Comment vérifier si votre PC possède les nouveaux certificats Secure Boot 2023 (Windows UEFI CA 2023)

Pourquoi les certificats Secure Boot expirent-ils en 2026 ?

Les trois autorités de certification Secure Boot originales de Microsoft, émises en 2011, commencent à expirer à partir de juin 2026. Présents dans pratiquement tous les PC Windows construits depuis 2012, ces certificats valident les logiciels au niveau du démarrage. Sans les nouveaux certificats 2023, les appareils non mis à jour :

• Ne pourront plus recevoir de mises à jour de sécurité pour Secure Boot après juin 2026
• Ne feront plus confiance aux firmwares tiers signés avec les nouveaux certificats
• Ne recevront plus de correctifs de sécurité pour le Gestionnaire de démarrage Windows après octobre 2026
• Resteront vulnérables aux bootkits comme BlackLotus (CVE-2023-24932)

Microsoft distribue trois certificats de remplacement 2023 via Windows Update dans un déploiement progressif :

• Windows UEFI CA 2023 — remplace Windows Production PCA 2011 (signe le chargeur de démarrage Windows)
• Microsoft UEFI CA 2023 / Microsoft Option ROM UEFI CA 2023 — remplace UEFI CA 2011 (signe les pilotes tiers)
• Microsoft Corporation KEK 2K CA 2023 — remplace KEK CA 2011 (signe les mises à jour de la DB et de la DBX)

De nombreux PC fabriqués depuis 2024 incluent déjà ces certificats. Les appareils plus anciens les reçoivent via les mises à jour Windows mensuelles.

Étape 1 — Vérifier que le Secure Boot est activé

Ouvrez PowerShell en tant qu’Administrateur (clic droit sur Démarrer → Windows PowerShell (Admin) ou Terminal (Admin)) et exécutez :

Confirm-SecureBootUEFI

True = Secure Boot est activé. False = Secure Boot est désactivé — vous ne pouvez pas recevoir ni appliquer les certificats 2023 avec le Secure Boot désactivé. N’activez/désactivez pas le Secure Boot, car cela peut réinitialiser les variables de certificats UEFI aux valeurs d’usine.

Étape 2 — Vérifier le certificat Windows UEFI CA 2023 (une seule commande)

Il s’agit de la méthode officielle et la plus simple. Dans la même fenêtre PowerShell (Admin), exécutez :

([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023')

True = Votre PC possède le nouveau certificat Windows UEFI CA 2023. Vous êtes protégé.
False = Votre PC utilise encore le certificat 2011 qui expire. Vérifiez Windows Update pour les mises à jour en attente (y compris les mises à jour optionnelles et les firmwares).

Étape 3 — Vérifier les trois certificats 2023

Pour vérifier les trois certificats de remplacement (DB et KEK), exécutez ces commandes :

# Vérifier la DB pour les deux nouveaux certificats 2023
$db = [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes)
$db -match 'Windows UEFI CA 2023'      # Doit retourner True
$db -match 'Microsoft UEFI CA 2023'    # Doit retourner True

# Vérifier la KEK pour le nouveau certificat 2023
$kek = [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI KEK).bytes)
$kek -match 'KEK 2K CA 2023'           # Doit retourner True

Les trois résultats à True indiquent que votre système est entièrement mis à jour avec les certificats 2023.

Que faire si le résultat est False ?

Si l’un des résultats retourne False, votre PC n’a pas encore reçu les certificats 2023. Suivez ces étapes :

1. Ouvrez Paramètres → Windows Update et cliquez sur Vérifier les mises à jour
2. Sous Options avancées → Mises à jour optionnelles, installez toutes les mises à jour de firmware ou de pilotes disponibles
3. La mise à jour KB5074109 (janvier 2026 et ultérieure) déclenche le processus de vérification et de déploiement des certificats — assurez-vous qu’elle est installée
4. Redémarrez votre PC après les mises à jour
5. Réexécutez la commande PowerShell ci-dessus pour confirmer

Important : Microsoft déploie ces mises à jour progressivement. Si vous voyez False, il est possible que la mise à jour n’ait pas encore atteint votre appareil. Gardez Windows Update activé et revérifiez après quelques semaines.

Observateur d’événements : TPM-WMI ID d’événement 1801

Après la mise à jour du Patch Tuesday de février 2026, de nombreux utilisateurs Windows 11 voient TPM-WMI ID d’événement 1801 dans l’Observateur d’événements. Il ne s’agit pas d’une erreur — c’est une entrée de journal confirmant que Windows a vérifié ou mis à jour votre statut de certificat Secure Boot. Aucune action n’est requise si cet événement apparaît avec un résultat True à la commande PowerShell ci-dessus.

Considérations pour les entreprises et les administrateurs IT

Pour les organisations gérant des flottes de PC Windows via WSUS, Configuration Manager ou Microsoft Intune :

• Microsoft recommande fortement d’appliquer les mises à jour des certificats bien avant juin 2026
• SCCM/MEM 2509 et versions ultérieures incluent une nouvelle option sur les images de démarrage : « Utiliser le chargeur de démarrage Windows signé avec Windows UEFI CA 2023 »
• Les appareils avec Secure Boot désactivé ne peuvent pas recevoir les mises à jour de certificats — inventoriez ces appareils et activez le Secure Boot avant le déploiement
• Testez les mises à jour de certificats sur un groupe pilote avant un déploiement généralisé — un firmware incompatible peut nécessiter des mises à jour OEM au préalable
• Consultez la page de statut du déploiement des certificats Secure Boot de Microsoft pour suivre l’avancement du déploiement progressif