Vous souvenez-vous de la dernière fois que votre ordinateur a refusé de démarrer à cause d’un problème de sécurité? Avec les nouvelles mesures mises en place par Microsoft, ce genre de situation pourrait bien appartenir au passé. Mais que signifie réellement ce changement pour votre PC? Découvrons ensemble.
Les 3 infos à ne pas manquer
- Microsoft a commencé à déployer de nouveaux certificats Secure Boot pour Windows 11, en prévision de l’expiration des anciens certificats en 2026.
- Le déploiement est réalisé de manière progressive et concerne uniquement les machines jugées prêtes selon des critères de compatibilité et de stabilité.
- Pour les entreprises, des ajustements spécifiques peuvent être nécessaires, en particulier pour celles ayant personnalisé leur chaîne de démarrage.
Renouvellement des certificats Secure Boot
Microsoft a récemment initié le remplacement des anciens certificats Secure Boot, émis en 2011, par de nouveaux certificats datés de 2023. Ce changement, annoncé depuis longtemps, entre désormais dans une phase active. L’objectif est d’anticiper l’expiration prévue pour 2026 et d’assurer la continuité de la sécurité des systèmes Windows 11.
Le déploiement des nouveaux certificats a commencé avec la mise à jour de sécurité de janvier, concernant les versions Windows 11 24H2 et 25H2. Cette mise à jour est cruciale pour maintenir la validité des autorités et des listes de confiance utilisées lors du démarrage de l’ordinateur.
Un déploiement progressif et ciblé
Microsoft met en œuvre un processus de déploiement progressif pour éviter les problèmes sur les configurations sensibles. L’installation automatique des certificats est réservée aux appareils qui remplissent des critères de compatibilité, tels que la mise à jour du firmware UEFI et la stabilité du système.
Les appareils non éligibles pour le déploiement automatique devront passer par une mise à jour UEFI, permettant ainsi de mettre à jour les autorités et les listes de confiance utilisées par Secure Boot.
Impact sur les entreprises
Pour les entreprises, le chemin vers l’intégration des nouveaux certificats peut être plus complexe. Les organisations ayant mis en place des configurations personnalisées, comme l’installation de leurs propres clés Secure Boot, doivent procéder à un inventaire de leur parc informatique. Elles doivent également s’assurer que le firmware UEFI est à jour avant de tester le déploiement des certificats sur un échantillon pilote.
Les administrateurs peuvent suivre l’état de l’installation via le Registre, où la valeur UEFICA2023Status indique l’état de progression du déploiement. D’autre part, l’Observateur d’événements fournit des informations supplémentaires sur le succès ou l’échec de l’application des certificats.
Surveillance et diagnostic
Pour garantir le bon déroulement du processus, Microsoft a fourni plusieurs outils de diagnostic. Les utilisateurs peuvent vérifier l’état de leur système via des repères dans Windows, comme le Registre et l’Observateur d’événements. Ces outils permettent de déterminer si un poste a reçu les nouveaux certificats ou s’il rencontre des problèmes nécessitant une intervention.
Les événements identifiés par l’ID 1808 et 1801 dans l’Observateur d’événements aident à diagnostiquer le succès ou les échecs liés aux prérequis, tels que la nécessité d’une mise à jour du BIOS ou du firmware UEFI.
Contexte historique de Windows Secure Boot
Introduit avec Windows 8, Secure Boot est une fonctionnalité qui repose sur l’UEFI pour vérifier l’intégrité des composants avant le démarrage de Windows. Cette technologie s’appuie sur des autorités et des listes de confiance pour valider les bootloaders et autres éléments critiques du système, protégeant ainsi contre les logiciels malveillants.
Les certificats Microsoft 2011, utilisés depuis l’ère de Windows 8, sont maintenant remplacés pour continuer à assurer la sécurité des systèmes d’exploitation modernes. Ce processus marque une étape importante dans l’évolution de la sécurité informatique, visant à offrir une protection continue et améliorée aux utilisateurs de Windows.