Microsoft a récemment rappelé aux utilisateurs que le certificat de cryptage utilisé pour le démarrage sécurisé dans l'écosystème Windows est sur le point de subir une mise à niveau. Le certificat Secure Boot initial, utilisé depuis plus de 15 ans depuis le lancement de Windows 8, expirera en juin 2026 et devra être remplacé par un nouveau certificat pour maintenir la sécurité pendant la phase de démarrage du système.
Secure Boot est une fonctionnalité de sécurité au niveau du micrologiciel introduite dans le cadre de la spécification UEFI. Son objectif principal est d'empêcher le chargement d'un code de démarrage potentiellement malveillant avant le démarrage du système d'exploitation. Par conséquent, sa racine de confiance (certificats et clés) doit être mise à jour régulièrement pour éviter que les anciens identifiants ne deviennent un point faible dans les attaques dues au vieillissement cryptographique. Nuno Costa, responsable de programme du département Windows Services and Delivery de Microsoft, a déclaré sur le blog officiel que le retrait des anciens certificats et l'introduction de nouveaux certificats sont une pratique standard dans l'industrie et aident la plate-forme à toujours se conformer aux attentes de sécurité modernes.
Microsoft a en fait publié une nouvelle version du certificat de démarrage sécurisé en 2023, mais le certificat d'origine est chargé de valider le processus de démarrage depuis Windows 8. Les utilisateurs et les entreprises peuvent obtenir de nouveaux certificats via divers canaux fiables, notamment les mises à jour du micrologiciel UEFI publiées par les fabricants de cartes mères. Dans le même temps, Microsoft intégrera également les nouveaux certificats dans les correctifs mensuels et les mises à jour de sécurité, qui seront automatiquement distribuées via Windows Update. Les environnements d'entreprise peuvent utiliser divers outils de gestion pour personnaliser le processus push. Microsoft décrit cette mise à jour de certificat comme l'une des plus grandes opérations coordonnées de maintenance de sécurité de l'écosystème Windows.
Étant donné que Secure Boot s'exécute au niveau de la couche du micrologiciel et affecte directement la façon dont le PC démarre, cette mise à niveau nécessite que Microsoft travaille en étroite collaboration avec les fabricants de matériel, les OEM et d'autres partenaires pour mettre à jour le micrologiciel de millions d'appareils Windows afin d'éviter des réactions en chaîne telles que des échecs de démarrage généralisés. Les appareils encore dans le cycle de support de Microsoft (y compris les machines Windows 11 et Windows 10 participant au programme de mise à jour de sécurité étendue) peuvent recevoir le nouveau certificat via Windows Update, tandis que les PC plus anciens ne pourront pas installer cette mise à jour et seront relativement moins sécurisés.
Costa a souligné que les appareils qui s'appuient encore sur l'ancien certificat de 2011 démarreront normalement à court terme, mais seront considérés comme étant dans un état de sécurité « dégradé », et que ces appareils pourraient ne pas recevoir de nouvelles capacités de protection au niveau du micrologiciel à l'avenir. À mesure que de nouvelles vulnérabilités de la couche de démarrage sont découvertes, si les mesures d'atténuation correspondantes ne peuvent pas être installées, l'exposition des systèmes associés continuera de s'étendre et pourrait même entraîner des problèmes de compatibilité à long terme. Par exemple, les systèmes d'exploitation, micrologiciels, matériels ou logiciels mis à jour qui reposent sur Secure Boot ne pourront pas être chargés. Les fabricants de PC tels que Dell ont fourni des instructions pour vérifier si le système prend en charge le nouveau certificat de démarrage sécurisé afin de permettre aux utilisateurs de confirmer l'état de leurs appareils.
Pour les ordinateurs qui n'activent pas du tout le démarrage sécurisé, les opérations quotidiennes ne seront généralement pas directement affectées. Cependant, Secure Boot a rencontré de nombreux incidents de sécurité graves depuis sa création, notamment « PKfail », qui a révélé des problèmes de mise en œuvre et de gestion. Néanmoins, ce mécanisme devient de plus en plus obligatoire pour certains jeux en ligne et MOBA, ce qui signifie que les utilisateurs exécutant Linux ou une version antérieure mais encore un matériel de jeu suffisamment puissant peuvent être confrontés à l'exclusion ou à des barrières d'entrée plus élevées lorsqu'ils participent à ces jeux de nouvelle génération.