Certificats Secure Boot : expiration en juin 2026, êtes-vous concerné ?

Depuis quelques semaines, une information circule et inquiète beaucoup d'utilisateurs : les certificats Secure Boot de Windows vont expirer en juin 2026. Faut-il s'en préoccuper ? Votre ordinateur risque-t-il de ne plus démarrer ?

Dans l'immense majorité des cas, vous n'avez rien à faire, et votre PC continuera de démarrer normalement. Mais il existe quelques situations où une vérification est utile, et surtout un piège à éviter absolument.

Voici une explication simple pour savoir en quelques minutes si vous êtes concerné et ce que vous devez faire.

Le plus rapide, c'est de répondre à quelques questions. Ce petit guide interactif vous demande deux ou trois choses sur votre ordinateur et vous dit, à la fin, si vous êtes concerné et ce qu'il faut faire. Lancez-le, c'est l'affaire de deux minutes.

Que se passe-t-il exactement avec Secure Boot en 2026 ?

Le Secure Boot (« démarrage sécurisé ») est un peu le portier de votre ordinateur. Au démarrage, avant même que Windows se lance, il vérifie les « badges » de tout ce qui s'exécute en premier et il bloque ce qu'il ne reconnaît pas. Le but : empêcher un virus de se loger tout au début, là où aucun antivirus ne tourne encore.

Pour reconnaître ces « badges », le système s'appuie sur des certificats numériques. Imaginez une carte d'identité avec une date de validité. Les certificats utilisés aujourd'hui ont été créés par Microsoft en 2011, pour une durée de quinze ans… et cette durée arrive à son terme.

Concrètement, deux certificats expirent fin juin 2026, et un troisième courant octobre 2026. Microsoft les remplace par de nouveaux certificats, datés de 2023, déjà présents sur la plupart des ordinateurs récents.

Et si rien n'est fait ? Votre ordinateur continuera de s'allumer et de fonctionner comme avant, et recevra toujours les mises à jour habituelles de Windows. En revanche, il ne pourra plus recevoir certaines nouvelles protections pour la phase de démarrage. Ce n'est donc pas une catastrophe immédiate, mais une protection qui s'érode lentement avec le temps.

Êtes-vous concerné ?

L'outil plus haut vous a déjà donné votre réponse personnalisée. Voici quand même le résumé en clair.

Vous êtes potentiellement concerné si les trois conditions suivantes sont réunies :

votre ordinateur a été fabriqué entre 2012 et 2024 ;
le Secure Boot est activé ;
votre PC démarre en mode UEFI (le mode moderne, et non l'ancien mode « Legacy », aussi appelé « BIOS hérité »).

Vous n'êtes pas concerné dans ces cas :

votre PC date d'avant 2012 : il n'a probablement pas de Secure Boot du tout ;
votre PC est récent (2025 ou plus) : il est en principe déjà livré avec les bons certificats, et même s'il est resté longtemps en stock chez le fabricant, Windows Update installera la mise à jour automatiquement ;
le Secure Boot est désactivé sur votre machine ;
votre ordinateur démarre en mode Legacy (ancien BIOS) : il n'y a alors pas de Secure Boot.

Ce que vous devez faire, concrètement

Pour la plupart des gens, la réponse tient en une phrase : gardez Windows à jour, et laissez-le faire le travail. Voici le détail selon votre situation.

Vous êtes sous Windows 11 (version officielle et à jour). Vous n'avez rien à faire. La mise à jour des certificats se fait automatiquement via Windows Update. Continuez simplement à installer les mises à jour quand votre PC vous les propose.

Vous êtes sous Windows 10. La mise à jour ne vous parvient que par le biais des mises à jour de sécurité étendues (ESU). Si vous êtes inscrit à ce programme, le mécanisme est le même : laissez Windows installer ses mises à jour.

Vous avez un PC de marque (Dell, HP, Lenovo, Asus, Acer…). Le plus souvent, tout se fait automatiquement via Windows Update. Dans le cas contraire, il faudra mettre à jour le BIOS manuellement, en suivant les indications du fabricant. Votre principale mission : garder Windows à jour.

Vous avez un PC assemblé (monté sur mesure). Là, un peu plus de vigilance. Il se peut qu'une mise à jour du BIOS/UEFI de votre carte mère soit nécessaire. Rendez-vous sur le site du fabricant de la carte mère pour vérifier si une mise à jour est disponible, et suivez ses instructions.

L'erreur à ne surtout pas commettre

C'est le point le plus important de l'article : si vous ne deviez en retenir qu'un, ce serait celui-ci.

Si votre disque est chiffré avec BitLocker, retenez deux points.

Premier point, pas d'inquiétude excessive : il se peut qu'au moment de la mise à jour, votre PC vous réclame une fois votre clé de récupération à 48 chiffres. Sur un ordinateur grand public en configuration normale, c'est en général une seule fois : vous saisissez la clé, et c'est réglé.

Second point, le vrai danger est ailleurs.

Avertissement important. Ne réinitialisez jamais votre BIOS ni le Secure Boot aux « valeurs d'usine » (l'option souvent appelée load defaults). Sur un PC déjà passé aux certificats 2023, cette manipulation efface les certificats et le firmware peut alors refuser de démarrer. Et si BitLocker est actif, vous vous retrouverez en plus face à la demande de clé à 48 chiffres. En clair : ne touchez à rien dans le BIOS, et surtout ne « réinitialisez » pas le Secure Boot.

Avant toute manipulation du BIOS, assurez-vous d'avoir votre clé de récupération BitLocker en lieu sûr (voir plus bas comment la retrouver). Et si vous n'êtes pas certain que BitLocker soit activé : dans le doute, on ne touche pas au BIOS.

Et si BitLocker n'est pas activé chez vous, vous n'êtes pas concerné par ce blocage. Sans disque chiffré, il n'y a rien à déverrouiller. La mise à jour du certificat se fait quand même, sans aucun souci.

Pour aller plus loin

Les sections suivantes s'adressent aux plus curieux ou à ceux qui veulent vérifier eux-mêmes. Elles sont totalement facultatives.

Vérifier l'état du Secure Boot (et le mode de démarrage)

Appuyez sur les touches Windows + R en même temps.
Tapez msinfo32 puis validez.
Cherchez la ligne « Mode BIOS » : elle indique UEFI (mode moderne) ou Hérité / Legacy (ancien mode).
Cherchez la ligne « État du démarrage sécurisé ». Trois réponses sont possibles :
- Activé : la vérification au démarrage est en marche.
- Désactivé : la fonction existe mais elle est éteinte (vous pourriez l'activer).
- Non pris en charge : votre PC ne peut pas faire de Secure Boot en l'état, souvent parce qu'il démarre en mode Legacy ou que le matériel est trop ancien.

Vérifier si vous avez déjà les nouveaux certificats 2023

Le plus simple, sans aucune commande (sur un Windows à jour) :

Menu Démarrer, tapez « Sécurité Windows » et ouvrez l'application.
Allez dans « Sécurité de l'appareil », puis « Démarrage sécurisé ».
Un voyant vert : les certificats 2023 sont bien présents, vous êtes à jour. Un voyant orange : ils ne sont pas encore arrivés — installez les mises à jour Windows, redémarrez, puis revérifiez dans quelques jours.

Pour les plus à l'aise, vous pouvez aussi le vérifier en une commande. Ouvrez PowerShell en tant qu'administrateur et tapez :

([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023')

Trois réponses possibles :

True : les nouveaux certificats sont bien présents, vous êtes à jour.
False : ils ne sont pas encore installés.
Un message d'erreur : c'est normal si le Secure Boot est désactivé sur votre PC.

Secure Boot et TPM : ce n'est pas la même chose

On confond souvent les deux, mais ce sont des fonctions séparées et indépendantes. Le Secure Boot vérifie des signatures et fonctionne avec ou sans TPM. Le TPM, lui, est un composant qui stocke des clés (il sert notamment à BitLocker et à Windows Hello). Autrement dit, ce n'est pas parce que votre PC n'est pas tout récent qu'il ne peut pas recevoir les nouveaux certificats : les deux sujets sont indépendants.

Comment savoir si BitLocker est activé

Version Famille de Windows : menu Démarrer, tapez « Chiffrement de données », puis ouvrez « Chiffrement de l'appareil ». Chaque disque est indiqué Activé ou Désactivé.

Version Pro : menu Démarrer, tapez « BitLocker », puis « Gérer BitLocker ».

Attention : sur un ordinateur portable, BitLocker peut être activé sans que vous l'ayez demandé. Mieux vaut vérifier deux fois qu'une.

Où trouver et sauvegarder votre clé de récupération BitLocker

Vous avez un compte Microsoft : votre clé est récupérable facilement sur account.microsoft.com/devices/recoverykey (connectez-vous avec le même compte que celui de votre PC).

Vous êtes en compte local : il est essentiel de récupérer et de conserver votre clé dès maintenant, et de la garder précieusement. Faites un clic droit sur Démarrer → « Terminal (administrateur) », puis tapez manage-bde -status. Si l'état affiche « Intégralement déchiffré » ou « Protection désactivée », rien n'est chiffré : aucun risque. Si c'est chiffré, tapez manage-bde -protectors -get C: pour afficher la clé de 48 chiffres. Notez-la sur papier et sur une clé USB rangée ailleurs.

PC de marque ou PC assemblé : quelle différence ?

Sur un PC de marque, le fabricant prépare et distribue lui-même les mises à jour de firmware adaptées : la transition est généralement transparente. Sur un PC assemblé, c'est à vous (ou à la personne qui s'en occupe) de surveiller les mises à jour proposées par le fabricant de la carte mère. C'est la principale raison pour laquelle un PC monté sur mesure demande un peu plus d'attention.

En résumé

Pas de panique. Pour la grande majorité des lecteurs, il n'y a rien à faire d'autre que de continuer à mettre Windows à jour. Pour ceux qui sont concernés, l'essentiel tient en deux réflexes : laisser Windows installer ses mises à jour, et ne jamais réinitialiser le BIOS sans avoir mis sa clé BitLocker en sécurité.

Si tout cela vous semble encore un peu technique, ou si vous préférez être accompagné pas à pas, vous pouvez rejoindre la communauté Lano de Cédric : https://www.skool.com/lano. Vous y posez vos questions tranquillement et vous recevez des réponses claires et adaptées à votre situation. C'est souvent plus rassurant que de chercher seul.