Le renouvellement des certificats Secure Boot devait passer presque inaperçu. C’était sans compter sur un écosystème PC dépendant de firmwares UEFI bien moins homogènes qu’espéré.
Mercii pour l’article, c’est à conserver.
Je pense qu’effectivement Windows Update peut gérer, orchestrer ces mises à jour du firmware comme sur les ordinateurs DELL, par exemple. Mes firmwares sur ASUS et Gigabyte datent de 2024. Alors je me demande en quoi je pourrais m’inquiéter. Ca va être compliqué pour beaucoup d’avoir à tout gérer à la main.
La vraie question : est ce que SecureBoot est indispensable ?
1 « J'aime »
!!! ATTENTION !!!
Les messages passés par les différents constructeurs sont parfois très trompeurs (voir mauvais et contre-productif).
La très grande majorité des ordinateurs n’a pas besoin de mise à jour bios pour pouvoir implémenter les nouveaux certificats. (Testé avec succès sur des Bios de 2019, 2020 et 2021)
La mise à jour Bios des constructeurs vient mettre à jour les certificats dans les bases default (donc stockage/sauvegarde) du Bios UEFI de votre ordinateur.
Les base KEK et DB actives (celles qui signent le Bootloader) sont alimenté par Microsoft (KB updates) pas par la mise à jour Bios.
Cela n’empêche pas bien entendu de mettre à jour son Bios pour avoir les mêmes certificats dans les bases défaut et Actives. Mais ce n’est pas indispensable.
Le plus gros problème qui risque de se poser à de nombreux utilisateurs, c’est que le Secure Boot n’est pas réellement Enable :
• L’option dans le Bios est bien Enable, mais le SecureBoot est dans le « Mode Setup » !!
• Pour que les certificats « descendent » directement sur les ordinateurs, il faut impérativement que le SecureBoot soit dans le mode User ou Deploy
Vérifier en ouvrant PowerShell et en exécutant : Confirm-SecureBootUEFI
Les prérequis pour commencer à bénéficier de ces nouveaux certificats :
- Bios avec SecureBoot réellement Enable.
- Windows 10 23H2 ou 11 23/24/25H3 avec les mises à jour de mi-octobre 2025
Version de Build minimum :
Win11 26H1 28000.1575
Win11 25H2 26200.6899
Win11 24H2 26100.6899
Win11 23H2 22631.6060
Win11 22H2 22621.6060
Win10 22H2 19045.6456
- Pour les utilisateurs individuels le processus sera directement déclenché par les MAJ de Windows Update.
- Pour les sociétés, Microsoft fournis quatre méthodologie très semblable permettant de déclencher cette réception des nouveaux certificats, et surtout des vérifier si les certificats se sont bien installé dans le BIOS UEFI des ordinateurs.
Il faut regarder le contenu des bases de stockage, de la Registry et des Event Viewer Microsoft, pour être bien certain que cela s’est bien passé.
Et il y aura de nombreuses autres étapes à réaliser (DBX, SVN, SBAT, MAJ des outils de déploiements, …)
Petit script de vérification de tous ces paramètres – Cela pourra intéresser les plus techniques d’entre vous.
(PowerShell as Admin + Set-ExecutionPolicy RemoteSigned + lancement du script)
CheckCA2023
Version 1.3.0 PowerShell script with a graphical user interface (XAML/WPF) that reads and displays all relevant data needed during the deployment of the new Microsoft CA 2023 Secure Boot certificates.
GitHub repository https://github.com/claude-boucher/CheckCA2023/
Readme https://github.com/claude-boucher/CheckCA2023/blob/main/README.md
et bien de plus en plus.
en effet certains jeux recents refusent de se lancer (par exemple) si secure boot n’est pas actif.
Cest du n’importe quoi. Petite question a ceux qui pourrait me répondre. Si jai un pc que je n’ai pas mis a jours disant pendant 5 ans, ce qui fait que le certificat n’a pas été mis a jour. Le jour ou je souhaite le rallumer, il va quand même démarrer ?
oui, il va démarrer, toute la chaine de sécurité actuelle de votre PC reste en PCA 2011.
Après le 25 Juin 2026, vous pourrez toujours install le certificat CA2023.
Dans quelques mois , microsoft ne signera plus les Certificat DB 2023 avec l’ancien KEK PCA2011 mais uiquement avec le nouveau KZEK2023.
Donc dans ce cas vous ne pourrez plus upgrade votre maachines avec la « methode Microsoft ».
Mais de toute facon avant de faire tout ce pocessus, vous allez deoir upgrade votre Windows + les KB d’Octobre 2025.
Vous avez également la solution de vérifier avec le fabriquant de votre carte mère, si ils disposent d’un Bios ave les Certificats 2023 intégré.
Dans ce cas :
MAJ du Bios
Aller dans le Bios / Secure Boot / faire un recovery to User Mode (si cela existe dans votre Bios)
et au redmérrage vous aurez les bons certificats, et apres la prochaine MAJ de securité Microsoft un nouveau Boot Loader CA2023 sera installé.
Donc OUI vous pourrez toujours démarrer votre poste, Il « devrait » toujours y avoir un moyen de récupérer les nouveaux certificats.
Ne pas mettre à jour les certificats va entrainer une coupure dans la chaine de securité du SecureBoot. il y a des MAJ que vous ne pourrez plus accepter. Vous serez beaucoup BEAUCOUP plus vulnérble aux virus.
Je m’en fout des jeux sur Windows et je boycotte tous les jeux qui imposent des clefs de protection depuis qu’elles foutaient un bordel monstre dans mes PC.
Sinon, voici où ça nous mène la vision PC de MS : des PC qui risquent (encore) de devenir incompatibles car le BIOS UEFI du PC ne correspond pas à leur vision de la sécurité.
Et quid de la compatibilité avec les autres OS (Linux)?
En ce qui me concerne, j’ai désactivé depuis longtemps le « Secure Boot » sur mes PC
1 « J'aime »
Je rejoins CHP1 : mon ordi est en dual boot Win11/Linux Mint. J’ai désactivé le Secure boot et n’utilise que Linux. S’il me prenait l’envie de mettre à jour Windows : faut-il que je réactive le Secure Boot ? Et s’il est mis à jour, est-ce que cela aura un impact sur le démarrage sous Linux ?
1 « J'aime »
linux mint gere assez bien le secure boot me semble.
Par contre faut ajouter les clés (pour savoir booter la distrib) via une commande si tu ne l’as pas fait avant
En gros une fenêtre avec la commande « enroll mok » doit avoir été utilisée, pendant l’install ou via la commande pour rebooter dessus
Enroll mok inscrit les clés necessaires dans le bios pour que secure boot reconnaisse les fichiers de boot de la distrib comme légitime (le pilote nvidia doit être compris dans le tas de trucs signés avec cette clé)
Donc si tu as une nvidia ce sera écran noir si tu ne l’as pas fait (si cela atteint ce moment, même Grub ne chargera pas (juste en désactivant le secureboot cela remarche))
Car de + c’est normalement l’outil qui installe le pilote nvidia qui ajoute nvidia aussi dans les trucs de confiance/signés (lui applique les clés pour secure boot) mais le fait-il si le secure boot est désactivé quand il l’a installé?
Mais c’est de base pas forcement gagné gagné sur certaine distrib avec un gpu nvidia avec secure boot actif
Le truc ironique c’est que dans mon cas je suis persuadé que c’est une des distrib linux que j’ai testé qui a mis a jour vers CA2023 dans le bios (un peu cavalièrement sans rien demandé (ou j’ai pas compris))
l’outil mokutil permet de voir sous linux si secure boot est actif et les certificats connus
Bon je dis cela mais je suis sur manjaro et, pour le coup, c’est pas sa tasse de thé le secureboot à cette distrib donc si je regarde l’état du secure boot :
sudo mokutil --sb-state
SecureBoot disabled
Suite à cet article, je me pose quelques questions concernant ce problème de secure boot (CA-2023) :
- Est-ce une fonction qui doit suivre des normes d’implémentation ? Si oui, pourquoi ne sont-elles pas suivies (responsabilité des constructeurs) ?
- Est-ce lié à des problèmes techniques d’implémentation (TPM) ?
- Est-ce lié à des interprétations différentes, par les éditeurs de BIOS (AMI, Award, Phoenix, propriétaires …) et de la manière de les implémenter ? Si oui, quelles sont les éditeurs de BIOS UEFI qui sont le plus impliquées?
De plus, depuis que des chercheurs en cybersécurité on trouvé la faille « PKFail », Quid de la sécurité réelle du Secure Boot?
1 « J'aime »
J’ai déjà contacté un sav constructeur à propos de cette histoire : il botte en touche.
C’est à moi, qu’il revient d’installer ces certificats…
J’ai d’ailleurs posté une réponse, sur Clubic, à ce sujet.
Donc, comme beaucoup de BIOS ne seront jamais mis à jour, beaucoup de machines, finiront à la poubelle, que ça soit windows ou linux.
C’est simple c’est le « pourquoi remettre au lendemain alors qu’on peut remettre au mois prochain »
Microsoft a mis une date limite au certificat 2011 il a sorti le 2023, il a fait la grande annonce " Call to action " en juin 2025, il y en a qui diront qu’ils sont pris de court début juin 2026 sans rien avoir fait avant … comme d’habitude
Pour le fabricant de la carte mere c’est facile a mettre a jour, ils ont un certificat en haut de la pyramide avec leur certificat PK et c’est eux qui savent gérer leur usine a gaz de bios perso, le gros problème c’est de déployer ce bios (et là c’est pas gagné)
En dessous vient le KEK genre les 2011 et 2023 de microsoft qui permettent finalement de changer les DB qui servent à signer les éléments du boot windows et les éléments du boot loader linux
A mon avis le tpm est totalement hors jeu dans l’histoire
L’option de mettre a jour le bios c’est même devenu assez dangereux sous windows à mon avis, le windows hello configuré saute apres un changement de bios (dans mon cas le code pin) et problème, parfois cela ne sait pas nous proposer simplement le mot de passe
Bricoler le secure boot (comme supprimer toutes les clés) comporte une part de risque, car même la carte graphique nvidia est signée pendant le boot uefi, si plus de certificat mais avec secure boot actif on peut ne plus avoir d’image du tout même pour aller sur le bios.
J’ai tenté de faire un Manjaro sous secure boot mais cette phase là « virer toutes les clés du bios pour passer en mode setup » je l’ai tenté qu’une fois en tremblant, pour rien en + (je n’y suis pas arrivé)
La dernière fois j’ai voulu aller voir si les certificats 2023 étaient visibles dans le bios, j’ai eu 2 boot sans image avant que le 3ieme soit normal. Je pense qu’a part le réactiver de temps en temps pour windows 11 j’y toucherai plus à ce truc
Pour ceux sous windows, vaut mieux laisser faire microsoft, au pire voir debut juin si le certificat 2023 est bien apparu dans le bios avec la commande powershell
De toute façon, en gros secure boot ne suffit pas, en cas d’accès physique il ne sert pas à grand chose si la partition système n’est pas chiffrée et le bios verrouillé (sinon suffit d’aller désactiver secure boot dans le bios), par logiciel quand ils en sont à vouloir modifier le boot du pc c’est qu’ils ont une tonne de moyen de se planquer ailleurs dans windows ils passeront au plan B, donc le tout c’est qu’ils ne rentrent pas
Bref je suis quasi tout le temps sur manjaro, je ne vais sous windows que pour jouer à un jeu précis et je me tire juste après, pas vraiment besoin de secure boot.
Au pire je suppose que passer à un OS linux atomic immutable pourrait aussi servir de securité supplementaire de ce coté là sans même activer secure boot
1 « J'aime »
Exact. J’ai eu ce problème sur le PC d’un ami qui à eu le plus grand mal à récupérer son système après avoir mis à jour son BIOS.
Je ne le savais pas que les cartes Nvidia sont signées dans l’UEFI. Si c’est le cas, ce sera un vrai bordel… A ma connaissance les GPUs AMD ne le sont pas (ouf?).
Ca, je le savais… Pour qu’un système soit protégé (au sens MS du terme), Il faut :
- Que les clefs PK, dans l’UEFI, soient (si possible) à jour et non modifiables (c’est le sujet de l’article)
- Que la puce TPM soit présente sur la CM.
- Que Bitlocker soit installé (et activé) avec les clefs sauvées localement (sur une clé USB) au cas où (il y a toujours la possibilité de les re-obtenir auprès de MS mais avec des contraintes confidentielles et qui posent question).
Si un de ces éléments est défaillant au cours de la vie du PC, bye bye amigos…
Vous pensez que cette chaîne est respectée sur les PC DIY (hors ceux vendus par les grandes marques avec un Win11 pré-installé) ? Et quid des miniPC « Chinois » ou « nonames » qui pullulent.
Mais quel foutoir nous a pondu MS là 
?
Je suis en dual boot Windows/Linux Mint 22 (et sans secure boot) et je n’ai eu aucun problème lors des MAJ Win10 ni Win11… sauf, de temps en temps des problèmes de corruption sur la partition de boot UEFI venant de certaines MAJ Linux (sic). Une restauration de cette partition et c’est reparti…
Des mises à jour étaient disponibles pour mes firmwares ASUS NUC CRHU7 et GigaByte Gaming A16, de 2026 tout récent et fin 2025 pour le deuxième. J’espère que ça va aller tranquillement.
Bitlocker est désactivé partout par contre.
Voilà qui est quelque peu rassurant avec cette publication du 02 avril 2026 :
Résumé
À partir d’avril 2026, l’application Windows Security affiche des informations supplémentaires sur l’état des mises à jour du certificat Secure Boot sur votre appareil. Vous pouvez trouver cela dans la section Sécurité des appareils > Démarrage sécurisé.
Les certificats Microsoft Secure Boot, émis initialement en 2011, approchent de leur expiration en 2026. Les certificats mis à jour de 2023 sont livrés automatiquement via Windows Update. L’application Windows Security affiche désormais si votre appareil a reçu ces mises à jour, quel est votre statut actuel, et si une action est nécessaire.
En savoir plus sur les mises à jour automatiques des certificats Secure Boot sur les appareils Windows pour les utilisateurs domestiques, les entreprises et les écoles grâce aux mises à jour gérées par Microsoft.