutera des tâches essentielles pour Windows pour installer les certificats au prochain démarrage, comme vérifier la compatibilité ou déplacer de nouveaux certificats du dossier WinSxS vers la zone de transit. Vous remarquerez peut-être que votre PC se bloque un peu pendant l’exécution de la commande.
L’étape la plus importante consiste à redémarrer Windows deux fois. Vous devez redémarrer le PC, pas l’éteindre et le redémarrer. Si le démarrage rapide est activé, un simple arrêt n’effacera pas la mémoire, ce qui est nécessaire pour que ces modifications prennent effet.
Voilà, votre PC disposera désormais des derniers certificats de démarrage sécurisé qui dureront jusqu’en 2038. Bien que vous ne devriez rencontrer aucun problème, si vous le faites, suivez les étapes de ces guides pour résoudre les problèmes de démarrage de Windows et corriger la boucle de redémarrage infinie.
