Questions fréquentes sur la transition Secure Boot

Systèmes d’exploitation concernés :

• Windows

Sommaire

• Informations générales
• Ordinateurs Dell et mises à jour
• Communication et conseils aux clients
• Impact et récupération
• Coûts et durée

Informations générales :

• En quoi consiste la transition de la clé Secure Boot ?
  • Les certificats Secure Boot Microsoft 2011 actuels expirent en juin 2026. Ils seront remplacés par une nouvelle chaîne de certificat 2023 : Autorité de certification KEK 2023, autorité de certification UEFI 2023, autorité de certification Windows UEFI 2023
• Les certificats 2023 sont-ils requis pour installer Windows 11 25H2 ?
  • Non. La version 25H2 peut être installée à l’aide des certificats 2011.
• Que se passe-t-il lorsque le certificat Secure Boot actuel expire ?
  • L’ordinateur peut toujours démarrer. Toutefois, avec un certificat expiré, l’ordinateur ne peut pas obtenir de mises à jour ultérieures du chargeur de démarrage ou de Secure Boot.
• En quoi consiste la stratégie de certification double de Dell ?
  • Pour faciliter la transition, Dell a commencé à expédier les certificats 2011 et 2023 sur les plateformes nouvellement lancées à la fin de 2024 et, à la fin de 2025, sur toutes les plateformes de soutien expédiées depuis les usines Dell. Cela permet aux clients d’entreprise utilisant d’anciennes images de démarrer des images signées avec l’un ou l’autre certificat.
• Quelle est la différence entre les bases de données Active et Default Secure Boot ?
  • La base de données Active Secure Boot est celle que votre ordinateur utilise au démarrage pour vérifier les logiciels fiables. La base de données Default Secure Boot est une sauvegarde des clés de confiance originales qui peut être restaurée si nécessaire.
    En résumé :
    • Active : actuellement appliquée (couramment mise à jour à partir de Windows Update)
    • Default : version de réinitialisation sur les paramètres d’usine non utilisée sauf restauration (mise à jour à l’aide d’une mise à jour du BIOS)
    Remarque : il est important que la base de données Secure Boot par défaut soit mise à jour vers les certificats 2023. Dans le cas contraire, si Expert Key Mode est activé, les variables Active provenant de Windows Update risquent d’être effacées.
• Comment la base de données Active est-elle mise à jour ?
  • La base de données Active peut être mise à jour à l’aide de Windows Update. Cela permet d’éviter les interruptions des fonctionnalités de sécurité telles que BitLocker. Toutefois, si Windows Update n’est pas une option et que le client est un utilisateur expert, la base de données Active peut être écrasée à l’aide d’une commande du BIOS pour réinitialiser les clés. Voir la section Mise à jour de la base de données Active Secure Boot à partir du BIOS pour plus d’informations.
• Comment la base de données Default est-elle mise à jour ?
  • La base de données Default est mise à jour à l’aide d’un FLASH DU BIOS.
• Que se passe-t-il lorsque le certificat Secure Boot actuel expire ?
  • L’ordinateur peut toujours démarrer. Toutefois, avec un certificat expiré, l’ordinateur ne peut pas obtenir de mises à jour ultérieures du chargeur de démarrage ou de Secure Boot.

Retour au début

Ordinateurs Dell et mises à jour :

• Quels ordinateurs Dell reçoivent les mises à jour du BIOS ?
  • Dell met à jour :
    • Plateformes grand public et commerciales dont la date de fin de durée de vie (EOSL) est postérieure au 31 décembre 2025, qu’elles soient expédiées depuis les usines Dell ou déjà déployées sur site
  • Dell ne met pas à jour :
    • Plateformes dont la date de fin de durée de vie (EOSL) est antérieure au 1er janvier 2026. Cela signifie que, même si Microsoft peut rendre les nouveaux certificats disponibles, le BIOS de ces anciens ordinateurs peut ne pas les prendre en charge ou les conserver, en particulier si Secure Boot est activé ou si les paramètres par défaut du BIOS sont réinitialisés.
• Que fait Dell pour limiter l’impact sur les clients ?
  • Mise à disposition des mises à jour du BIOS pour les plateformes prises en charge d’ici la fin 2025
  • Collaboration avec Microsoft sur les outils de récupération
  • Publication d’articles de la base de connaissances
  • Mise à jour d’un support de démarrage
• Qu’en est-il de l’impact sur les cartes graphiques tierces et les ordinateurs Linux ?
  • Microsoft a créé deux nouvelles autorités de certification tiers 2023 pour remplacer l’autorité de certification tiers 2011 arrivant à expiration. En d’autres termes, l’autorité de certification UEFI 2011 de Microsoft Corporation a été scindée en deux : l’autorité de certification Microsoft UEFI 2023 (pour les chargeurs de démarrage) et l’autorité de certification Microsoft Option ROM UEFI 2023 (pour les ROM optionnelles). De plus, des mises à jour ont déjà été apportées au Hardware Device Center (HDC) de Microsoft pour prendre en charge la signature de pilotes tiers nécessitant ces nouvelles autorités de certification 2023. Même si les partenaires peuvent commencer à signer avec les nouvelles autorités de certification 2023 depuis octobre 2025, Microsoft et les OEM continuent à prendre en charge l’autorité de certification UEFI 2011 existante de Microsoft Corporation jusqu’à ce que l’écosystème ait eu suffisamment de temps pour migrer vers les nouvelles autorités de certification 2023.
• Comment un client d’entreprise peut-il obtenir un nouveau certificat 2023 sur son parc actuel d’appareils ?
  • Les clients d’entreprise ont la possibilité d’autoriser Microsoft à gérer les mises à jour de leurs appareils via Windows Update (WU) ou d’appliquer manuellement les mises à jour aux appareils du parc eux-mêmes. Des conseils sur cette deuxième option sont disponibles ici : Appareils Windows avec mises à jour gérées par le service IT , Dell envoie en outre les mises à jour du BIOS aux appareils en service, qui peuvent être utilisés pour renseigner la base de données active. Pour obtenir des instructions, voir Mise à jour de la base de données Active Secure Boot à partir du BIOS.
• L’obtention de ce certificat nécessite-t-elle des exigences matérielles spécifiques ?
  • Les appareils doivent prendre en charge Secure Boot et être compatibles avec les mises à jour de firmware UEFI. Dell valide actuellement les plateformes en interne et a publié une liste des ordinateurs pris en charge dans l’article de la base de connaissances Dell Expiration du certificat de Secure Boot Microsoft 2011 (en anglais).

Retour au début

Communication et conseils aux clients :

• Comment Dell communique-t-elle ces informations aux clients ?
  • Dell a publié une note concernant l’Expiration du certificat Secure Boot Microsoft 2011, mise à jour avec la liste des plateformes Dell prêtes à recevoir la mise à jour. Dell fournira des communications supplémentaires alignées sur les recommandations publiques de Microsoft, si nécessaire.
• Que doivent faire les clients d’entreprise maintenant ?
  • Prévoir les mises à jour du BIOS avant le déploiement de Windows 25H2, à l’aide de la liste des appareils Dell gérés dans Expiration du certificat Secure Boot Microsoft 2011.
  • Si elles préfèrent gérer les appareils en interne (plutôt que par l’intermédiaire de WU), les entreprises peuvent déjà commencer à mettre à jour les appareils avec les nouvelles autorités de certification 2023, conformément aux instructions ci-dessous : Appareils Windows avec mises à jour gérées par le service IT .
  • Signaler tout problème de mise à jour à Dell.
• Comment un client sait-il s’il possède un certificat 2011 ou 2023 ?
  • Microsoft prévoit d’ajouter des notifications à Windows pour les utilisateurs finaux. En outre, les utilisateurs peuvent exécuter la commande PowerShell suivante pour voir s’ils disposent des autorités de certification 2011 ou 2023 (méthodologie disponible dans un futur article de la base de connaissances).
• Comment un client sait-il si son certificat a expiré ou est sur le point d’expirer ?
  • Ordinateurs dotés de l’un des trois certificats (autorités de certification) arrivant à expiration en 2026 :

    Autorités de certification 2011	Date d’expiration
    Microsoft Corporation KEK CA 2011	24 juin 2026
    Microsoft Windows Production PCA 2011	19 octobre 2026
    Microsoft Corporation UEFI CA 2011	27 juin 2026

• Si un client possède un certificat 2023, doit-il agir ?
  • Non. Si les certificats Windows UEFI CA 2023 et Microsoft Corporation KEK 2K CA 2023 sont présents, aucune autre action n’est requise.
• Un client peut-il passer à un certificat 2023 si ses appareils exécutent Windows 10 et ont ou sont sur le point d’obtenir des mises à jour de sécurité étendues (ESU) ?
  • Oui. Microsoft met à jour les certificats actifs pour les appareils Windows 11 déployés sur site et mettra à jour les appareils Windows 10 si l’appareil :
    • Fonctionne sous Windows LTSC 2021
    • Possède une licence ESU activée

Retour au début

Impact et récupération :

• Quel est l’impact d’un certificat expiré ?
  • À l’expiration des certificats Secure Boot (à partir de juin 2026), les ordinateurs continuent de démarrer (avec Secure Boot activé). Cependant, l’ordinateur ne reçoit plus de mises à jour pour le Gestionnaire de démarrage Windows et les composants Secure Boot via Windows Update, ce qui les met dans un état de sécurité compromis.
• Que se passe-t-il si Secure Boot est désactivé ou activé sur un appareil ?
  • Parfois, la désactivation de Secure Boot peut effacer toutes les variables UEFI actives, ce qui signifie que toutes les autorités de certification 2023 déjà utilisées sur l’appareil peuvent être effacées (et remplacées par des autorités de certification 2011 plus anciennes du firmware par défaut si elles n’ont jamais été mises à jour). Sur les appareils Dell, cela se produit si un utilisateur sélectionne l’option Expert Key Mode dans le menu du BIOS. Dans ce cas, les variables actives sont extraites du firmware par défaut.
    Remarque : si BitLocker est activé sur l’appareil, vous serez peut-être invité à saisir la clé de récupération BitLocker.
• Quels sont les outils disponibles pour la récupération ?
  • Microsoft a publié un outil de récupération manuelle, mais il présente des limites. Des outils automatisés pour aider les clients sont toujours en cours de développement.

Retour au début

Coûts et durée :

• Y a-t-il un coût associé aux nouveaux certificats ?
  • La réception des certificats 2023 à l’aide de Windows Update n’entraîne aucun coût direct, et les certificats 2023 sont déjà disponibles gratuitement sur la page Instructions pour la création et la gestion des clés Secure Boot de Windows . Toutefois, les mises à jour du BIOS pour les appareils hors service peuvent nécessiter une intervention manuelle ou un engagement de service, ce qui peut entraîner des coûts en fonction des contrats de support.
• Quelle est la durée du nouveau certificat ?
  • Les certificats de 2023 sont valables 15 ans (jusqu’en 2038).

Retour au début