C'est un fait : De nombreux certificats de démarrage sécurisé expirent bientôt.Des milliers d'ordinateurs se retrouvent ainsi exposés à de graves menaces. Comment savoir si le vôtre est concerné ? Dans cet article, nous vous expliquons comment déterminer si vous devez mettre à jour vos certificats de démarrage sécurisé et comment procéder.
Qu'est-ce que le démarrage sécurisé et pourquoi dépend-il des certificats ?
Démarrage sécurisé : vous avez probablement déjà vu ce nom plusieurs fois ces derniers mois. Il s’agit en fait d’un de ces composants PC dont on ignore l’existence jusqu’à ce qu’il tombe en panne. Il a pris de l’importance lorsque… Microsoft en a fait une condition essentielle à l'installation de Windows 11Et maintenant, il vole à nouveau la vedette.
Vous vous demandez peut-être maintenant comment savoir si vous en avez besoin. mettre à jour les certificats de démarrage sécuriséMais avant tout, il est important de comprendre précisément ce qu'est ce composant, et pour cela, il faut commencer par le début. Lorsque vous allumez votre ordinateur, le système d'exploitation (Windows, Ubuntu) ne prend pas immédiatement le contrôle. Que se passe-t-il en premier ?
La carte mère exécute un micrologiciel (logiciel de base) appelé UEFI (successeur moderne du légendaire BIOS). Le démarrage sécurisé est une fonctionnalité UEFI conçue pour… pour garantir la fiabilité du logiciel exécuté au démarrageEt comment la carte mère sait-elle à quel logiciel faire confiance ? Elle utilise une chaîne de confiance basée sur des certificats numériques.
En espagnol, utilisez certificats cryptographiques et clés publiques qui sont préinstallées sur la puce de la carte mère. Ces certifications comprennent :
- La clé de plateforme (PK), ce qui établit une relation de confiance entre le fabricant de la carte mère et le propriétaire du système.
- La base de données KEK (Key Exchange Key)qui sont des certificats permettant de vérifier les mises à jour de la base de données de signatures.
- La base de données db (Base de données de signatures), qui contient les certificats pour les systèmes d'exploitation et les pilotes autorisés.
- La base de données dbx (Base de données de signatures interdites), qui est la liste noire des certificats révoqués pour cause de vulnérabilité.
Que se passe-t-il avec le démarrage sécurisé ?
Au démarrage du PC, l'UEFI vérifie le chargeur de démarrage par rapport à la base de données. Si la signature correspond, l'ordinateur démarre. Mais si Le certificat a été révoqué ou est sur liste noire par dbxLe processus de démarrage est bloqué. Cela protège l'ordinateur contre tout logiciel malveillant de bas niveau, tel que le redoutable rootkits.
Mais pourquoi est-il nécessaire de savoir si vous devez mettre à jour vos certificats de démarrage sécurisé ? Voici le nœud du problème. La grande majorité des ordinateurs modernes utilisent des certificats émis par Microsoft. Les certificats délivrés par cette entité en 2011 étaient valables pour 15 ans.Autrement dit, elles expirent en 2026, et d'autres expireront progressivement dans un avenir proche. (Voir le sujet) Comment vérifier la date des certificats de démarrage sécurisé).
Le problème, c'est que des menaces au niveau du micrologiciel continuent d'apparaître. C'est pourquoi, Microsoft et Linux ont dû mettre à jour en profondeur la liste noire dbx.Mais si votre système ne met pas à jour ces bases de données de certificats, il sera vulnérable aux logiciels malveillants indétectables. À défaut, l'ordinateur refusera de démarrer car il ne reconnaîtra pas les nouvelles exigences de sécurité du système d'exploitation.
Comment savoir si vous devez mettre à jour vos certificats de démarrage sécurisé ?
La question est de savoir comment savoir si vous devez mettre à jour les certificats de démarrage sécurisé de votre ordinateur. Plusieurs signes permettent de l'indiquer. Le plus évident est l'âge de l'ordinateur : si sa fabrication a eu lieu avant 2024Il possède très probablement les certifications de 2011. En revanche, les équipements plus récents incluent déjà les nouvelles certifications.
La même chose se produit si votre ordinateur utilise toujours Windows 10 sans abonnement aux mises à jour de sécurité étendues (ESU)Microsoft a été clair : seuls Windows 11 et Windows 10 avec ESU Ils recevront des mises à jour de sécurité, notamment les nouveaux certificats de démarrage sécurisé. C'est une raison convaincante d'envisager la mise à niveau vers Windows 11 si votre matériel est compatible.
Si vous utilisez Windows 11, vous pouvez facilement le découvrir en allant sur Configuration – Confidentialité et sécurité – Sécurité Windows – Sécurité des appareilsVérifiez la section Démarrage sécurisé : si l’icône est verte, tout est en ordre et vous n’avez rien d’autre à faire. Si elle est jaune, une mise à jour manuelle est nécessaire ; si elle est rouge, cela indique une vulnérabilité empêchant l’acquisition du nouveau certificat.
Vérifiez dans PowerShell si vous devez mettre à jour les certificats de démarrage sécurisé.
Une autre façon de savoir si vous devez mettre à jour vos certificats de démarrage sécurisé consiste à utiliser un Commande PowerShellOuvrez cet outil en tant qu'administrateur et collez la commande suivante : ([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'). Appuyez sur Entrée et consultez le résultat :
- Vrai: Tout est en ordre. Votre système possède désormais le nouveau certificat « Windows UEFI CA 2023 ».
- FAUX: Attention ! Votre système utilise encore d’anciens certificats qui expireront bientôt. Vous devez les mettre à jour au plus vite.
Étapes à suivre si vous devez mettre à jour les certificats de démarrage sécurisé
Si la commande PowerShell a renvoyé la valeur False, ne vous inquiétez pas. Suivez ce chemin pour mettre à jour vos certificats. Activez le démarrage sécurisé de façon permanente et retrouvez la tranquillité d'esprit d'un ordinateur sécurisé.
- Sous Windows 11, accédez à Mise à jour Windows Installez ensuite les mises à jour en attente. Cela suffit pour la plupart des utilisateurs de Windows.
- Mettre à jour le firmware du site web du fabricantCette méthode est utile pour les ordinateurs plus anciens. Consultez le site web du fabricant de votre PC (Dell, Lenovo, HP, ASUS, etc.) et recherchez la dernière mise à jour du firmware (BIOS/UEFI).
- Réinitialise l'UEFI aux paramètres d'usine Pour activer les nouvelles mises à jour, accédez au BIOS/UEFI, puis à l'onglet Sécurité ou Démarrage, et repérez la section Démarrage sécurisé. Sélectionnez ensuite l'option Réinitialiser les clés par défaut ou Installer les clés de démarrage sécurisé par défaut. Cette opération effacera les anciennes clés et chargera les signatures d'usine mises à jour.
En conclusion, il est très important de savoir si vous devez mettre à jour vos certificats de démarrage sécurisé : Ne le remettez pas à plus tardComme vous pouvez le constater, cette vérification est rapide et simple. Ainsi, votre équipe peut commencer chaque journée avec la même sérénité qu'auparavant.
Depuis mon plus jeune âge, je suis fasciné par tout ce qui touche aux sciences et aux technologies, en particulier les progrès qui nous facilitent la vie et la rendent plus agréable. J'aime me tenir au courant des dernières actualités et tendances, et partager mes expériences, mes opinions et mes conseils sur les appareils et gadgets que j'utilise. C'est ce qui m'a amené à devenir rédacteur web il y a un peu plus de cinq ans, en me concentrant principalement sur les appareils Android et les systèmes d'exploitation Windows. J'ai appris à expliquer des concepts complexes en termes simples afin que mes lecteurs puissent les comprendre facilement.