Le 24 juin 2026, dans environ deux mois, un certificat numérique va expirer. Ce n’est ni un abonnement Microsoft 365, ni une licence Windows, ni une mise à jour matérielle. C’est un certificat Secure Boot émis en 2011, gravé dans le firmware UEFI de la quasi-totalité des PC Windows en circulation depuis quinze ans. Quand il expirera, votre ordinateur continuera à démarrer comme si de rien n’était. Et c’est précisément le problème.
En Belgique, environ 57 % des PC Windows tournaient encore sous Windows 10 en septembre 2025, selon les données StatCounter relayées par ITdaily — un parc plus ancien que la moyenne mondiale, donc plus exposé. Et pour la majorité de ces machines, ainsi que pour beaucoup de PC sous Windows 11 antérieurs à 2024, la transition vers les nouveaux certificats Secure Boot émis en 2023 n’est pas garantie. Microsoft pousse les nouveaux certificats par Windows Update depuis janvier 2026, mais le déploiement est conditionnel, lent, et contourne plusieurs catégories d’appareils.
Cet article fait le point sur ce qui se passe vraiment, qui est concerné, et ce qu’il faut faire — sans paniquer, sans ignorer.
Ce que dit l’ANSSI et pourquoi ce n’est pas un sujet de spécialiste
Le sujet n’est pas confidentiel. Le 3 avril 2026, le CERT-FR (l’autorité française de cybersécurité, partie de l’ANSSI) a publié un avis officiel intitulé « Expiration de certificats Secure Boot en juin 2026 », qui détaille les implications pour les organisations françaises et européennes. L’avis précise que l’installation des nouveaux certificats 2023 « est à prévoir dans les plus brefs délais » et concerne aussi bien les systèmes Windows clients et serveurs que certains systèmes Linux qui démarrent en UEFI Secure Boot via le préchargeur Shim signé par Microsoft.
Microsoft, de son côté, a publié dès janvier 2026 un appel explicite intitulé « Act now : Secure Boot certificates expire in June 2026 » sur son blog Windows IT Pro, suivi en février par un billet du Windows Experience Blog confirmant le déploiement progressif via Windows Update. Le Centre pour la Cybersécurité Belgique (CCB) n’a pas publié de communication grand public dédiée, mais le sujet entre directement dans le périmètre des obligations NIS2 transposées en droit belge le 26 avril 2024, pour les entités essentielles et importantes — qui doivent maintenir leurs systèmes à jour de leurs correctifs de sécurité.
Bref : ce n’est pas un sujet IT-Pro perdu dans une base de connaissances. C’est un sujet qui touche tout le monde et que personne ne mentionne sur les radios francophones.
Les quatre certificats qui expirent
Microsoft a publié la liste exacte des certificats concernés ainsi que les nouveaux certificats 2023 qui les remplacent.
| Certificat 2011 expirant | Date d’expiration | Rôle | Remplaçant 2023 |
|---|---|---|---|
| Microsoft Corporation KEK CA 2011 | 24 juin 2026 | Clé d’inscription qui autorise les mises à jour de la base de données Secure Boot | Microsoft Corporation KEK 2K CA 2023 |
| Microsoft Corporation UEFI CA 2011 | 27 juin 2026 | Signe les chargeurs de démarrage tiers (Linux Shim, options ROM) | Microsoft UEFI CA 2023 + Microsoft Option ROM UEFI CA 2023 |
| Microsoft Option ROM UEFI CA 2011 | 27 juin 2026 | Signe les ROMs d’options matérielles (cartes graphiques, contrôleurs RAID) | Microsoft Option ROM UEFI CA 2023 |
| Microsoft Windows Production PCA 2011 | 19 octobre 2026 | Signe le Windows Boot Manager lui-même | Windows UEFI CA 2023 |
Source : Microsoft Support, Le Crabe Info et IT-Connect.
Les nouveaux certificats 2023 ont été conçus pour durer beaucoup plus longtemps : les autorités de pré-démarrage sont valides jusqu’en 2038, et l’autorité Windows jusqu’en 2035, comme le détaille WindowsPower.
Que se passe-t-il concrètement après le 24 juin ?
Première chose à comprendre, parce qu’elle n’est pas intuitive : votre PC va continuer à démarrer normalement, et Secure Boot va continuer à afficher l’état « activé » dans Windows. La firmware UEFI ne vérifie pas la date des certificats au démarrage — elle n’a pas d’horloge fiable à ce moment-là. Comme l’explique l’éditeur WindowsPower, « la chaîne de sécurité est déjà affaiblie sans que vous le remarquiez à première vue ». C’est précisément ce que Microsoft appelle un « état de sécurité dégradé ».
Concrètement, sur une machine qui n’a pas reçu les certificats 2023 quand les 2011 expirent :
- Plus aucune mise à jour du Windows Boot Manager ou des composants Secure Boot ne peut s’installer.
- La base de révocation DBX (qui bloque les bootloaders compromis) ne peut plus être mise à jour.
- Les nouveaux périphériques (cartes graphiques, contrôleurs RAID) signés uniquement avec les certificats 2023 ne seront plus reconnus.
- Les distributions Linux récentes utilisant le préchargeur Shim signé 2023 ne pourront plus démarrer avec Secure Boot activé.
- La machine reste exposée à des attaques de type bootkit UEFI, en particulier celles dérivées de BlackLotus (CVE-2023-24932).
Ce dernier point n’est pas théorique. BlackLotus est le premier bootkit UEFI documenté publiquement capable de contourner Secure Boot sur Windows 11 entièrement à jour. Il neutralise BitLocker, contourne Windows Defender, et survit même à une réinstallation complète du système parce qu’il s’installe dans la partition système EFI. La rotation des certificats 2026 n’est pas qu’un événement de fin de cycle : elle est aussi le mécanisme par lequel Microsoft retire la confiance aux anciens Windows Boot Managers vulnérables, comme l’explique en détail Trans4mation dans son analyse de référence en allemand.
Comment savoir si votre PC est prêt
Microsoft a déployé en avril 2026 un nouveau badge de statut dans l’application Sécurité Windows, accessible via Sécurité Windows → Sécurité des appareils → Démarrage sécurisé. Le badge affiche un état coloré : vert si tout est à jour, jaune si une action est recommandée, rouge si l’appareil reste sur les anciens certificats. C’est la méthode la plus simple pour la majorité des utilisateurs.
Pour une vérification plus précise, ouvrez PowerShell en administrateur et exécutez :
powershell
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'Si le résultat est True, votre PC a déjà reçu le nouveau certificat 2023 et vous n’avez rien à faire. Si le résultat est False, lancez Windows Update, redémarrez, et retestez quelques jours plus tard — le déploiement est progressif, comme le détaille TaktikInformatique. Si après plusieurs cycles la valeur reste False, votre machine est probablement dans une des catégories à risque détaillées plus bas.
Une autre méthode consiste à inspecter la clé de registre HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\ et à vérifier la valeur UEFICA2023Status : elle doit afficher Updated. Toutes les valeurs de registre sont documentées par Microsoft.
Les cas problématiques (et ils sont nombreux)
Microsoft prétend que pour la majorité des utilisateurs, la transition se fera automatiquement. C’est probablement vrai pour les PC récents sous Windows 11 connectés régulièrement à Windows Update. Mais une lecture attentive de la documentation et des retours terrain révèle plusieurs catégories d’appareils où la transition échouera, ou tout simplement n’aura pas lieu.
Les PC Windows fabriqués entre 2012 et 2024. Ce sont les plus nombreux et les plus exposés. Comme le rappelle HP, seuls les PC fabriqués depuis 2024 intègrent nativement les certificats 2023. Pour les autres, il faut à la fois une mise à jour Windows et — souvent — une mise à jour BIOS du fabricant. Dell France précise que les machines dont la fin de durée de vie (EOSL) est antérieure à janvier 2026 risquent de ne jamais recevoir les mises à jour BIOS nécessaires. Si votre PC professionnel ou familial a 5 ans ou plus, vérifiez sur le site de votre fabricant qu’une mise à jour BIOS récente est disponible.
Les Windows Server. Microsoft a explicitement annoncé que les certificats ne seront pas mis à jour automatiquement sur Windows Server, contrairement aux clients. Les administrateurs doivent intervenir manuellement, en s’appuyant sur la documentation Microsoft Server Blog. Pour les PME wallonnes qui hébergent leurs propres serveurs (Active Directory, applications métier, NAS sous Windows Server), c’est un point d’attention majeur.
Les machines virtuelles avec Secure Boot activé. Google Cloud a publié un avis détaillé précisant que les VM Windows et Linux protégées par Secure Boot sur des instances créées avant le 7 novembre 2025 sont concernées. Les utilisateurs de VMware ESXi, Hyper-V ou autres hyperviseurs avec Secure Boot activé sur leurs VM doivent prévoir une intervention manuelle.
Les PC sous Windows 10 sans ESU. Si votre Windows 10 a perdu son support en octobre 2025 et n’est pas inscrit au programme ESU (Extended Security Updates), il ne reçoit plus de mises à jour de sécurité — donc il ne recevra pas les nouveaux certificats Secure Boot. Bonne nouvelle pour les particuliers belges et européens : grâce à la pression d’Euroconsumers (dont Test-Achats) et au Digital Markets Act, l’ESU est gratuit pendant un an pour les particuliers de l’EEE, jusqu’au 13 octobre 2026 — à condition d’utiliser un compte Microsoft. Nous avions détaillé le mécanisme dans notre article PC 2026 : double peine.
Les PC avec BitLocker activé. Microsoft a averti que certaines machines avec une configuration BitLocker non recommandée pouvaient demander leur clé de récupération au premier redémarrage après l’installation des mises à jour Secure Boot. Si vous utilisez BitLocker, vérifiez que vous avez bien votre clé de récupération sauvegardée avant de procéder à toute mise à jour majeure.
Les machines Linux en dual-boot ou pure Linux avec Secure Boot. Le préchargeur Shim utilisé par Ubuntu, Fedora, RHEL, Debian et la plupart des distributions est signé par l’autorité Microsoft UEFI CA 2011. Comme le précise le CERT-FR, ces préchargeurs doivent être mis à jour avec une version signée par les certificats 2023, et les distributions ont commencé à publier ces mises à jour. Vérifiez votre version de Shim et appliquez les mises à jour de sécurité de votre distribution.
Le piège des PME wallonnes : NIS2, parc vieillissant et invisibilité du problème
Pour les PME, et particulièrement celles concernées par la transposition belge de la directive NIS2 (loi du 26 avril 2024), l’expiration des certificats Secure Boot est un point que les auditeurs CCB peuvent demander. La directive impose aux entités essentielles et importantes une politique de gestion des correctifs et de continuité opérationnelle. Un parc dont 30 % des machines basculent en « état de sécurité dégradé » sans que l’IT le sache n’est pas conforme — et ne le découvrir que lors d’un audit ou pire, d’une exploitation BlackLotus, n’est pas un scénario souhaitable.
Le problème concret est que la plupart des PME wallonnes n’ont pas de service IT dédié au sens où on l’entend dans une grande entreprise. Le PC de comptabilité acheté il y a six ans a probablement Windows 10 (souvent même pas en ESU), un BIOS jamais mis à jour, et un certificat 2011 qui va tranquillement expirer le 24 juin sans que personne ne le remarque. Le serveur Windows Server 2019 qui héberge l’application métier ne reçoit pas les certificats automatiquement. Et le NAS sous Windows Server 2022 a peut-être Secure Boot désactivé pour avoir pu installer un pilote tiers en 2021 — ce qui le sort complètement du périmètre.
Le combo crise mémoire / fin de Windows 10 / certificats Secure Boot crée un timing redoutable pour le renouvellement de parc, comme nous l’avons détaillé dans PC 2026 : double peine et le Guide PC portable 2026.
Que faire concrètement, par profil
Particulier sous Windows 11 récent (2024+). Vous êtes probablement déjà à jour. Vérifiez le badge dans Sécurité Windows ou exécutez la commande PowerShell ci-dessus. Si tout est vert ou si la commande renvoie True, vous n’avez rien à faire.
Particulier sous Windows 10 avec ESU (gratuit en Belgique). Microsoft pousse les certificats 2023 même sur les machines Windows 10 inscrites à l’ESU. Vérifiez que votre ESU est bien actif (compte Microsoft requis), lancez Windows Update, et vérifiez le badge dans Sécurité Windows. Si rien ne progresse après plusieurs cycles, votre BIOS est probablement le problème — vérifiez sur le site du fabricant.
Particulier sous Windows 10 sans ESU. Les nouveaux certificats ne seront pas déployés. Vous avez deux options réalistes : soit activer l’ESU gratuit (jusqu’au 13 octobre 2026), soit migrer vers Windows 11 si votre matériel le supporte. La troisième option — rester sur Windows 10 sans ESU — vous met dans la même catégorie que les machines en fin de vie.
PME avec parc Windows hétérogène. Faites un inventaire avant fin mai 2026. Identifiez les machines hors ESU, les serveurs Windows Server, les VM avec Secure Boot, et les BitLocker actifs. Pour les serveurs, prévoyez une intervention manuelle en suivant le playbook Microsoft. Pour les machines clients, vérifiez les mises à jour BIOS disponibles auprès de Dell, HP, Lenovo ou autres OEMs. Sauvegardez systématiquement les clés BitLocker avant toute opération.
Administrateur sysadmin avec parc important. Plusieurs scripts open source existent pour automatiser la détection et la remédiation, notamment via Intune Remediations. Thomas Marcussen propose un toolkit complet avec scripts de détection, remédiation, reporting CSV et vérification de la firmware OEM. La trousse à outils Mindcore propose une approche par anneaux de déploiement (Ring 0 pilote → Ring 1 IT élargi → Ring 2 production) qui évite les mauvaises surprises.
Une mise à jour invisible, conçue pour l’être
Microsoft a fait un choix de communication compréhensible mais problématique : minimiser l’événement pour éviter la panique, en pariant sur le fait que Windows Update ferait le travail silencieusement. Le résultat, c’est que cette mise à jour critique est invisible pour la majorité des utilisateurs. Le badge dans Sécurité Windows arrivé en avril 2026 est un pas dans la bonne direction, mais il ne sera vu que par ceux qui ouvrent l’application — ce qui exclut, en pratique, à peu près tout le monde.
Pour les particuliers belges sur PC récent, le risque réel est faible : Microsoft fera son travail dans l’ombre. Pour les PMEs wallonnes avec parc vieillissant et serveurs locaux, c’est un autre sujet. Et pour les machines Linux ou les configurations de niche (VMs avec Secure Boot, BitLocker en mode strict, dual-boot), c’est un sujet à traiter de toute urgence avant le 24 juin.
Le 24 juin 2026, la majorité des PC continueront à démarrer comme avant. Une partie d’entre eux entreront silencieusement dans un état de sécurité dégradé qui les laissera vulnérables à la prochaine variante de BlackLotus pendant des années. La différence entre les deux groupes tient à ce que vous faites dans les huit prochaines semaines.
Sources et références
Avis officiels et documentation constructeur
- CERT-FR (ANSSI) — Expiration de certificats Secure Boot en juin 2026
- Microsoft Support — Expiration du certificat de démarrage sécurisé Windows
- Microsoft Support — Conseils pour les professionnels de l’informatique et les organisations
- Microsoft Tech Community — Act now : Secure Boot certificates expire in June 2026
- Microsoft Windows IT Pro Blog — Secure Boot playbook for certificates expiring in 2026
- Windows Experience Blog — Refreshing the root of trust
- Dell France — Questions fréquentes sur la transition Secure Boot
- HP Support — Prepare for new Windows Secure Boot certificates
- Google Cloud — Guide d’expiration des certificats Microsoft Secure Boot
- Centre pour la Cybersécurité Belgique (CCB) — Organisation et missions NIS2
Médias spécialisés francophones
- Le Crabe Info — Secure Boot : les certificats de Windows expirent en 2026
- IT-Connect — Windows : anticiper la mise à jour des certificats Secure Boot en 2026
- TaktikInformatique — Secure Boot 2026 : vérifier si votre PC est prêt
- ITdaily — Windows 10 fonctionne toujours sur plus d’un tiers des PC en Belgique
Médias spécialisés germanophones et anglophones
- Trans4mation — Secure Boot Zertifikatstausch 2026
- Borncity — Was passiert, wenn im Juni 2026 Windows Secure Boot-Zertifikate auslaufen?
- Borncity — Windows Server für Secure Boot-Zertifikat-Updates vorbereiten
- Der Windows Papst — Secure Boot Zertifikate laufen ab
- WindowsPower — Windows 11 Secure Boot Zertifikate laufen ab
- Mindcore Techblog — June 2026 : Secure Boot Certificates are expiring
- Thomas Marcussen — BlackLotus and the 2026 Secure Boot Certificate Expiry
- Windows Forum — Windows Secure Boot Certificate Expiration