L'expiration des certificats Secure Boot de 2011 - Rootkits/bootkits & certificats numériques
Cette veille a été réalisée le 18/06/2026
Expiration des certificats Secure Boot de 2011
Secure Boot, c’est un mécanisme qui sécurise la séquence de démarrage en vérifiant le code exécuté entre la mise sous tension et le lancement de notre système d’exploitation. Cette technologie vise à empêcher des malwares de type bootkits et rootkits de se lancer avant l’initialisation de l’OS et qui cherchent à exploiter cette faille.
Cette technologie repose sur des certificats numériques permettant de vérifier l’authenticité des composants qui vont être exécutés au démarrage. Ces certificats vont donc autoriser l’exécution du code et d’éléments venant d’éditeurs de confiance (comme le bootloader de l’OS Windows par exemple) tout en refusant les éléments dont la signature ne répond à aucun certificat reconnu, empêchant le lancement de ces éléments.
Cependant, ces certificats, comme tout certificat numérique, possèdent une durée de validité, ici de 15 ans. Or, Microsoft a émis une grande partie de ces certificats en 2011, qu’il convient donc de remplacer dans les mois à venir. S’il n’y a pas de renouvellement de certificats, les machines n’en disposant plus fonctionneront, sans panne apparente. Mais il est à noter que ces machines ne recevront plus les mises à jour sur la sécurité de leur séquence de démarrage.
Ainsi, ces machines se retrouvent de plus en plus vulnérables face à des rootkits et bootkits puisqu’elles ne peuvent plus recevoir les listes de révocation et les correctifs permettant de corriger ces failles avant la fin de l’initialisation de l’OS.
Pour éviter cette situation, Microsoft a donc émis de nouveaux certificats appelés « UEFI CA 2023 » il y a maintenant 3 ans, dans le but de remplacer ceux de 2011. Le renouvellement des certificats pour la plupart des appareils passe par une mise à jour Windows Update sans aucune action de l’utilisateur, rendant ce renouvellement disponible pour tous, ou presque, puisque les machines plus anciennes nécessitent une mise à jour du Firmware. Les environnements gérés quant à eux, comme un parc d’entreprise dont les postes sont coordonnés par un Active Directory, ont pour nécessité d’attendre l’intervention des équipes informatiques.
En définitive, cette expiration des certificats de 2011 illustre un enjeu souvent négligé en cybersécurité : la gestion du cycle de vie des éléments de confiance. Un certificat oublié ne provoque pas de panne visible, mais ouvre silencieusement une brèche dans la sécurité du démarrage. Pour un administrateur, anticiper ce renouvellement est donc essentiel.
Il est également possible de vérifier si un système est sujet à la fin de ces certificats numériques. Tout se passe sur Powershell.
Comment vérifier les certificats présents sur son Secureboot ?
Premièrement, on va vérifier avec la commande Confirm-SecureBootUEFI si notre Firmware dispose du SecureBoot.
Une fois confirmé, on peut vérifier que la migration a bien eu lieu sur notre machine en inspectant le contenu de la database du SecureBoot. Cette deuxième commande va donc nous permettre de vérifier l’existence du certificat Windows UEFI CA 2023 avec un résultat booléen.
De même cette fois-ci avec dbdefault au lieu de d (db corresponsant à la base modifiable là où dbdefault correspond à la base par défaut fourni par le Firmware), le résultat ci-dessous étant true, le certificat est à jour.
Enfin, on consulte la clé de registre HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing, que Windows utilise pour retracer le déploiement du nouveau certificat. On y sélectionne trois propriétés : UEFICA2023Status, qui passe à Updated une fois la mise à jour appliquée ; WindowsUEFICA2023Capable, qui indique que la machine est éligible à la migration ; et UEFICA2023Error, reste vide s’il n’y a pas d’erreur.

WindowsUEFICA2023Capable :
- 0 = Certificat non présent dans la machine.
- 1 = présent mais la machine n’a pas rebooté.
- 2 = présent et déployé
