To sidebar

dimanche, 1. février 2026

Vérifier et mettre à jour les certificats Secure Boot UEFI sous Windows 11

Par bagu - Lien permanent

Secure Boot est une fonctionnalité de sécurité UEFI qui vérifie l’intégrité des composants au démarrage en s’appuyant sur une base de certificats approuvés stockés dans le microprogramme. Les certificats Microsoft UEFI utilisés par Secure Boot (versions 2011) expirent en 2026.
Pour que Secure Boot continue de valider les chargeurs de démarrage et reçoive des mises à jour de sécurité, il faut que la base de certificats soit mise à jour vers les certificats 2023 fournis par Microsoft via Windows Update ou par intervention manuelle.

Vérifier si Secure Boot est actif

Avant toute manipulation, il faut savoir si Secure Boot est activé :

  1. Ouvrir Exécuter (Win + R)

  2. Taper :

    msinfo32

  3. Dans Résumé système, repérer la ligne État du démarrage sécurisé :

    • Activé → Secure Boot fonctionne

    • Désactivé → Secure Boot ne fonctionne pas (ou bien positionné sur Other Boot au lieu de Windows UEFI dans le bios)

Vérifier la présence du certificat « Windows UEFI CA 2023 »

Ouvrir PowerShell en administrateur et exécuter :

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

Interpréter le résultat

  • True → La base UEFI contient le certificat Windows UEFI CA 2023 → OK

  • False → Le certificat n’est pas installé → mise à jour nécessaire

  • Erreur (ex. secureboot inactif) → Secure Boot désactivé → pas de base à mettre à jour

Mise à jour des certificats (si False)

Si l’exécution ci-dessus retourne False, les certificats ne sont pas encore appliqués. Microsoft fournit une mise à jour logicielle qui peut être forcée comme suit (nécessite un Windows 11 à jour avec les derniers correctifs appliqués).

Étapes PowerShell

  1. Définir la clé de registre pour activer la mise à jour :

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot" -Name "AvailableUpdates" -Value 0x40

  1. Lancer la tâche planifiée d’application des certificats :

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

  1. Redémarrer l’ordinateur

    • Sur certains systèmes, deux redémarrages peuvent être requis pour que la mise à jour soit complètement appliquée.

  2. Revenir à la vérification :

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

Résultat attendu

  • Après redémarrages, la commande doit retourner True si la mise à jour des certificats a réussi.

Cas où Secure Boot est désactivé

Si Secure Boot est désactivé (résultat d’erreur ou état non pris en charge) alors :

  • La base de certificats UEFI n’est pas utilisée par Windows.

  • La mise à jour des certificats ne peut pas être appliquée tant que Secure Boot reste désactivé.

  • Si nécessaire, activer Secure Boot dans le BIOS/UEFI (souvent sous Security → Secure Boot), puis répéter les étapes ci-dessus.

Conséquences si la mise à jour n’aboutit pas

Secure Boot actif mais certificat absent

  • Le système tourne normalement mais restera hors conformité de sécurité lorsque les anciens certificats expireront en 2026.

  • Sans certificat 2023, Windows peut ne plus approuver certains composants de démarrage ou cesser de recevoir des mises à jour de sécurité liées à Secure Boot.

  • Pistes de solution :

    • Vérifier que Windows Update installe bien le correctif requis (cumulative updates récentes).

    • Vérifier que la tâche planifiée existe (Get-ScheduledTask -TaskName "*Secure-Boot-Update*").

    • Mettre à jour le firmware UEFI/BIOS auprès du fabricant pour supporter l’injection des certificats 2023.

Secure Boot désactivé

  • Aucun certificat n’est installé ni appliqué.

  • L’ordinateur ne bénéficie pas des protections Secure Boot et ne sera pas mis à jour automatiquement pour les certificats UEFI tant que Secure Boot reste désactivé.

  • Si l’objectif est d’utiliser Secure Boot, il faut l’activer dans le BIOS/UEFI avant de tenter la mise à jour.

Résumé des commandes clés

# Vérifier la présence du certificat
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

# Forcer la mise à jour des certificats
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot" -Name "AvailableUpdates" -Value 0x40
Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

# Reboot (une ou deux fois), puis revérifier :
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

Notes de sécurité importantes

  • Les certificats Secure Boot assurent que seuls les chargeurs de démarrage et le firmware approuvés peuvent s’exécuter au démarrage.

  • Le remplacement des anciens certificats (2011) par les certificats 2023 est requis avant leur expiration en 2026 pour le maintien de la sécurité du système.

Le mot de la fin

Je reste convaincu que Microsoft ne joue pas vraiment le jeu en ne proposant pas cette mise à jour à toutes les machines.
Je vous avoue que je regarde de plus en plus en direction de Linux afin de m'affranchir de la mauvaise volonté chronique de cette entreprise qui dérive vers des pratiques détestables.
Une vidéo youtube sur le sujet : https://www.youtube.com/watch?v=MK3Ki3tvw_M
Pour vérifier l'état d'activation : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

Windows aucun commentaire

Ajouter un commentaire

Le code HTML est affiché comme du texte et les adresses web sont automatiquement transformées.

Fil des commentaires de ce billet

© Le blog de bagu, after the WP Dusk To Dawn theme Propulsé par Dotclear