Le renouvellement des certificats Secure Boot devait passer presque inaperçu. C’était sans compter sur un écosystème PC dépendant de firmwares UEFI bien moins homogènes qu’espéré.
Mercii pour l’article, c’est à conserver.
Je pense qu’effectivement Windows Update peut gérer, orchestrer ces mises à jour du firmware comme sur les ordinateurs DELL, par exemple. Mes firmwares sur ASUS et Gigabyte datent de 2024. Alors je me demande en quoi je pourrais m’inquiéter. Ca va être compliqué pour beaucoup d’avoir à tout gérer à la main.
La vraie question : est ce que SecureBoot est indispensable ?
1 « J'aime »
!!! ATTENTION !!!
Les messages passés par les différents constructeurs sont parfois très trompeurs (voir mauvais et contre-productif).
La très grande majorité des ordinateurs n’a pas besoin de mise à jour bios pour pouvoir implémenter les nouveaux certificats. (Testé avec succès sur des Bios de 2019, 2020 et 2021)
La mise à jour Bios des constructeurs vient mettre à jour les certificats dans les bases default (donc stockage/sauvegarde) du Bios UEFI de votre ordinateur.
Les base KEK et DB actives (celles qui signent le Bootloader) sont alimenté par Microsoft (KB updates) pas par la mise à jour Bios.
Cela n’empêche pas bien entendu de mettre à jour son Bios pour avoir les mêmes certificats dans les bases défaut et Actives. Mais ce n’est pas indispensable.
Le plus gros problème qui risque de se poser à de nombreux utilisateurs, c’est que le Secure Boot n’est pas réellement Enable :
• L’option dans le Bios est bien Enable, mais le SecureBoot est dans le « Mode Setup » !!
• Pour que les certificats « descendent » directement sur les ordinateurs, il faut impérativement que le SecureBoot soit dans le mode User ou Deploy
Vérifier en ouvrant PowerShell et en exécutant : Confirm-SecureBootUEFI
Les prérequis pour commencer à bénéficier de ces nouveaux certificats :
- Bios avec SecureBoot réellement Enable.
- Windows 10 23H2 ou 11 23/24/25H3 avec les mises à jour de mi-octobre 2025
Version de Build minimum :
Win11 26H1 28000.1575
Win11 25H2 26200.6899
Win11 24H2 26100.6899
Win11 23H2 22631.6060
Win11 22H2 22621.6060
Win10 22H2 19045.6456
- Pour les utilisateurs individuels le processus sera directement déclenché par les MAJ de Windows Update.
- Pour les sociétés, Microsoft fournis quatre méthodologie très semblable permettant de déclencher cette réception des nouveaux certificats, et surtout des vérifier si les certificats se sont bien installé dans le BIOS UEFI des ordinateurs.
Il faut regarder le contenu des bases de stockage, de la Registry et des Event Viewer Microsoft, pour être bien certain que cela s’est bien passé.
Et il y aura de nombreuses autres étapes à réaliser (DBX, SVN, SBAT, MAJ des outils de déploiements, …)
Petit script de vérification de tous ces paramètres – Cela pourra intéresser les plus techniques d’entre vous.
(PowerShell as Admin + Set-ExecutionPolicy RemoteSigned + lancement du script)
CheckCA2023
Version 1.3.0 PowerShell script with a graphical user interface (XAML/WPF) that reads and displays all relevant data needed during the deployment of the new Microsoft CA 2023 Secure Boot certificates.
GitHub repository https://github.com/claude-boucher/CheckCA2023/
Readme https://github.com/claude-boucher/CheckCA2023/blob/main/README.md
et bien de plus en plus.
en effet certains jeux recents refusent de se lancer (par exemple) si secure boot n’est pas actif.
Cest du n’importe quoi. Petite question a ceux qui pourrait me répondre. Si jai un pc que je n’ai pas mis a jours disant pendant 5 ans, ce qui fait que le certificat n’a pas été mis a jour. Le jour ou je souhaite le rallumer, il va quand même démarrer ?
oui, il va démarrer, toute la chaine de sécurité actuelle de votre PC reste en PCA 2011.
Après le 25 Juin 2026, vous pourrez toujours install le certificat CA2023.
Dans quelques mois , microsoft ne signera plus les Certificat DB 2023 avec l’ancien KEK PCA2011 mais uiquement avec le nouveau KZEK2023.
Donc dans ce cas vous ne pourrez plus upgrade votre maachines avec la « methode Microsoft ».
Mais de toute facon avant de faire tout ce pocessus, vous allez deoir upgrade votre Windows + les KB d’Octobre 2025.
Vous avez également la solution de vérifier avec le fabriquant de votre carte mère, si ils disposent d’un Bios ave les Certificats 2023 intégré.
Dans ce cas :
MAJ du Bios
Aller dans le Bios / Secure Boot / faire un recovery to User Mode (si cela existe dans votre Bios)
et au redmérrage vous aurez les bons certificats, et apres la prochaine MAJ de securité Microsoft un nouveau Boot Loader CA2023 sera installé.
Donc OUI vous pourrez toujours démarrer votre poste, Il « devrait » toujours y avoir un moyen de récupérer les nouveaux certificats.
Ne pas mettre à jour les certificats va entrainer une coupure dans la chaine de securité du SecureBoot. il y a des MAJ que vous ne pourrez plus accepter. Vous serez beaucoup BEAUCOUP plus vulnérble aux virus.
Je m’en fout des jeux sur Windows et je boycotte tous les jeux qui imposent des clefs de protection depuis qu’elles foutaient un bordel monstre dans mes PC.
Sinon, voici où ça nous mène la vision PC de MS : des PC qui risquent (encore) de devenir incompatibles car le BIOS UEFI du PC ne correspond pas à leur vision de la sécurité.
Et quid de la compatibilité avec les autres OS (Linux)?
En ce qui me concerne, j’ai désactivé depuis longtemps le « Secure Boot » sur mes PC
Je rejoins CHP1 : mon ordi est en dual boot Win11/Linux Mint. J’ai désactivé le Secure boot et n’utilise que Linux. S’il me prenait l’envie de mettre à jour Windows : faut-il que je réactive le Secure Boot ? Et s’il est mis à jour, est-ce que cela aura un impact sur le démarrage sous Linux ?
linux mint gere assez bien le secure boot me semble.
Par contre faut ajouter les clés (pour savoir booter la distrib) via une commande si tu ne l’as pas fait avant
En gros une fenêtre avec la commande « enroll mok » doit avoir été utilisée, pendant l’install ou via la commande pour rebooter dessus
Enroll mok inscrit les clés necessaires dans le bios pour que secure boot reconnaisse les fichiers de boot de la distrib comme légitime (le pilote nvidia doit être compris dans le tas de trucs signés avec cette clé)
Donc si tu as une nvidia ce sera écran noir si tu ne l’as pas fait (si cela atteint ce moment, même Grub ne chargera pas (juste en désactivant le secureboot cela remarche))
Car de + c’est normalement l’outil qui installe le pilote nvidia qui ajoute nvidia aussi dans les trucs de confiance/signés (lui applique les clés pour secure boot) mais le fait-il si le secure boot est désactivé quand il l’a installé?
Mais c’est de base pas forcement gagné gagné sur certaine distrib avec un gpu nvidia avec secure boot actif
Le truc ironique c’est que dans mon cas je suis persuadé que c’est une des distrib linux que j’ai testé qui a mis a jour vers CA2023 dans le bios (un peu cavalièrement sans rien demandé (ou j’ai pas compris))
l’outil mokutil permet de voir sous linux si secure boot est actif et les certificats connus
Bon je dis cela mais je suis sur manjaro et, pour le coup, c’est pas sa tasse de thé le secureboot à cette distrib donc si je regarde l’état du secure boot :
sudo mokutil --sb-state
SecureBoot disabled