Dans la mise à jour Windows 11 avril 2026, en plus de permettre aux utilisateurs d'activer ou de désactiver Smart App Control sans réinstaller le système, Microsoft a également discrètement ajouté une amélioration importante liée à la sécurité au démarrage : le Centre de sécurité Windows peut désormais afficher directement l'état du certificat Secure Boot (Secure Boot), permettant aux utilisateurs de confirmer si leur ordinateur a appliqué la version 2023 du certificat Secure Boot.
Le certificat Secure Boot est utilisé pour vérifier si le logiciel exécuté pendant le processus de démarrage du système est digne de confiance. Si le certificat expire, il peut théoriquement être exploité par un logiciel malveillant au niveau du démarrage (bootkit) ou par des modifications non autorisées du code d'attaque de l'implant avant le démarrage complet du système. Les premiers certificats Secure Boot connus émis en 2011 expireront en juin 2026, et Microsoft a précédemment confirmé que ces anciens certificats seraient remplacés par de nouveaux certificats Secure Boot 2023 via Windows Update. Cependant, pour les utilisateurs ordinaires, il manque des méthodes intuitives et faciles à utiliser pour déterminer si leurs ordinateurs ont été remplacés par de nouveaux certificats.
Auparavant, les utilisateurs souhaitant confirmer si le certificat Secure Boot 2023 avait été appliqué ne pouvaient s'appuyer que sur des méthodes plus professionnelles telles que les commandes PowerShell ou les journaux de l'observateur d'événements, qui n'étaient évidemment pas adaptés aux opérations quotidiennes de la plupart des utilisateurs non techniques. Après la mise à jour d'avril, le Centre de sécurité Windows affiche directement pour la première fois l'état du certificat de démarrage sécurisé dans l'interface, résolvant ainsi ce problème de « boîte noire d'informations ». En prenant le propre appareil de l'auteur comme exemple, le Centre de sécurité Windows a montré que le certificat Secure Boot 2023 a été appliqué et a reçu une invite « Aucune autre action requise ».
Avant la mise à jour, le Centre de sécurité Windows affichait uniquement des informations indiquant si la fonction de démarrage sécurisé était activée sur la page « Sécurité des appareils ». Après la mise à jour, les utilisateurs pourront voir non seulement si Secure Boot est activé, mais également si le certificat a été mis à jour vers la dernière version. Cet état se trouve dans la zone « Secure Boot » sous « Device Security ». Après avoir terminé la mise à jour correspondante, l'interface donnera des commentaires plus détaillés sur l'état de sécurité.
Selon Microsoft, cette fonctionnalité d'affichage de l'état de démarrage sécurisé est intégrée à la mise à jour cumulative KB5083769 de Windows 11 et convient aux systèmes dotés de la build 26200.8246/26100.8246 ou de versions plus récentes. Cependant, tous les appareils ne verront pas cette fonctionnalité en même temps. Il est prévu que l'ensemble de la campagne couvre progressivement tous les appareils pris en charge d'ici la fin avril 2026. Microsoft a noté dans un document d'assistance que les certificats de la version 2023 sont émis automatiquement via Windows Update et que l'affichage de l'état dans le Centre de sécurité Windows indique aux utilisateurs si l'appareil a reçu ces mises à jour, son état actuel et si une action supplémentaire est requise.
Avec le nouveau design, les utilisateurs peuvent vérifier l'état du démarrage sécurisé via un chemin simple : ouvrez le Centre de sécurité Windows, entrez "Sécurité de l'appareil" - "Démarrage sécurisé" pour afficher le logo et le texte d'invite sur l'interface. Ce module utilise un système de marquage à trois couleurs similaire à un feu de circulation : le vert signifie « entièrement mis à jour, aucune action requise » ; le jaune signifie « il y a un avis de sécurité » et vous devrez peut-être contacter le fabricant de l'ordinateur pour mettre à jour le micrologiciel ; le rouge signifie « nécessite une attention immédiate », ce qui signifie généralement qu'en raison de limitations matérielles ou micrologicielles, Microsoft a des difficultés à appliquer le dernier certificat à l'appareil.
Plus précisément, lorsque la section Secure Boot affiche une coche verte, l'invite indique « Le périphérique est protégé et toutes les mises à jour de certificat requises ont été effectuées, aucune autre modification n'est requise. » Lorsqu'une icône d'avertissement jaune s'affiche, cela signifie que le système peut toujours fonctionner, mais qu'il existe des recommandations de sécurité, telles que la nécessité de revoir le contenu de l'invite et de mettre à jour le micrologiciel de l'appareil ou les composants associés conformément aux instructions. Si une icône rouge apparaît, cela signifie que le système doit gérer le démarrage sécurisé immédiatement. Cette situation se produit souvent sur des appareils dont les conditions matérielles ne peuvent pas répondre aux exigences de mise à jour du certificat, ou sur lesquels le démarrage sécurisé lui-même n'est pas activé.
Il convient de noter que le démarrage sécurisé est l'une des exigences matérielles obligatoires pour l'installation et l'exécution officielles de Windows 11. Pour les utilisateurs qui effectuent une mise à niveau de Windows 10 vers Windows 11 en contournant les vérifications matérielles par des moyens non officiels, le Centre de sécurité Windows est plus susceptible d'afficher une alerte rouge indiquant que le démarrage sécurisé n'est pas activé et que le dernier certificat est manquant. Microsoft rappelle que lorsqu'ils rencontrent cette situation, les utilisateurs doivent vérifier les paramètres BIOS/UEFI comme demandé ou contacter le fabricant de l'appareil dès que possible.
Microsoft a déclaré que la plupart des utilisateurs n'ont pas à trop s'inquiéter des problèmes de certificat de démarrage sécurisé, car le système émettra et appliquera automatiquement la version 2023 du certificat à la plupart des appareils compatibles via Windows Update. Cependant, les observations de Windows Latest montrent que les mises à jour des certificats de démarrage sécurisé sur certains appareils échouent en raison de limitations du micrologiciel, ce qui signifie que ces appareils risquent de ne pas pouvoir obtenir de nouveaux certificats pendant une longue période, et l'état correspondant du Centre de sécurité Windows continuera d'afficher des avertissements jaunes ou rouges.
Cela dit, même si vous ne recevez jamais de certificat Secure Boot 2023, cela ne signifie pas que l'appareil deviendra nécessairement instable ou immédiatement exposé à de graves risques de sécurité. Le rapport souligne que pour la plupart des consommateurs ordinaires, la probabilité d'être confronté à de véritables attaques simplement parce que le certificat Secure Boot n'a pas été mis à jour est encore faible. Cependant, du point de vue de la maintenance et de la conformité à long terme, garantissant que le micrologiciel peut être mis à jour, le démarrage sécurisé est activé normalement et l'obtention du dernier certificat autant que possible reste une étape clé pour améliorer la sécurité de l'ensemble de la machine.