Expiration du certificat de démarrage sécurisé Windows et mises à jour de l’autorité de certification

Qu’est-ce que le démarrage sécurisé ?

Le démarrage sécurisé est une fonctionnalité de sécurité du microprogramme UEFI (Unified Extensible Firmware Interface) qui permet de garantir que seuls les logiciels approuvés s’exécutent pendant la séquence de démarrage (démarrage) d’un appareil. Il fonctionne en vérifiant la signature numérique du logiciel de prédémarrage par rapport à un ensemble de certificats numériques approuvés (également appelés autorité de certification ou autorité de certification) stockés dans le microprogramme de l’appareil. En tant que standard du secteur, le démarrage sécurisé UEFI définit la façon dont le microprogramme de plateforme gère les certificats, authentifie le microprogramme et comment le système d’exploitation interagit avec ce processus. Pour plus d’informations sur UEFI et le démarrage sécurisé, consultez Démarrage sécurisé.

Le démarrage sécurisé a été introduit pour la première fois dans Windows 8 pour se protéger contre les menaces émergentes de logiciels malveillants prédémarrables (également appelés bootkit) à ce moment-là. Dans le cadre de l’initialisation de la plateforme, le démarrage sécurisé authentifie les modules de microprogramme avant l’exécution. Ces modules incluent les pilotes de microprogramme UEFI (tels que les roMs Option), les chargeurs de démarrage et les applications. Dernière étape du processus de démarrage sécurisé, le microprogramme vérifie si le démarrage sécurisé approuve le chargeur de démarrage. Ensuite, le microprogramme transmet le contrôle au chargeur de démarrage, qui à son tour vérifie, charge en mémoire et démarre le système d’exploitation Windows.

Le démarrage sécurisé définit le code approuvé par le biais d’une stratégie de microprogramme définie pendant la fabrication. Les modifications apportées à cette stratégie, telles que l’ajout ou la révocation de certificats, sont contrôlées par une hiérarchie de clés. Cette hiérarchie commence par la clé de plateforme (PK), généralement détenue par le fabricant du matériel, suivie de la clé d’inscription de clé (KEK) (également appelée clé d’échange de clés), qui peut inclure une clé KEK Microsoft et d’autres clés KEK OEM. La base de données de signature autorisée (DB) et la base de données de signature non autorisée (DBX) déterminent quel code peut s’exécuter dans l’environnement UEFI avant le démarrage du système d’exploitation. La base de données inclut des certificats gérés par Microsoft et l’OEM, tandis que dbX est mis à jour par Microsoft avec les dernières révocations. Toute entité avec une clé KEK peut mettre à jour la base de données et DBX.

Impact de l’expiration du certificat de démarrage sécurisé

Microsoft met à jour les certificats de démarrage sécurisé initialement émis en 2011 pour s’assurer que les appareils Windows continuent de vérifier les logiciels de démarrage approuvés. Ces anciens certificats commencent à expirer en juin 2026. Les appareils qui n’ont pas reçu les certificats 2023 les plus récents continueront de démarrer et de fonctionner normalement, et les mises à jour Windows standard continueront à s’installer. Toutefois, ces appareils ne pourront plus recevoir de nouvelles protections de sécurité pour le processus de démarrage précoce, notamment les mises à jour du Gestionnaire de démarrage Windows, des bases de données de démarrage sécurisé, des listes de révocation ou des atténuations pour les vulnérabilités de niveau de démarrage nouvellement découvertes. 

Au fil du temps, cela limite la protection de l’appareil contre les menaces émergentes et peut affecter les scénarios qui reposent sur l’approbation de démarrage sécurisé, tels que le renforcement de BitLocker ou les chargeurs de démarrage tiers. La plupart des appareils Windows reçoivent automatiquement les certificats mis à jour, et de nombreux fabricants OEM fournissent des mises à jour de microprogramme si nécessaire. Le fait de maintenir votre appareil à jour avec ces mises à jour permet de s’assurer qu’il peut continuer à recevoir l’ensemble complet des protections de sécurité que le démarrage sécurisé est conçu pour fournir.

Certificats de démarrage sécurisé Windows arrivant à expiration en 2026

Depuis que Windows a introduit la prise en charge du démarrage sécurisé, tous les appareils Windows ont transporté le même ensemble de certificats Microsoft dans la clé KEK et la base de données. Ces certificats d’origine approchent de leur date d’expiration, et votre appareil est affecté s’il a l’une des versions de certificat répertoriées. Pour continuer à exécuter Windows et à recevoir des mises à jour régulières pour votre configuration de démarrage sécurisé, vous devez mettre à jour ces certificats.

Terminologie

• KEK: Clé d’inscription de clé

• Autorité de certification : Autorité de certification

• DB: Base de données de signature de démarrage sécurisé

• DBX: Base de données de signature révoquée de démarrage sécurisé

Microsoft a émis des certificats mis à jour pour garantir la continuité de la protection du démarrage sécurisé sur les appareils Windows. Microsoft gérera le processus de mise à jour de ces nouveaux certificats sur une partie importante des appareils Windows. En outre, nous offrirons des conseils détaillés aux organisations qui gèrent leurs propres mises à jour d’appareils.

Appel à l’action

Vous devrez peut-être prendre des mesures pour vous assurer que votre appareil Windows reste sécurisé lorsque les certificats expirent en 2026. UEFI Secure Boot DB et KEK doivent être mis à jour avec les nouvelles versions de certificat 2023 correspondantes. Pour plus d’informations sur les nouveaux certificats, consultez Guide de création et de gestion des clés de démarrage sécurisé Windows. 

Vos actions varient en fonction du type d’appareil Windows dont vous disposez. Sélectionnez dans le menu de gauche le type d’appareil et l’action spécifique que vous devez effectuer.