Windows 11 vous alerte lorsque les certificats de démarrage sécurisé nécessitent une attention particulière.

Windows 11 vous alerte lorsque les certificats de démarrage sécurisé nécessitent une attention particulière.

Microsoft améliore l’application Sécurité Windows avec Secure Boot Certificate Insights

Dans une mise à jour importante, Microsoft améliore l’ application Sécurité Windows afin de fournir aux utilisateurs des informations complètes sur les mises à jour des certificats de démarrage sécurisé. Cette amélioration vise à aider les utilisateurs à mieux comprendre l’état de sécurité du démarrage de leur appareil, notamment compte tenu de l’expiration imminente des certificats en 2026.

Guides pour différents groupes d’utilisateurs

Pour accompagner cette mise à jour, Microsoft a publié deux guides détaillés destinés à des publics spécifiques : l’un pour les utilisateurs de Windows Famille et Professionnel, et l’autre pour les administrateurs informatiques des appareils d’entreprise. Les utilisateurs peuvent désormais consulter l’état du démarrage sécurisé directement dans l’application, sous Sécurité Windows > Sécurité des appareils > Démarrage sécurisé, ce qui leur permet de vérifier s’ils ont reçu les certificats 2023 les plus récents, s’ils utilisent encore des versions antérieures ou s’ils doivent prendre des mesures en raison de problèmes de compatibilité potentiels.

Le tableau de bord Sécurité Windows offre un moyen rapide et convivial de vérifier si vos fonctions de sécurité matérielles sont actives au niveau du système d'exploitation.
Affichage de l’état actif du démarrage sécurisé dans le tableau de bord Sécurité de Windows.

Informations clés mises à jour

Les certificats concernés ont été initialement émis en 2011 et expireront en 2026. Microsoft a mis en place un mécanisme de mise à jour automatique via Windows Update afin de simplifier ce processus. Les nouveaux indicateurs d’état seront déployés progressivement à partir d’ avril 2026, et des notifications supplémentaires ainsi que des options de contrôle utilisateur seront disponibles en mai 2026 pour accompagner au mieux les utilisateurs lorsqu’une action est nécessaire.

Certains systèmes ont déjà rencontré des difficultés pour implémenter les nouveaux certificats de démarrage sécurisé en raison de limitations liées au micrologiciel. Auparavant, les utilisateurs devaient effectuer des vérifications manuelles ou utiliser des outils en ligne de commande ; toutefois, la dernière mise à jour simplifie considérablement cette procédure.

Expérience utilisateur pour Windows Home et Pro

L’ application Sécurité Windows affichera désormais clairement l’état du certificat de démarrage sécurisé dans la section Sécurité de l’appareil > Démarrage sécurisé. Un badge d’état, accompagné d’une brève explication de l’état actuel de l’appareil, sera affiché.

Explication des indicateurs d’état :

  • Vert : Tous les composants sont entièrement à jour et fonctionnels.
  • Jaune : Une limitation potentielle existe, généralement due à des certificats plus anciens.
  • Rouge : Une action immédiate est requise car l’appareil ne peut pas recevoir les mises à jour nécessaires du démarrage sécurisé.

L’état sera également reflété par l’icône Sécurité Windows située dans la barre d’état système, reflétant ainsi l’état de sécurité global de l’appareil.

Comprendre le calendrier de déploiement

Cette importante mise à jour s’applique par défaut aux appareils Windows Home et Pro et débutera par l’affichage de l’état du démarrage sécurisé dans l’application à partir d’ avril 2026. Par la suite, en mai 2026, des notifications et des instructions améliorées seront proposées pour les appareils nécessitant une action ou ne pouvant pas recevoir de mises à jour.

Déchiffrer les icônes d’état du démarrage sécurisé

Une coche verte indique que l’appareil a bien reçu toutes les mises à jour nécessaires du certificat de démarrage sécurisé ainsi que la mise à jour du gestionnaire de démarrage. Aucune autre action n’est requise.

La section Secure Boot affiche l'état « entièrement mis à jour » avec une icône de coche verte.
Représentation visuelle de l’état du démarrage sécurisé entièrement mis à jour.

Une icône d’avertissement jaune signale généralement une limitation, indiquant souvent que l’appareil fonctionne encore avec d’anciens certificats. Cet avertissement reste affiché jusqu’à ce que l’appareil reçoive une mise à jour automatique, laquelle peut être retardée par des contraintes matérielles ou logicielles.

La section Secure Boot affiche l'état « Pas encore mis à jour » avec une icône d'avertissement jaune.
Représentation du statut « Pas encore mis à jour » avec une icône d’avertissement jaune.

Un problème plus grave est signalé par une icône d’arrêt rouge, indiquant que l’appareil ne peut pas recevoir les mises à jour critiques du démarrage sécurisé, qui affectent le processus de démarrage de Windows. Ce problème est d’autant plus préoccupant que les certificats approchent de leur date d’expiration, car les appareils non mis à jour peuvent rencontrer des failles de sécurité et des problèmes de compatibilité.

La section Démarrage sécurisé affiche l'état « Action requise » avec une icône d'arrêt rouge.
Illustration du statut « Action requise » représenté par une icône d’arrêt rouge.

Étapes suivantes en fonction de l’état du démarrage sécurisé

  • Pour résoudre les problèmes liés aux configurations plus anciennes, assurez-vous que les dernières mises à jour Windows sont installées et redémarrez votre appareil.
  • Si les mises à jour sont suspendues pour des raisons de compatibilité, soyez assuré que Microsoft les reprendra automatiquement une fois le problème résolu.
  • Si l’écran affiche des limitations matérielles ou logicielles, consultez le fabricant de l’appareil pour connaître les possibilités de mise à jour manuelle.
  • Pour les appareils qui ne sont plus conformes aux mises à jour requises, veuillez consulter les instructions pour effectuer la mise à jour à partir des anciens certificats.

Notifications système et interactions utilisateur

Le nouveau statut de démarrage sécurisé influencera la manière dont Windows communique les problèmes de sécurité à l’échelle du système. Un passage au jaune ou au rouge pourrait déclencher des alertes de sécurité plus importantes dans la barre d’état système.

L'icône de sécurité Windows dans la barre d'état système affiche une coche verte.
Icône de sécurité Windows dans la barre d’état système indiquant une coche verte.

À partir de mai 2026, les notifications s’étendront au-delà de l’application, garantissant ainsi une implication proactive des utilisateurs quant à la nécessité de leur attention.

Supprimer les notifications : ce que vous devez savoir

Les utilisateurs ont la possibilité d’ignorer les avertissements, mais il faut savoir que cela ne fait que masquer l’alerte :

  • Pour les statuts jaunes, la suppression du problème le fera disparaître temporairement, mais le problème restera visible dans l’application.
  • Pour les statuts rouges, la suppression nécessite l’approbation d’un administrateur via l’option « accepter le risque ».Il est essentiel de comprendre que les problèmes sous-jacents demeurent non résolus.

Une visibilité prolongée dans ces états d’avertissement peut éventuellement entraîner une perte d’accès aux futures mises à jour de sécurité cruciales liées au démarrage.

Expérience utilisateur anticipée

La plupart des utilisateurs peuvent s’attendre à ce que leurs appareils reçoivent automatiquement les mises à jour nécessaires via Windows Update ; un statut vert confirme un fonctionnement normal. Les alertes jaunes signalent généralement des problèmes de compatibilité, tandis que les alertes rouges indiquent des failles de sécurité potentiellement non résolues.

Les appareils qui ne reçoivent pas de certificats mis à jour peuvent fonctionner temporairement, mais risquent de rencontrer des problèmes lors des futures mises à jour, des modifications du micrologiciel ou de l’utilisation des fonctionnalités dépendantes du démarrage sécurisé. Par ailleurs, la gestion des appareils d’entreprise peut varier, car les politiques informatiques déterminent la visibilité de ces indicateurs, plutôt que l’interaction directe avec l’utilisateur.

Point de vue des administrateurs informatiques sur l’état du démarrage sécurisé

Dans les environnements d’entreprise gérant des appareils Windows et des serveurs Windows, les indicateurs d’état des certificats de démarrage sécurisé sont désactivés par défaut. Il incombe aux administrateurs de centraliser la gestion des mises à jour afin d’éviter toute confusion chez les utilisateurs due aux alertes.

Différences entre la gestion des serveurs et celle des périphériques d’entreprise

Windows Server se comporte différemment en matière de gestion du démarrage sécurisé. Bien que l’application Sécurité Windows soit accessible, le service de notification n’est pas activé automatiquement ; par conséquent, les vérifications d’état ne sont effectuées que si elles sont lancées manuellement.

Sur les appareils Windows 10 et Windows 11 gérés par l’entreprise, bien que les fonctionnalités des applications et la collecte des données d’état aient lieu, les indicateurs et les notifications restent masqués sauf s’ils sont activés intentionnellement.

Comment activer la visibilité de l’état du démarrage sécurisé pour les administrateurs informatiques

Les administrateurs informatiques peuvent activer cette fonctionnalité via une stratégie de registre en accédant à :

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender Security Center\Device security

Dans ce chemin :

  • Clé : HideSecureBootStates
  • Valeur 0 : Affiche l’état du démarrage sécurisé
  • Valeur 1 : Masque l’état du démarrage sécurisé

En l’absence de cette clé, le démarrage sécurisé est activé par défaut pour les utilisateurs Home/Pro, mais désactivé pour les utilisateurs Enterprise/Server.

Comprendre la stratégie de déploiement et les versions prises en charge

Le déploiement se déroulera en deux phases, en fonction des versions du système d’exploitation :

  • Phase 1 (avril 2026) : Introduction de la visibilité de l’état du démarrage sécurisé dans la sécurité Windows avec des indications claires et des liens d’assistance.
  • Phase 2 (mai 2026) : Mise en œuvre de notifications, d’options de rejet et d’états rouges, ainsi que de mesures plus strictes pour les configurations non prises en charge.

Ce déploiement concernera Windows 11, Windows 10 et les versions compatibles de Windows Server, en accord avec les mises à jour d’applications et cumulatives.

Gestion des attentes des entreprises vis-à-vis de Microsoft

Microsoft prévoit que les entreprises superviseront la distribution des certificats de démarrage sécurisé de manière centralisée, en utilisant des méthodologies de suivi structurées et des guides de démarrage sécurisé axés sur la conformité.

L’accent est mis sur la mise en œuvre des politiques plutôt que sur la seule sensibilisation des utilisateurs ou sur des interventions manuelles.

Implications pour les organisations

Sans surveillance adéquate, les appareils peuvent rester sur des certificats obsolètes sans déclencher aucune notification aux utilisateurs finaux, créant ainsi une faille dangereuse où les appareils semblent fonctionner normalement mais ne répondent pas aux normes de sécurité en constante évolution.

Les administrateurs doivent activement valider la compatibilité du micrologiciel des appareils, surveiller le déploiement des certificats et veiller à ce que les mises à jour soient effectuées en temps opportun sur tous les systèmes afin d’éviter de futures complications.

L’apparition des avertissements de démarrage sécurisé, en particulier ceux qui s’affichent en rouge ou en jaune, n’est pas arbitraire ; ils témoignent des efforts proactifs de Microsoft pour préparer les appareils à l’expiration prochaine des anciens certificats.

Toute notification reçue doit être perçue comme un appel à l’action plutôt que comme une source de frustration, apportant des éclaircissements sur la situation actuelle en matière de sécurité et les actions nécessaires pour atténuer les risques à venir.

Source et images

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *