Expiration des certificats Secure Boot : un sujet critique à anticiper dès maintenant
L'expiration en juin 2026 de certificats Microsoft Secure Boot entraîne un risque pour la continuité des opérations de nombreuses machines.
Microsoft a mis en lumière un sujet qui pourrait facilement passer sous les radars, notamment dans un contexte post-migration vers Windows 11 où une partie importante du parc a déjà été renouvelée ou mise de côté. Pourtant, il touche directement au démarrage des systèmes : l’expiration progressive des certificats Secure Boot à partir de juin 2026.
Source officielle : Microsoft Tech Community
Concrètement, sans anticipation, cette expiration peut provoquer des situations critiques : certaines machines physiques ou virtuelles pourraient ne plus reconnaître des composants signés avec les nouveaux certificats, rencontrer des limitations sur les mises à jour liées au démarrage sécurisé et, dans certains cas, ne plus démarrer du tout. À terme, cela peut également impacter la réception de certains correctifs critiques du Windows Boot Manager.
Pourquoi est-ce un sujet critique ?
Ce problème concerne Windows 10, Windows 11, Windows Server encore supportés, mais aussi certains environnements Linux utilisant Secure Boot et shim. Toutes ces plateformes peuvent être impactées si les certificats du firmware ne sont pas à jour. La dépendance aux certificats devient critique dès que Secure Boot est activé.
Vérification des mises à jour firmware
➡️ Avant toute action, il est indispensable de vérifier la disponibilité des mises à jour firmware (BIOS/UEFI). Avant que Windows ou Linux puissent appliquer les nouveaux certificats Secure Boot, le firmware de la machine doit être prêt à les accepter. De nombreux constructeurs ont déjà publié des correctifs pour les machines récentes. Sans ces mises à jour, les nouveaux certificats peuvent ne pas être acceptés. Les principaux constructeurs ont publié des mises à jour et des instructions spécifiques pour leurs modèles sortie entre 2018 et 2025 :
- Dell : Microsoft 2011 Secure Boot Certificate Expiration (dell.com)
- HP : Secure Boot Certificate Updates (support.hp.com)
- Lenovo : Secure Boot Certificate Expiration (support.lenovo.com)
- Microsoft Surface : Surface Secure Boot Certificates (support.microsoft.com)
- Asus : Secure Boot FAQ (asus.com)
💡 Conseil pratique : commencez toujours par mettre à jour le firmware de vos machines avant d’activer ou de modifier les paramètres Secure Boot. Cela permet d’éviter que les nouveaux certificats ne soient refusés, ce qui pourrait rendre le système non démarrable.
Vérification sur Windows 🔍
Sur Windows, il est possible de vérifier la présence des nouveaux certificats "Windows UEFI CA 2023 intégrés dans le firmware UEFI de la carte mère avec PowerShell :
([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbdefault).bytes) -match 'Windows UEFI CA 2023')
Ou en utilisant db à la place de dbdefault, ce qui interroge la base active du Secure Boot et permet de vérifier si le système utilise déjà les nouveaux certificats.
([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023')
👉 Si le résultat est True, les certificats sont présents dans le firmware UEFI, et utilisés pour le démarrage.
Vérification sur Linux 🐧
Côté Linux (Ubuntu, Debian, RHEL…), une vérification rapide peut être faite avec :
mokutil --db | grep -i "Microsoft UEFI CA 2023"
mokutil --sb-state
👉 Pour vérifier la présence du certificat 2023 et pour vérifier si le Secure Boot est activé.
➡️ Si Secure Boot est activé, la dépendance aux certificats devient critique. Les distributions utilisant “shim” (signé Microsoft) sont également concernées.
Vous pouvez aussi utiliser ce petit script, si vous êtes à l’aise techniquement, pour combiner la vérification Secure Boot + certificat :
if mokutil --sb-state | grep -q enabled; then
mokutil --db | grep -q "Windows UEFI CA 2023" && echo "OK" || echo "MISSING CERT"
else
echo "Secure Boot OFF"
fi
Quels sont les risques ?
⚠️ Attention : Activer Secure Boot sur une machine sans que le firmware et les certificats soient à jour peut empêcher totalement le démarrage du système. Sans contrôle et mises à jour régulières du firmware, certaines machines, Windows ou Linux, risquent de ne plus démarrer ou de ne plus recevoir certains correctifs critiques.
➡️ Tous les environnements ne sont pas égaux face à ce changement. Les infrastructures isolées ou fortement maîtrisées (sans mises à jour automatiques) nécessitent une attention particulière.
Chez Sigilence Technologies, nous anticipons ce type de sujet : identification des systèmes concernés, analyse des dépendances Secure Boot et certificats et mise en place des actions nécessaires en amont des dates critiques. Nous vous permettons d’éviter les blocages inattendus en production.
👉 Si vous avez un doute sur votre parc, c’est le bon moment pour faire le point et sécuriser vos machines avant juin 2026.