Certificats de démarrage sécurisé Surface
Le démarrage sécurisé est une fonctionnalité de sécurité du microprogramme UEFI (Unified Extensible Firmware Interface) qui permet de garantir que seuls les logiciels approuvés s’exécutent pendant la séquence de démarrage (démarrage) d’un appareil. Il fonctionne en vérifiant la signature numérique du logiciel de prédémarrage par rapport à un ensemble de certificats numériques approuvés (également appelés autorité de certification ou autorité de certification) stockés dans le microprogramme de l’appareil. En tant que standard du secteur, le démarrage sécurisé UEFI définit la façon dont le microprogramme de plateforme gère les certificats, authentifie le microprogramme et comment le système d’exploitation interagit avec ce processus.
Certificats de démarrage sécurisé Windows arrivant à expiration en 2026
Pour sécuriser votre appareil Windows, Microsoft met à jour les certificats utilisés par le démarrage sécurisé, une fonctionnalité de sécurité qui permet de protéger vos appareils contre les programmes malveillants au démarrage. Ces certificats, initialement émis en 2011, doivent expirer à partir de juin 2026. Pour rester protégé, votre appareil doit recevoir un ensemble plus récent de certificats de démarrage sécurisé 2023. Pour la plupart des utilisateurs, les mises à jour nécessaires sont fournies automatiquement via Windows Mises à jour sans aucune action de l’utilisateur.
Vous pouvez vérifier si les mises à jour ont été correctement appliquées via l’application Sécurité Windows, comme décrit dans status de mise à jour du certificat de démarrage sécurisé dans l’application Sécurité Windows. Les professionnels de l’informatique d’un organization peuvent également vérifier status pour les appareils gérés via un script de détection PowerShell.
Quel est l’impact sur les appareils Surface ?
Tous les appareils Surface publiés en 2024 et versions ultérieures disposent d’une base de données de signature de démarrage sécurisé UEFI mise à jour qui contient les certificats de démarrage sécurisé 2023 les plus récents. Pour les appareils Surface antérieurs, si vous ne souhaitez pas attendre que les mises à jour nécessaires soient remises automatiquement via Windows Update et que ces appareils disposent déjà de mises à jour gérées par le service informatique, plusieurs méthodes de déploiement sont disponibles :
· méthode stratégie de groupe Objects (GPO)
Certains appareils Surface peuvent également déployer ces mises à jour de démarrage sécurisé via leur UEFI, mais cela nécessite des étapes supplémentaires et une intervention de l’utilisateur. Le tableau ci-dessous indique quels appareils disposent de ces mises à jour prêtes pour un déploiement manuel, mais cela déclenche un scénario de récupération BitLocker. Vérifiez donc que votre clé de récupération BitLocker est disponible si vous effectuez les étapes suivantes :
1. Démarrez dans le menu des paramètres du microprogramme UEFI en maintenant le volume et l’alimentation
2. Accédez à la section Sécurité et sous Démarrage sécurisé , cliquez sur le bouton « Modifier la configuration »
3. Sélectionnez « Microsoft uniquement » dans le menu déroulant et choisissez OK.
4. Sur le côté gauche du menu des paramètres, choisissez l’option Quitter , puis « Redémarrer maintenant »
Quelle que soit la méthode utilisée pour mettre à jour les certificats de démarrage sécurisé, tous les appareils Surface figurant dans le tableau ci-dessous (et ceux publiés en 2024 et versions ultérieures) disposent d’images de récupération mises à jour disponibles auprès de Microsoft qui nécessitent ces certificats.
| Nom du produit | Version UEFI minimale avec mises à jour de démarrage sécurisé disponibles |
|---|---|
| Surface Hub 31 | 6.104.143.0 |
| Surface Go 4 | 8.200.143.0 |
| Surface Laptop Go 3 | 10.200.143.0 |
| Surface Laptop Studio 2 | 16.200.143.0 |
| Surface Laptop 5 | 9.200.143.0 |
| Surface Pro 9 | 12.200.143.0 |
| Surface Pro 9 avec 5G | 18.7.235.0 |
| Kit de développement Windows 2023 | 12.6.235.0 |
| Surface Studio 2+ | 20.101.143.0 |
| Surface Laptop Go 2 | 26.102.143.0 |
| Surface Laptop SE | 7.9.139.0 |
| Surface Pro X Wi-Fi | 10.703.140.0 |
| Surface Go 3 | 11.200.143.0 |
| Surface Pro 8 | 23.200.143.0 |
| Surface Laptop Studio | 23.200.143.0 |
| Surface Laptop 4 (Intel) | 23.200.143.0 |
| Surface Laptop 4 (AMD) | 4.200.140.0 |
| Surface Pro 7+ | 23.200.143.0 |
| Surface Pro 7 | 17.200.140.0 |
| Surface Book 3 | 17.200.140.0 |
1Les images de récupération Surface Hub 3 peuvent être utilisées avec les appareils Hub 2S qui ont été migrés vers Windows 11.
Options supplémentaires pour les professionnels de l’informatique et les organisations
Le Kit de déploiement et d’évaluation Windows (ADK) a ajouté la prise en charge de l’autorité de certification 2023 dans la version 10.1.26100.2454 (décembre 2024) et de nouvelles images WinPE (Windows Preinstallation Environment) peuvent être créées avec le certificat mis à jour. Les images préexistantes peuvent être mises à jour en suivant les instructions fournies ici : Mise à jour du support de démarrage Windows pour utiliser le PCA2023 gestionnaire de démarrage signé.