Imaginez : votre ordinateur démarre normalement, mais sous le capot, une faille invisible le rend vulnérable aux attaques. C’est exactement ce qui pourrait arriver dès juin 2026 si vous n’avez pas mis à jour vos certificats UEFI. Ces petits fichiers, installés il y a 15 ans, arrivent en fin de vie et pourraient laisser la porte ouverte à des malwares sophistiqués. Pas de panique : une solution existe, et elle tient en quelques clics. On vous explique comment protéger votre machine sans vous prendre la tête.
UEFI, Secure Boot : de quoi parle-t-on vraiment ?
L’UEFI, c’est le petit logiciel intégré à votre carte mère qui fait le lien entre le matériel et Windows (ou Linux). Il a remplacé le bon vieux BIOS il y a 15 ans, et parmi ses fonctionnalités, il y a le Secure Boot. Ce système vérifie que seul un système d’exploitation certifié peut démarrer, bloquant ainsi les malwares qui tenteraient de s’infiltrer dès l’allumage. Problème : les certificats qui permettent cette vérification expirent en juin 2026. Sans mise à jour, votre PC pourrait accepter des logiciels malveillants sans sourciller. Microsoft a émis de nouveaux certificats en 2023, mais encore faut-il les installer. Et ça, c’est loin d’être automatique pour tout le monde.
Comment vérifier si votre PC est à jour (en 30 secondes)
Pas besoin d’être un expert pour vérifier l’état de vos certificats. Sous Windows 11, rendez-vous dans Paramètres > Confidentialité et sécurité > Sécurité Windows > Sécurité des appareils. Cherchez l’icône Démarrage sécurisé : une coche verte signifie que tout est bon. Un triangle jaune ? Il faut probablement une mise à jour manuelle du micrologiciel. Si l’icône est absente, ouvrez PowerShell (en mode administrateur) et copiez-collez ces deux commandes : `([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match ‘Windows UEFI CA 2023’)` puis `([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbdefault).bytes) -match ‘Windows UEFI CA 2023’)`. Si les deux renvoient True, vous êtes protégé. Sinon, direction Windows Update.
Mettre à jour : la marche à suivre (sans se tromper)
La mise à jour se fait via Windows Update (Paramètres > Windows Update > Rechercher les mises à jour). Attention : elle nécessite un redémarrage, car les certificats doivent être installés à la fois dans Windows et dans l’UEFI. Si vous utilisez Windows 10, sachez que son support s’arrête en octobre 2025 (sauf prolongation sous conditions), donc mieux vaut anticiper. Pour les utilisateurs de Linux, vérifiez que votre média d’installation intègre les nouveaux certificats. Enfin, si votre PC est ancien, une réinitialisation de l’UEFI (ou un changement de pile CMOS) pourrait rétablir les anciens certificats : un conflit à éviter absolument.
Et si la mise à jour échoue ? Les solutions de secours
Si Windows Update ne fonctionne pas, essayez de lancer la mise à jour manuellement via Paramètres > Mise à jour et sécurité > Options avancées > Mises à jour facultatives. Certains fabricants (Dell, HP, Lenovo) proposent aussi des outils dédiés pour mettre à jour l’UEFI. Si rien ne marche, contactez le support technique de votre marque : ils ont l’habitude de ce genre de problème depuis l’alerte du CERT-FR en avril 2026. Enfin, évitez de désactiver le Secure Boot, même temporairement : c’est comme laisser votre porte d’entrée grande ouverte en partant en vacances.
- Activez les mises à jour automatiques de Windows pour éviter les oublis (Paramètres > Windows Update > Options avancées > Mises à jour automatiques).
- Vérifiez l’état de vos certificats tous les 6 mois, surtout si vous utilisez un PC ancien ou un double boot (Windows + Linux).
- Si vous réinstallez Windows, utilisez une clé USB créée après 2023 pour éviter les conflits de certificats.
- Évitez de bidouiller les paramètres UEFI si vous ne maîtrisez pas : une mauvaise manipulation peut rendre votre PC inutilisable.
- Pour les pros : le dossier Secure Boot dans Windows 11 contient des scripts utiles pour les administrateurs système.
Mon PC va-t-il planter si les certificats expirent ?
Non, il démarrera normalement, mais il ne recevra plus de mises à jour de sécurité pour le démarrage. Résultat : des failles pourraient être exploitées par des malwares.
Je suis sous Windows 10 : suis-je concerné ?
Oui, tous les PC utilisant Secure Boot sont concernés, quel que soit le système. Mais Windows 10 arrive en fin de support en octobre 2025 : c’est le moment de migrer.
Puis-je désactiver Secure Boot pour éviter le problème ?
Techniquement oui, mais c’est une très mauvaise idée. Secure Boot protège contre les attaques au démarrage : le désactiver, c’est comme enlever la ceinture de sécurité en voiture.
Mon PC est trop vieux pour recevoir la mise à jour, que faire ?
Vérifiez sur le site du fabricant s’il propose une mise à jour du micrologiciel. Sinon, envisagez un renouvellement : un PC de plus de 10 ans cumule les risques de sécurité.
J’utilise Linux : comment savoir si mes certificats sont à jour ?
Les distributions récentes (Ubuntu 22.04+, Fedora 36+) intègrent les nouveaux certificats. Pour vérifier, consultez la documentation de votre distribution ou utilisez la commande `mokutil –sb-state`.
La mise à jour a échoué, et maintenant mon PC ne démarre plus. Que faire ?
Restaurez les paramètres UEFI par défaut via le BIOS (touche F2, F12 ou Suppr au démarrage). Si le problème persiste, contactez un professionnel : ne forcez pas le redémarrage.
