Si vous avez entendu que les certificats Secure Boot de Windows arrivent à expiration en 2026, il est logique de vouloir vérifier si votre PC dispose déjà des remplacements déployés en 2023. Ce contrôle se réalise rapidement et sans compétences techniques avancées, et il vous permettra d’anticiper d’éventuels problèmes de démarrage ou de sécurité. En quelques commandes PowerShell et quelques vérifications dans le firmware UEFI, vous saurez si les certificats Secure Boot 2023 (« Windows UEFI CA 2023 ») sont présents et si votre machine est prête pour l’expiration 2026.
Pourquoi vaut-il la peine de vérifier les certificats Secure Boot ?
La protection Secure Boot agit au tout début du démarrage pour empêcher des malwares de s’injecter avant que Windows ne prenne la main. Depuis 2011, des certificats numériques définissent les signatures autorisées au démarrage et ces certificats ont une durée de vie limitée. Microsoft a publié de nouveaux certificats en 2023 pour remplacer les anciens et éviter des interruptions liées à l’expiration.
Un PC qui reçoit correctement les mises à jour via Windows Update aura généralement ces certificats automatiquement. Pourtant, certains ordinateurs plus anciens ou mal configurés peuvent tarder à recevoir la mise à jour ou nécessiter une mise à jour du firmware UEFI. Vérifier préventivement évite les surprises à l’approche de 2026.
Si vous administrez plusieurs machines, cette vérification devient d’autant plus importante pour maintenir la conformité et la sécurité globale. En inspectant la configuration Active et la base par défaut, vous comprendrez si les certificats sont seulement appliqués temporairement ou inscrits durablement dans le firmware.
Quelle différence entre Active DB et DBDefault ?
La base Active, souvent nommée DB, contient les certificats actuellement utilisés par Windows au démarrage. Cette base est stockée dans la NVRAM de la carte mère et peut être modifiée par des mises à jour logicielles.
La base par défaut, appelée DBDefault, représente les certificats intégrés dans la puce UEFI du fabricant. Elle sert de référence permanente et ne se met à jour que via une mise à jour du firmware fournie par le constructeur.
Lorsque les certificats 2023 apparaissent dans la DBDefault, la configuration est la plus robuste. Après une réinitialisation des paramètres Secure Boot, ces certificats restent présents si le firmware les contient, ce qui évite de dépendre uniquement de Windows Update.
Comment vérifier rapidement si mon PC a les certificats Windows UEFI CA 2023 ?
Ouvrir PowerShell avec les droits administrateur constitue la première étape incontournable. Sur la plupart des versions de Windows, vous pouvez faire un clic droit sur le bouton Démarrer puis choisir Terminal (administrateur) ou Windows PowerShell (administrateur). Si l’UAC demande une confirmation, acceptez pour poursuivre.
- Après ouverture, collez la commande suivante pour interroger la base Active et appuyez sur Entrée.
([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023')Une sortie True signifie que la base Active contient déjà le certificat 2023 et que votre système démarre avec cette signature. Une sortie False indique que la machine utilise encore l’ancien certificat 2011 ou qu’aucune mise à jour n’a été appliquée à la base Active.
Comment savoir si le firmware UEFI intègre les certificats 2023 ?
Pour vérifier la DBDefault inscrite dans le firmware, lancez la commande suivante dans la même session PowerShell élevée.
([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbdefault).bytes) -match 'Windows UEFI CA 2023')Si la commande renvoie True, le fabricant a inclus les certificats 2023 dans le firmware UEFI de la carte mère. Cette situation est fréquente sur les machines récentes ou après une mise à jour du BIOS/UEFI fournie par le constructeur.
En revanche, un résultat False n’est pas forcément critique si la base Active est à jour via Windows Update. Un firmware sans les certificats ne protège pas contre une réinitialisation qui replacerait l’ancien jeu de certificats.
Comment interpréter les différents résultats obtenus ?
Les combinaisons possibles entre Active DB et Default DB permettent d’évaluer l’état réel de votre protection Secure Boot. Comprendre chaque cas vous aidera à décider des actions à entreprendre sur une machine isolée ou un parc entier.
| Active DB | Default DB | Signification | Action recommandée |
|---|---|---|---|
| True | True | Le système utilise les certificats 2023 et le firmware les conserve durablement. | Rien à faire, configuration optimale. |
| True | False | Windows Update a mis les certificats dans la DB Active mais le firmware ne les intègre pas. | Surveiller les mises à jour firmware et installer si disponible. |
| False | True | Le firmware contient les certificats 2023 mais le système n’a pas encore basculé. | Vérifier les mises à jour Windows pour copier la DBDefault vers la DB Active. |
| False | False | Aucun certificat 2023 installé ni par Windows Update ni par le firmware. | Appliquer les mises à jour et vérifier la compatibilité du firmware. |
Si vous gérez plusieurs machines, un état False/False sur plusieurs postes mérite une action coordonnée. Installer les mises à jour Windows et, au besoin, planifier des mises à jour du firmware chez le fabricant permettra d’harmoniser le parc.
Que faire si les certificats 2023 ne sont pas présents sur ma machine ?
Commencez par confirmer que Secure Boot est activé sur l’ordinateur. L’outil Informations système (msinfo32) indique l’état du démarrage sécurisé et permet de vérifier rapidement si la fonctionnalité est activée.
Ensuite, installez toutes les mises à jour disponibles via Paramètres → Windows Update, en n’omettant pas les mises à jour optionnelles et les drivers. Microsoft distribue la plupart des certificats 2023 par ce canal, et un système à jour reçoit souvent la correction automatiquement.
En cas d’absence persistante, consultez le Registre et l’état de déploiement via PowerShell pour mieux comprendre l’avancement. La clé HKLM:SYSTEMCurrentControlSetControlSecureBootServicing contient des valeurs utiles comme WindowsUEFICA2023Capable et UEFICA2023Status qui renseignent sur l’état et les éventuelles erreurs.
Si le firmware doit être mis à jour, rendez-vous sur le site du fabricant (Dell, HP, Lenovo, Asus, Microsoft Surface, etc.) pour vérifier l’existence d’un BIOS/UEFI intégrant les certificats 2023. Suivez strictement la procédure du fabricant pour mettre à jour le firmware afin d’éviter tout risque.
Enfin, évitez toute tentation de contourner le problème en désactivant Secure Boot. Cette action diminuerait significativement la sécurité du PC et exposerait la machine à des attaques dès le démarrage.
Nicolas Roux est un rédacteur spécialisé en jeux vidéo et en informatique. Avec une vaste expérience dans l’univers du gaming, il analyse les tendances vidéoludiques et les innovations technologiques pour Teknologik.fr.
