Certificats Secure Boot bientôt expirés : comment bien utiliser le nouvel avertissement Windows | Guide de mise à jour 2026

Si vous avez aperçu ces derniers jours un petit message bien visible dans vos paramètres Windows – vous n’êtes pas seul. Microsoft resserre discrètement les vis, mais heureusement, c’est pour vous aider. Il s’agit de ce mal-aimé qu’est le Secure Boot. Plus précisément : des certificats qui indiquent à votre PC quels pilotes et chargeurs d’amorçage sont dignes de confiance. Ces certificats ont une date de péremption, et pour de nombreux systèmes, celle-ci approche dangereusement. Si vous n’agissez pas à temps, vous risquez de vous retrouver face à un écran noir – pire : un PC qui refuse de démarrer Windows.

Pourquoi Windows s’affole-t-il soudainement ?

Avant, ces alertes critiques restaient cachées dans le journal d’événements, voire n’apparaissaient pas du tout. Avec les toutes dernières mises à jour (désormais quasi obligatoires sous Windows 11 et 10), Microsoft change la donne. Le système vous avertit proactivement : « Hé, tes certificats Secure Boot ont besoin d’attention. » Le message n’est pas un vulgaire pop-up publicitaire, mais s’intègre proprement dans le Centre de sécurité Windows. Cela peut sembler anodin, mais c’est en réalité un énorme progrès. Car beaucoup d’utilisateurs ne savaient même pas si leur Secure Boot était actif – et encore moins que les clés sous-jacentes expirent au bout de quelques années.

Les certificats fournis par Microsoft depuis Windows 8 approchent de leur fin de vie. Concrètement : les anciennes bases de données Secure Boot (les fameuses entrées « db » et « KEK ») cessent d’être valides à une date butoir. Votre ordinateur bloquerait alors les chargeurs d’amorçage non signés ou les pilotes matériels mis à jour – et ce, dans le pire des cas, juste après une grosse mise à jour Windows. Le nouvel avertissement est donc votre bouée de sauvetage. Il apparaît avant le drame et vous donne une instruction claire, digne d’un guide Secure Boot : « Mettez à jour votre BIOS/UEFI ou installez la dernière mise à jour cumulative. »

Comment réaliser un test Secure Boot sur votre PC

Vous préférez ne pas attendre l’alerte automatique ? Pas de problème. Un test Secure Boot manuel est très rapide. Suivez cette checklist pour vous assurer que votre système démarrera proprement après l’expiration des certificats :

• Ouvrez les informations système : Appuyez sur Win + R, tapez msinfo32 et validez. À la ligne « État Secure Boot », vous devez voir « Activé ». Si c’est « Désactivé » ou « Pris en charge mais désactivé », redémarrez dans l’UEFI-BIOS (généralement avec F2 ou Suppr au démarrage) et activez l’option.
• Vérifiez Windows Update : Allez dans « Paramètres » > « Windows Update » > « Options avancées » > « Mises à jour facultatives ». Vous y trouverez souvent des mises à jour firmware dédiées, qui contiennent justement le renouvellement des certificats. Installez tout ce qui ressemble à « Secure Boot » ou « Révocation UEFI ».
• Utilisez les outils du fabricant : Dell, Lenovo, HP et les autres proposent leurs propres assistants de mise à jour. Téléchargez la dernière image BIOS/UEFI – la plupart des machines de 2020 ou 2021 embarquent déjà les certificats prolongés. Pour les modèles plus anciens (2016–2019), soyez particulièrement attentifs.

Après un redémarrage, refaites le check dans msinfo32. Si le statut est toujours « Activé » et que le message d’alerte a disparu, vous êtes tranquille. En revanche, si un message d’erreur apparaît (ex. « Échec de la révocation Secure Boot »), seule une réinitialisation manuelle des clés Secure Boot aux valeurs d’usine peut aider – vous trouverez cette option dans le menu UEFI sous « Secure Boot > Reset to Setup Mode ».

Comment bien utiliser Secure Boot – sans panique

Beaucoup se demandent : « Ai-je vraiment besoin d’apprendre comment utiliser Secure Boot ? Le bon vieux Windows Defender ne suffit-il pas ? » Réponse courte : non. Secure Boot est votre première ligne de défense contre les rootkits et les bootkits – ces logiciels malveillants qui se chargent avant même le système d’exploitation. Même si vous branchez par inadvertance une clé USB infectée, un Secure Boot correctement configuré empêche le malware de prendre le contrôle de votre processus de démarrage. La nouvelle politique d’alerte de Microsoft ne vous oblige pas à des manipulations complexes, elle vous donne juste un coup de pouce bienvenu : « Faites-le maintenant, c’est simple. »

Pour les power users qui font du double boot avec Linux ou d’autres systèmes, l’expiration des certificats peut être plus embêtante. Il faudra soit ajouter manuellement les nouvelles clés Microsoft dans votre propre base de données Secure Boot (avec mokutil sous Linux), soit désactiver temporairement Secure Boot – ce que je ne recommande que comme solution de dépannage provisoire. La méthode propre : passez à une distribution récente qui a déjà signé les nouveaux certificats Microsoft (Ubuntu 24.04 LTS ou Fedora 40+ le font automatiquement).

Une chose est claire : l’époque des expirations silencieuses de certificats est révolue. Microsoft a enfin compris que la sécurité ne doit pas rester une discipline d’experts cachée. Si vous voyez dans les prochaines semaines le petit bandeau jaune dans vos paramètres Windows, ne l’ignorez pas. Ouvrez-le, cliquez sur « Afficher les détails » et suivez l’assistant. Le plus souvent, un simple redémarrage suivi d’une mise à jour suffit. Votre futur vous-même – qui ne se retrouvera pas soudain devant un PC qui ne démarre plus – vous en remerciera.