Après plus de quinze ans durant lesquels les certificats Secure Boot n’avaient jamais été mis à jour sur les appareils Windows, Microsoft amorce un changement historique en déployant de nouveaux certificats via la mise à jour KB5074109 en janvier 2025. Cette initiative marque une étape cruciale dans la sécurisation du processus de démarrage, vital pour protéger les machines contre les malwares relégués dans le firmware. La transition concerne principalement tous les PC équipés de Windows, avec une échéance fixée à juin 2026 pour l’expiration des anciennes clés, obligeant les utilisateurs à effectuer une mise à jour pour maintenir un démarrage sécurisé optimal.
Les nouvelles clés, baptisées “Windows UEFI CA 2023”, sont intégrées dans la majorité des nouveaux appareils achetés en 2024 ou ultérieurement. Pour ceux disposant de machines plus anciennes, une vérification manuelle s’impose : il suffit de consulter leurs paramètres Windows Update et de s’assurer de la présence de la KB5074109. Sur Windows 11, le processus s’effectue de façon transparente, sans intervention de l’utilisateur, grâce à la mise à jour automatique. La mise à jour concerne aussi la base de données DBX, qui aide à blacklister les signatures compromises et à renforcer la sécurité contre les bootkits, des attaques devenues de plus en plus sophistiquées.
Microsoft agit enfin pour renouveler la racine de confiance, mais la dépendance à la mise à jour reste essentielle pour garantir une protection à long terme.
Ce changement est particulièrement critique pour les utilisateurs sous Windows 10, surtout ceux ne bénéficiant pas du programme payant ESU (Extended Security Updates). En effet, Microsoft ne fournira pas ces nouveaux certificats à ces utilisateurs, laissant leurs systèmes avec des clés périmées à partir de juin 2026. Pour vérifier si votre système est à jour, il est recommandé d’utiliser PowerShell avec la commande Confirm-SecureBootUEFI, et de confirmer que la KB5074109 est bien installée. Si cette étape n’est pas réalisée, le mode de démarrage sécurisé pourrait fonctionner en mode dégradé, compromettant ainsi la sécurité de votre ordinateur.
Ce déploiement représente un tournant majeur dans la sécurité de l’écosystème Windows, mais il souligne aussi la dépendance des utilisateurs à la mise à jour pour maintenir la protection. La fin de la période transitoire en juin 2026 soulève des questions sur la gestion des appareils plus anciens, qui resteront vulnérables si aucune mise à jour n’est effectuée. La communauté de sécurité et les professionnels doivent rester vigilants pour assurer une transition en douceur, tout en anticipant d’éventuelles nouvelles vulnérabilités qui pourraient apparaître dans ce contexte en évolution constante.
En résumé, cette mise à jour historique de Microsoft commence à changer la donne pour le processus de démarrage sécurisé, mais seul un effort constant de la part des utilisateurs garantit la continuité de cette sécurisation essentielle contre la menace croissante des attaques complexes comme les bootkits.
