Mise à jour de Secure Boot dans Windows : comment vérifier que votre PC est bien sécurisé

Mise à jour de Secure Boot dans Windows : comment vérifier que votre PC est bien sécurisé
La Rédac

Depuis le 11 juin, Microsoft met à jour les certificats Secure Boot de Windows sur tous les PC compatibles avant l'expiration des anciens prévue pour le 24 juin. Voici comment vérifier rapidement si votre ordinateur est sécurisé.

Secure Boot est l'une de ces technologies qui travaillent en silence, dans les coulisses de Windows, au démarrage de votre ordinateur. Son rôle : vérifier, avant même que Windows ne se lance, que le système n'a pas été altéré par un logiciel malveillant. Pour fonctionner, il s'appuie sur des certificats numériques – des sortes de clés d'authentification – qui garantissent l'intégrité de la chaîne de démarrage.

Problème : les certificats utilisés sur la quasi-totalité des PC actuels datent de 2011. Et ils vont expirer ce  24 juin 2026. Pour éviter que des millions d'ordinateurs se retrouvent privés de cette protection indispensable, Microsoft a lancé une grande campagne de mise à jour il y a quelques mois (voir notre article).  

Avec le Patch Tuesday de juin 2026, Microsoft passe au déploiement généralisé des nouveaux certificats Secure Boot 2023 sur l'ensemble des PC Windows jugés compatibles, sans intervention nécessaire côté utilisateur. Cette transition était en préparation depuis des mois, et les mises à jour précédentes l'avaient amorcée progressivement pour tester la compatibilité des firmwares, le logiciel élémentaire des PC, intégré directement dans le BIOS. La phase finale est maintenant lancée.

Secure Boot Windows : ce qui se passe concrètement sur votre PC

L'installation des nouveaux certificats peut provoquer plusieurs redémarrages successifs – un comportement qui avait inquiété de nombreux utilisateurs lors des premières vagues de déploiement. Le premier redémarrage sert à préparer puis inscrire les certificats dans le firmware UEFI. Le suivant permet à Windows de redémarrer sur cette chaîne mise à jour et d'en valider l'état. Il ne s'agit pas d'un bug, mais d'une procédure normale.

Si le Patch Tuesday de juin n'a pas encore été appliqué, il faut ouvrir Paramètres, puis Windows Update, et lancer une recherche manuelle pour télécharger et installer les correctifs disponibles, puis redémarrer le PC lorsque le système le demande.

Un point d'attention important pour les utilisateurs qui ont activé BitLocker, le chiffrement de disque intégré à Windows : il faut récupérer la clé de récupération BitLocker avant toute mise à jour du firmware, au cas où Windows la réclamerait au redémarrage. Cette clé est consultable depuis le compte Microsoft associé à la machine, ou depuis l'interface d'administration si l'ordinateur appartient à un domaine d'entreprise.

Secure Boot Windows : comment lire l'indicateur dans Sécurité Windows

Une fois les mises à jour installées et la machine redémarrée, vérifier le statut des certificats prend moins d'une minute. Il suffit de saisir "Sécurité Windows" dans la barre de recherche, de se rendre dans Sécurité des appareils, puis dans la section Démarrage sécurisé. Windows y affiche désormais l'état des certificats Secure Boot sous la forme d'un indicateur coloré.

Un indicateur vert confirme que les nouvelles autorités sont bien installées et qu'aucune action supplémentaire n'est requise. Un indicateur jaune signale que le PC n'a pas encore basculé vers les nouvelles autorités – cela ne signifie pas forcément qu'un problème bloque la machine, Windows peut simplement attendre le prochain cycle de déploiement. Dans ce cas, la marche à suivre se limite à installer toutes les mises à jour proposées, redémarrer le PC, puis revérifier l'état quelques jours plus tard.

Un indicateur rouge est plus sérieux. Il indique que Windows considère que les certificats 2023 ne peuvent pas être appliqués dans de bonnes conditions avec la version UEFI installée sur la machine. Il faut alors passer par le site du fabricant du PC ou de la carte mère, chercher une mise à jour BIOS/UEFI correspondant exactement au modèle utilisé, puis relancer Windows Update après installation pour tenter à nouveau d'installer les nouvelles autorités.

Secure Boot Windows : que faire si votre PC ne reçoit pas la mise à jour ?

Si les nouveaux certificats n'ont pas été installés à temps, votre machine ne va évidemment pas cesser de fonctionner du jour au lendemain, mais elle continuera de tourner dans un état de sécurité dégradé et pourrait, à plus long terme, ne plus pouvoir télécharger les mises à niveau annuelles de Windows 11. Le risque immédiat est limité, mais le problème s'aggravera progressivement si aucune correction n'est apportée.

Pour les PC dont le firmware pose problème et dont le fabricant ne publie plus de mises à jour UEFI – typiquement les machines de plus de cinq ou six ans –, la situation est plus délicate. Microsoft n'a pas précisé de solution officielle pour ces cas, et les manipulations manuelles de registre restent déconseillées aux non-initiés. Vérifier dès maintenant l'indicateur dans Sécurité Windows reste la première chose à faire – et la plus simple.