Expiration du Certificat Secure Boot Windows 11 Juin 2026

Qu'est-ce que l'expiration des certificats Secure Boot de Windows 11 ?

La plupart des PC livrés entre 2012 et 2026 font confiance à un petit jeu de certificats Secure Boot émis par Microsoft et intégrés au firmware UEFI : le Microsoft Corporation KEK CA 2011 (Key Exchange Key, expire en juin 2026), le Microsoft Windows Production PCA 2011 (signataire du chargeur d'amorçage, expire en octobre 2026) et le Microsoft UEFI CA 2011 (signataire tiers, expire en juin 2026). Une fois ces certificats expirés, le firmware ne peut plus valider les composants d'amorçage mis à jour, laissant les machines incapables de recevoir les futures mises à jour Windows et, dans certains cas, incapables de démarrer après une mise à jour critique.

Microsoft a entamé le déploiement des certificats de remplacement 2023 via KB5025885 dès 2023, mais la séquence complète — mise à jour KEK, mise à jour DB, puis bootloader PCA2023 — ne se termine que sur les systèmes dont l'OEM a livré un firmware UEFI compatible. Si vous avez ignoré ce déploiement, vous devez le terminer manuellement avant l'échéance de juin 2026.

Quand cette erreur se produit-elle ?

• Après une installation propre de Windows 11 sur du matériel livré avant 2024 sans mises à jour BIOS récentes
• Quand KB5025885 (ou son successeur KB5036210) renvoie 0x800F0922 ou « registry-based mitigation not complete »
• Après une réinitialisation des variables UEFI, un effacement CMOS ou un remplacement de carte mère
• Sur les machines dual-boot utilisant shim/GRUB signé avec le Microsoft UEFI CA 2011 qui expire
• Quand Windows Update indique « Votre appareil ne dispose pas de correctifs de sécurité importants » lié à Secure Boot
• Sur les flottes Surface, Dell Optiplex, HP EliteDesk et Lenovo ThinkCentre encore en firmware 2022

Causes courantes

• Le Microsoft KEK CA 2011 expire le 26 juin 2026 et le DB CA 2011 expire le 26 juin 2026
• Le firmware UEFI n'a jamais reçu la mise à jour OEM qui installe la chaîne Windows UEFI CA 2023
• La clé de diagnostic MicrosoftUpdateManagedOptIn est absente : KB5025885 a sauté les étapes de certificat
• Les variables boot protégées par TPM ont été effacées (châssis recyclé, échange de carte, récupération BitLocker)
• Les binaires shim Linux signés par le CA tiers 2011 expirant échouent à la validation après le rollover
• Secure Boot est imposé sur une carte dont l'OEM n'a pas encore publié un BIOS avec les certificats 2023 (fréquent sur les cartes de plus de 8 ans)
• Une écriture de variable UEFI a échoué, laissant le DB partiellement mis à jour — symptôme : bootloader présent mais rejeté par le firmware

Corrections étape par étape

1. Vérifier quels certificats sont déjà approuvés — Ouvrez PowerShell en administrateur et lancez [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'. Une réponse True signifie que le nouveau certificat DB est en place. Lancez aussi Get-SecureBootUEFI KEK et cherchez Microsoft Corporation KEK CA 2023. Si les deux entrées 2023 sont absentes, votre firmware n'a pas encore reçu le déploiement.

1. Forcer le déploiement progressif KB5025885 — Ouvrez regedit et créez la clé HKLM\SYSTEM\CurrentControlSet\Control\Secureboot avec une valeur DWORD AvailableUpdates réglée à 0x40 (préparer KEK), puis 0x100 (préparer DB), puis 0x40000 (préparer le boot manager mis à jour). Appliquez une étape à la fois, redémarrez deux fois entre chaque, et vérifiez avec Get-WinEvent -LogName Microsoft-Windows-Kernel-Boot l'event ID 1037 confirmant le succès.

1. Dell (OptiPlex, Latitude, Precision) — Dell a publié les BIOS de renouvellement de certificats via Dell Command Update à partir de mars 2026. Au démarrage, appuyez sur F2 pour entrer dans le BIOS, allez dans Maintenance > Firmware Update et laissez le système télécharger BIOS revision A28 ou supérieur. Après le flash, dans Security > Secure Boot > Expert Key Management, choisissez Restore Factory Keys pour ré-enrôler le jeu PK/KEK/DB 2023.

1. HP (ProBook, EliteBook, ZBook, EliteDesk) — HP intègre les mises à jour de certificats dans HP BIOS Configuration Utility et le workflow Sure Start. Au démarrage, appuyez sur F10, allez dans Advanced > Secure Boot Configuration > Reset Secure Boot Keys to Factory Defaults, puis Advanced > UEFI Firmware Update pour récupérer le build 01.27.00 (2026) qui intègre le KEK 2023. Confirmez avec HP Image Assistant après redémarrage.

1. Lenovo (ThinkPad, ThinkCentre, Legion) — Utilisez Lenovo Vantage ou téléchargez le dernier BIOS UEFI depuis support.lenovo.com (cherchez les builds série N4xUJ datés d'avril 2026 ou plus récents). Dans le BIOS, allez dans Security > Secure Boot > Reset to Setup Mode, sauvegardez et redémarrez, puis ré-entrez et choisissez Restore Factory Keys pour enrôler la chaîne 2023.

1. ASUS, ASRock, MSI, Gigabyte (cartes grand public) — Ces OEM livrent les mises à jour de certificats dans des releases BIOS régulières. Flashez le BIOS mai/juin 2026 avec EZ Flash 3 (ASUS), M-Flash (MSI), Q-Flash Plus (Gigabyte) ou Instant Flash (ASRock). Après le flash, entrez dans le BIOS, allez dans Boot > Secure Boot > Key Management et déclenchez Reset to Default Keys — cela charge les PK/KEK/DB 2023 livrés avec le nouveau firmware. Sauvegardez avec F10.

1. Appareils Surface — Microsoft pousse les clés Secure Boot via Surface Firmware. Ouvrez Paramètres > Windows Update > Options avancées > Mises à jour facultatives et installez les Surface UEFI Firmware en attente. Vérifiez que la version Surface UEFI est 2024.xx.xx ou supérieure. Si l'appareil ne démarre pas après le rollover, maintenez Vol+ pendant la mise sous tension pour entrer dans l'écran Surface UEFI et choisissez Security > Reset Secure Boot Keys.

1. Récupération dual-boot Linux (re-signature shim) — Si GRUB cesse de charger après le rollover, démarrez depuis une clé USB Windows et lancez bcdedit /set {bootmgr} path \EFI\Microsoft\Boot\bootmgfw.efi pour revenir à Windows. Mettez ensuite à jour votre distro : sous Ubuntu lancez sudo apt update && sudo apt install --reinstall shim-signed grub-efi-amd64-signed pour récupérer le shim 15.8 signé par le CA tiers 2023. Sous Fedora : sudo dnf upgrade shim-x64 grub2-efi-x64.

Si le problème persiste

Si le système ne démarre plus après la mise en place des certificats 2023 et affiche « Secure Boot Violation: Invalid signature detected » ou « Operating system not found », le boot manager a déjà été remplacé par la version signée PCA2023 alors que le DB du firmware ne fait confiance qu'à la chaîne 2011. Récupération : démarrez depuis une clé USB ISO Windows 11 24H2, choisissez Réparer votre ordinateur > Dépannage > Options avancées > Invite de commandes, et lancez bcdboot C:\Windows /s S: /f UEFI (remplacez S: par la lettre de votre partition EFI obtenue via diskpart). Si cela échoue, désactivez temporairement Secure Boot dans le BIOS, démarrez Windows, lancez Repair-WindowsImage -Online -RestoreHealth, puis réactivez Secure Boot et relancez le déploiement progressif depuis l'étape 2.

Pour les flottes entreprise, le guide [KB5036210 Secure Boot updates de Microsoft](https://support.microsoft.com/topic/kb5036210) est la référence officielle — il liste les event IDs exacts (1036, 1037, 1795) à surveiller dans Microsoft-Windows-Kernel-Boot et les CSP Intune (Defender/SecureBoot) pour déployer les valeurs registre. Les machines critiques doivent être pilotées au moins 30 jours avant l'échéance du 26 juin 2026, car certains bugs firmware OEM ne se manifestent qu'après le swap DB.