S’applique à
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Date de publication d’origine : 26 juin 2025

ID de la base de connaissances : 5062710

Qu’est-ce que le démarrage sécurisé ?

Le démarrage sécurisé est une fonctionnalité de sécurité du microprogramme UEFI (Unified Extensible Firmware Interface) qui permet de garantir que seuls les logiciels approuvés s’exécutent pendant la séquence de démarrage (démarrage) d’un appareil. Il fonctionne en vérifiant la signature numérique du logiciel de prédémarrage par rapport à un ensemble de certificats numériques approuvés (également appelés autorité de certification ou autorité de certification) stockés dans le microprogramme de l’appareil. En tant que standard du secteur, le démarrage sécurisé UEFI définit la façon dont le microprogramme de plateforme gère les certificats, authentifie le microprogramme et comment le système d’exploitation interagit avec ce processus. Pour plus d’informations sur UEFI et le démarrage sécurisé, consultez Démarrage sécurisé.

Le démarrage sécurisé a été introduit pour la première fois dans Windows 8 pour se protéger contre les menaces émergentes de logiciels malveillants prédémarrables (également appelés bootkit) à ce moment-là. Dans le cadre de l’initialisation de la plateforme, le démarrage sécurisé authentifie les modules de microprogramme avant l’exécution. Ces modules incluent les pilotes de microprogramme UEFI (tels que les roMs Option), les chargeurs de démarrage et les applications. Dernière étape du processus de démarrage sécurisé, le microprogramme vérifie si le démarrage sécurisé approuve le chargeur de démarrage. Ensuite, le microprogramme transmet le contrôle au chargeur de démarrage, qui à son tour vérifie, charge en mémoire et démarre le système d’exploitation Windows.

Le démarrage sécurisé définit le code approuvé par le biais d’une stratégie de microprogramme définie pendant la fabrication. Les modifications apportées à cette stratégie, telles que l’ajout ou la révocation de certificats, sont contrôlées par une hiérarchie de clés. Cette hiérarchie commence par la clé de plateforme (PK), généralement détenue par le fabricant du matériel, suivie de la clé d’inscription de clé (KEK) (également appelée clé d’échange de clés), qui peut inclure une clé KEK Microsoft et d’autres clés KEK OEM. La base de données de signature autorisée (DB) et la base de données de signature non autorisée (DBX) déterminent quel code peut s’exécuter dans l’environnement UEFI avant le démarrage du système d’exploitation. La base de données inclut des certificats gérés par Microsoft et l’OEM, tandis que dbX est mis à jour par Microsoft avec les dernières révocations. Toute entité avec une clé KEK peut mettre à jour la base de données et DBX.

Certificats de démarrage sécurisé Windows arrivant à expiration en 2026

Depuis que Windows a introduit la prise en charge du démarrage sécurisé, tous les appareils Windows ont transporté le même ensemble de certificats Microsoft dans la clé KEK et la base de données. Ces certificats d’origine approchent de leur date d’expiration, et votre appareil est affecté s’il a l’une des versions de certificat répertoriées. Pour continuer à exécuter Windows et à recevoir des mises à jour régulières pour votre configuration de démarrage sécurisé, vous devez mettre à jour ces certificats.

Terminologie

  • KEK : Clé d’inscription de clé

  • CA: Autorité de certification

  • DB: Base de données de signature de démarrage sécurisé

  • DBX : Base de données de signature révoquée de démarrage sécurisé

Certificat arrivant à expiration

Date d’expiration

Nouveau certificat

Emplacement de stockage

Fonction

Microsoft Corporation KEK CA 2011

Juin 2026

Microsoft Corporation KEK CA 2023

Stocké dans la clé KEK

Signe les mises à jour de la base de données et de DBX.

Microsoft Windows Production PCA 2011

Octobre 2026

Windows UEFI CA 2023

Stocké dans la base de données

Utilisé pour signer le chargeur de démarrage Windows.

Microsoft UEFI CA 2011*

Juin 2026

Microsoft UEFI CA 2023

Stocké dans la base de données

Signe des chargeurs de démarrage tiers et des applications EFI.

Microsoft UEFI CA 2011*

Juin 2026

Microsoft Option ROM CA 2023

Stocké dans la base de données

Signe des roMs d’option tierces

*Lors du renouvellement du certificat MICROSOFT Corporation UEFI CA 2011, deux certificats séparent la signature du chargeur de démarrage de la signature ROM d’option. Cela permet un contrôle plus précis de l’approbation système. Par exemple, les systèmes qui ont besoin d’approuver des roMs d’option peuvent ajouter l’option MICROSOFT ROM UEFI CA 2023 sans ajouter d’approbation pour les chargeurs de démarrage tiers.

Microsoft a émis des certificats mis à jour pour garantir la continuité de la protection du démarrage sécurisé sur les appareils Windows. Microsoft gérera le processus de mise à jour de ces nouveaux certificats sur une partie importante des appareils Windows. En outre, nous offrirons des conseils détaillés aux organisations qui gèrent leurs propres mises à jour d’appareils.

Important Lorsque les autorités de certification 2011 expirent, les appareils Windows qui n’ont pas de nouveaux certificats 2023 ne peuvent plus recevoir de correctifs de sécurité pour les composants de prédémarreurs compromettant la sécurité de démarrage de Windows.

Appel à l’action

Vous devrez peut-être prendre des mesures pour vous assurer que votre appareil Windows reste sécurisé lorsque les certificats expirent en 2026. UEFI Secure Boot DB et KEK doivent être mis à jour avec les nouvelles versions de certificat 2023 correspondantes. Pour plus d’informations sur les nouveaux certificats, consultez Guide de création et de gestion des clés de démarrage sécurisé Windows

Important Sans mises à jour, les appareils Windows activés pour le démarrage sécurisé risquent de ne pas recevoir de mises à jour de sécurité ou d’approuver de nouveaux chargeurs de démarrage, ce qui compromettra la facilité de maintenance et la sécurité.

Vos actions varient en fonction du type d’appareil Windows dont vous disposez. Sélectionnez dans le menu de gauche le type d’appareil et l’action spécifique que vous devez effectuer.  

Facebook LinkedIn E-mail
ABONNER LES FLUX RSS

Besoin d’aide ?

Vous voulez plus d’options ?

Explorez les avantages de l’abonnement, parcourez les cours de formation, découvrez comment sécuriser votre appareil, etc.

Avantages de l’abonnement Microsoft 365

Formation Microsoft 365

Sécurité Microsoft

Centre d’accessibilité