S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 02 avril 2026
N° CERTFR-2026-ACT-014
Affaire suivie par: CERT-FR

Bulletin d'actualité du CERT-FR

Objet: Expiration de certificats Secure Boot en juin 2026

Gestion du document

Référence CERTFR-2026-ACT-014
Titre Expiration de certificats Secure Boot en juin 2026
Date de la première version02 avril 2026
Date de la dernière version02 avril 2026
Source(s)

Une gestion de version détaillée se trouve à la fin de ce document.

Les premiers certificats Secure Boot expirent en juin 2026

Le démarrage sécurisé (UEFI Secure Boot) est une fonctionnalité de sécurité disponible sur les ordinateurs PC clients et serveurs depuis 2011. Son rôle est de sécuriser la séquence de démarrage de l’appareil, en vérifiant l’intégrité du code exécuté entre la mise sous tension et le démarrage du système d’exploitation. Au-delà de la protection apportée contre les rootkits et autres codes malveillants exécutés au cours de la séquence de démarrage de l’appareil, le démarrage sécurisé UEFI est un prérequis à l’activation de certaines fonctionnalités de sécurité modernes. Sous Windows par exemple, il est un prérequis à l’activation de fonctionnalités de sécurité reposant sur la virtualisation (VBS) telles que Device Guard ou Credential Guard.

Le démarrage sécurisé UEFI s’appuie sur des certificats numériques d’autorités de certification, principalement stockés dans la base de données UEFI. Ces certificats ont une durée de vie et quatre certificats de Microsoft, qui datent de 2011, ont une date d’expiration proche : trois expirent en juin 2026 et un en octobre 2026. L’installation des nouveaux certificats, qui datent de 2023, est à prévoir dans les plus brefs délais. Les appareils qui ne les ont pas reçus continueront de démarrer et de fonctionner normalement, mais ne recevront plus de mises à jour de la séquence de démarrage (c’est-à-dire les mises à jour du gestionnaire de démarrage et de la fonctionnalité de démarrage sécurisé, incluant les listes de révocation ou les atténuations pour les vulnérabilités nouvellement découvertes dans les logiciels qui s’exécutent pendant la séquence de démarrage).

Bien que ce besoin d’installation des nouveaux certificats de Microsoft concerne avant tout les systèmes Windows clients et serveurs, il concerne également certains systèmes Linux qui démarrent en UEFI Secure Boot. En effet, un certain nombre de systèmes Linux utilisent des chargeurs de démarrage (le pré-chargeur Shim par exemple) qui ont été signés par une autorité de certification de Microsoft valide jusqu’en juin 2026. Ces chargeurs de démarrage Linux doivent être mis-à-jour.

L’installation des nouveaux certificats de Microsoft sur les appareils doit être faite à deux niveaux :

  1. Au niveau de l’UEFI, soit par l’application d’une mise à jour UEFI de l’ordinateur et fournie par le fabricant (dans le cas d’une machine virtuelle, c’est l’hyperviseur que le fait pour l’UEFI virtuel), soit par l’ajout manuel des nouveaux certificats dans l’UEFI. Sans mise à jour des certificats au niveau UEFI, une restauration des paramètres par défaut de l'UEFI de l’appareil pourrait se solder par l’impossibilité de démarrer en démarrage sécurisé.
  2. Au niveau du système d’exploitation, dans le cadre de ses mises à jour. Plusieurs étapes étalées dans le temps sont nécessaires pour parvenir à la mise à jour complète de la séquence de démarrage. Sur des systèmes Windows autonomes (appareils de particuliers notamment), le déroulement de ces étapes est automatique. Sur des systèmes gérés (membres d’un domaine Active Directory ou enrôlés et gérés via Windows Intune), elle peut nécessiter une intervention qui relève généralement des équipes informatiques de l’organisation. Les opérations à réaliser sont détaillées dans les documentations de Microsoft listées ci-après.

À noter que les systèmes d’exploitation Windows ne recevant plus de mises à jour (par exemple s’ils ne sont plus supportés par Microsoft du fait de leur ancienneté) ne recevront pas les nouveaux certificats de Microsoft pour le démarrage sécurisé. Néanmoins, ils ne risquent pas non plus de recevoir des mises à jour de la séquence de démarrage : ils ne sont a priori pas concernés par le besoin d’installation des nouveaux certificats.

Plusieurs documentations de Microsoft traitent le sujet sous différents angles en fonction du cas d’usage (fabricant, particulier, organisation, etc.) :

Problématique générale :

Expiration du certificat de démarrage sécurisé Windows et mises à jour de l’autorité de certification - Support Microsoft

Pour Windows :

Appareils Windows pour les particuliers, les entreprises et les établissements scolaires avec des mises à jour gérées par Microsoft - Support Microsoft

Mises à jour des certificats de démarrage sécurisé : conseils pour les professionnels de l’informatique et les organisations - Support Microsoft

Mises à jour des clés de Registre pour le démarrage sécurisé : appareils Windows avec mises à jour gérées par le service informatique - Support Microsoft

Méthode stratégie de groupe Objects (GPO) de démarrage sécurisé pour les appareils Windows avec des mises à jour gérées par le service informatique - Support Microsoft

Microsoft Intune méthode de démarrage sécurisé pour les appareils Windows avec des mises à jour gérées par le service informatique - Support Microsoft

Événements de mise à jour de la base de données de démarrage sécurisé et de la variable DBX - Support Microsoft

API Windows Configuration System (WinCS) pour le démarrage sécurisé - Support Microsoft

Pour Linux :

https://www.hansenpartnership.com/Impress-Slides/FOSDEM-2026-Kernel/#/begin

Gestion détaillée du document

    le 02 avril 2026
    Version initiale