Windows Secure Boot : l'échéance des certificats menace les anciens systèmes

Des certificats bientôt caducs

Microsoft s'apprête à voir expirer les certificats qui garantissent le fonctionnement du démarrage sécurisé (Secure Boot) sur les systèmes Windows. Cette échéance, qui approche rapidement, pourrait entraîner des difficultés pour les utilisateurs et les administrateurs, notamment sur les machines anciennes ou celles qui n'ont pas été mises à jour régulièrement.

Le mécanisme Secure Boot, intégré dans le firmware UEFI, vérifie que les composants logiciels chargés au démarrage du système sont signés numériquement et n'ont pas été altérés. Il repose sur des certificats racines stockés dans le firmware. L'expiration de ces certificats risque de bloquer le processus de démarrage sur les ordinateurs concernés, les empêchant de lancer Windows normalement.

Quels systèmes sont concernés ?

Les systèmes les plus vulnérables sont ceux qui ne reçoivent plus de mises à jour de la part de Microsoft, en particulier les versions anciennes de Windows comme Windows 7, Windows 8 ou Windows 10 dans ses premières révisions, qui ont atteint leur fin de vie. Les machines équipées de processeurs plus anciens, dont le firmware UEFI n'est plus mis à jour par les fabricants, sont également exposées. En revanche, les systèmes à jour sous Windows 10 et Windows 11, qui reçoivent encore des correctifs, devraient être protégés, à condition que les mises à jour de sécurité aient été appliquées.

Les conséquences possibles

Si un système n'est pas en mesure de valider les certificats Secure Boot, il ne pourra pas démarrer. L'utilisateur pourrait alors voir un message d'erreur du firmware, ou le système pourrait tenter de redémarrer en boucle. La seule solution dans ce cas serait de désactiver Secure Boot dans les paramètres du firmware UEFI, une opération qui n'est pas à la portée de tous les utilisateurs. Pour les entreprises, cela pourrait entraîner une interruption de service et un besoin de maintenance importante.

Que faire pour se préparer ?

Microsoft recommande de maintenir les systèmes à jour en installant les derniers correctifs de sécurité. Pour les machines équipées de Windows 10 ou Windows 11, les mises à jour automatiques devraient suffire à renouveler les certificats nécessaires. Les administrateurs informatiques doivent vérifier que leurs systèmes d'exploitation sont à jour et que les versions plus anciennes, non supportées, sont mises hors service ou migrées vers des versions plus récentes avant l'expiration des certificats. Il est également conseillé de consulter les fabricants de matériel pour s'assurer que le firmware UEFI est à jour, car certains certificats peuvent être mis à jour via ce canal.

Anticiper pour éviter les blocages

Pour les organisations qui utilisent encore des versions de Windows en fin de vie (comme Windows 7 ou Windows 8), il n'y a pas de correctif officiel. La seule solution viable est de planifier une migration vers une version supportée, comme Windows 10 ou Windows 11. En l'absence de cette migration, le risque de blocage au démarrage est élevé après l'expiration des certificats. Les utilisateurs particuliers doivent également vérifier que leur système reçoit bien les mises à jour et, si ce n'est pas le cas, envisager une mise à niveau ou l'achat d'un nouvel ordinateur.

Un enjeu de sécurité

Secure Boot est un élément important de la sécurité des systèmes Windows, car il empêche le chargement de logiciels malveillants avant le démarrage du système d'exploitation. L'expiration des certificats ne remet pas en cause l'utilité de cette fonction, mais elle expose les systèmes non mis à jour à des risques de sécurité supplémentaires. Une fois Secure Boot désactivé, le système perd cette protection. Microsoft devrait communiquer plus précisément sur la date d'expiration et les solutions disponibles dans les semaines à venir.