Fini les vérifications obscures dans les journaux système. Windows 11 commence à afficher, dans Sécurité Windows, si votre PC a bien reçu les nouveaux certificats Secure Boot ou s’il faut agir.
Début avril, Microsoft détaillait la nouvelle signalétique censée accompagner le renouvellement des certificats Secure Boot avant l’expiration des anciennes autorités émises en 2011. Cette fois, on passe du principe à l’affichage réel. La dernière mise à jour de sécurité, déployée le 14 avril sur Windows 11 24H2 et 25H2 dans le cadre du Patch Tuesday, commence à faire apparaître dans l’application Sécurité Windows un état plus précis du démarrage sécurisé, en indiquant si les certificats 2023 ont bien été reçus par la machine.
Un suivi plus explicite pour les certificats Secure Boot
Jusqu’ici, l’utilisateur ou l’utilisatrice pouvait vérifier que Secure Boot était activé, mais pas vraiment savoir si le PC avait déjà intégré les nouveaux certificats. Pour obtenir l’information, il fallait encore fouiller dans les journaux système ou s’appuyer sur des outils plus techniques mis à disposition par Microsoft.
C’est désormais chose simplifiée puisque Redmond formalise enfin ce suivi dans Windows Security, sous Sécurité de l’appareil puis Secure Boot, à l’aide d’un indicateur visuel et d’une confirmation écrite précisant si le poste a bien reçu les mises à jour de certificats, quel est son statut et si une intervention est requise.
Pour rappel, un badge vert indique que l’appareil est protégé et qu’aucune action n’est nécessaire. Un badge jaune signale une recommandation, par exemple lorsqu’une mise à jour complémentaire peut être requise. Un badge rouge signifie que l’appareil a besoin d’une attention immédiate.
Les certificats Secure Boot 2023 sont distribués automatiquement via Windows Update sur les PC compatibles. Ce nouvel affichage pourrait toutefois ne pas apparaître immédiatement sur toutes les machines, son déploiement étant encore en cours. La généralisation de l’option est attendue d’ici la fin du mois d’avril.
Secure Boot est une fonction de l’UEFI qui vérifie, au démarrage, que les éléments chargés (bootloader, gestionnaire de démarrage, etc.) sont bien signés par une autorité de confiance. Les « certificats Secure Boot » correspondent à ces autorités et aux clés utilisées pour valider les signatures, afin d’empêcher l’exécution de composants modifiés ou malveillants avant le chargement de Windows. Le renouvellement est nécessaire quand des autorités arrivent en fin de validité ou doivent être remplacées pour des raisons de sécurité et de maintenance de la chaîne de confiance. Sans certificats à jour, un PC peut se retrouver dans une situation où certaines mises à jour/firmwares ou certains médias de démarrage légitimes ne sont plus reconnus comme fiables.
Que signifie « certificats Secure Boot 2011 » vs « 2023 » dans la chaîne de confiance UEFI ?Les mentions « 2011 » et « 2023 » renvoient à des générations d’autorités de certification/jeux de clés utilisés par l’écosystème Secure Boot (Microsoft et partenaires) pour signer des composants de démarrage. Concrètement, l’UEFI maintient des bases de données de clés et de signatures approuvées (et, à l’inverse, des éléments révoqués) qui déterminent ce qui peut s’exécuter au boot. Passer aux certificats 2023 permet de basculer sur des clés plus récentes, tout en gérant la transition avec l’existant pour éviter de « briquer » des machines ou de bloquer des environnements légitimes. Cette mise à jour est sensible car elle touche la couche la plus basse du démarrage, avant même le système d’exploitation.
Comment interpréter les badges vert, jaune et rouge dans Windows Security pour Secure Boot ?Le badge vert indique que Secure Boot est dans un état considéré comme conforme : protection active et certificats à jour, aucune action attendue. Le badge jaune correspond à une situation non bloquante mais à surveiller, typiquement quand une étape complémentaire ou une mise à jour additionnelle est recommandée pour finaliser l’état attendu. Le badge rouge signale qu’un problème nécessite une action, car la posture de sécurité au démarrage n’est pas jugée suffisante ou pas dans l’état requis. L’intérêt de cet affichage est de remplacer des vérifications techniques (journaux, outils) par un statut lisible, sans ambiguïté sur la nécessité d’intervenir.
