Microsoft a annoncé que certains certificats Secure Boot vont commencer à expirer à partir de juin 2026 (et certains éléments complémentaires en octobre 2026).
👉 Article officiel : https://techcommunity.microsoft.com/blog/windows-itpro-blog/act-now-secure-boot-certificates-expire-in-june-2026/4426856
Pourquoi c’est important ?
Secure Boot est un mécanisme intégré dans l’UEFI qui agit comme une chaîne de confiance : au démarrage, chaque élément (firmware, bootloader, pilotes critiques) doit être signé par une clé valide. S’il ne l’est pas, il ne s’exécute pas.
Lorsque les certificats expirent :
- les systèmes risquent de perdre la capacité de recevoir les mises à jour Secure Boot,
- certains logiciels ou firmwares tiers ne seront plus reconnus,
- les mises à jour critiques du Windows Boot Manager ne seront plus appliquées après octobre 2026.
Ces changements répondent aussi à des menaces concrètes. L’exemple le plus marquant est le bootkit BlackLotus (CVE-2023-24932), capable de s’exécuter avant l’OS et de contourner les protections traditionnelles.
Quels impacts pour l’OT et l’IoT ?
Dans les environnements industriels, la disponibilité prime sur tout. Une mise à jour mal anticipée peut interrompre des processus critiques. Sans action préalable :
- certaines machines risquent de se retrouver bloquées ou vulnérables,
- les systèmes isolés (air-gapped) ne recevront aucune mise à jour automatique,
- la perte de compatibilité logicielle pourrait perturber des chaînes de production.
Que faire dès aujourd’hui ?
- Inventorier tous les équipements Windows déployés depuis 2012 (physiques et virtuels).
- Vérifier l’état Secure Boot via msinfo32 → Secure Boot State.
- Mettre à jour les firmwares OEM (BIOS/UEFI) avant toute action sur les certificats.
- Choisir la stratégie de déploiement :
- Automatique par Microsoft : si les appareils reçoivent des mises à jour et envoient des données de diagnostic.
- Manuelle : pour les environnements isolés, via des mises à jour fournies par les OEM ou des scripts internes.
- Tester sur un échantillon réduit avant de déployer à l’échelle.
- Documenter une procédure spécifique pour les systèmes critiques (OT/IoT sensibles).
Dates à retenir
- Juin 2026 : début de l’expiration des certificats Secure Boot.
- Octobre 2026 : fin de distribution des correctifs Windows Boot Manager si les certificats ne sont pas mis à jour.
- 14 octobre 2025 : fin du support de Windows 10, qui doit être intégrée à la planification (sauf prolongation annoncée par Microsoft).
En résumé
La fenêtre est ouverte dès aujourd’hui pour préparer cette transition. Les environnements OT et IoT nécessitent des cycles de test et de validation plus longs que l’IT classique : attendre 2026 serait trop tard.
En agissant dès maintenant — inventaire, mises à jour OEM, choix de stratégie de gestion et tests progressifs — vous évitez non seulement des interruptions de service, mais aussi l’exposition à des menaces comme BlackLotus.
Chez AKENATECH, nous sommes convaincus que l’anticipation est la meilleure défense en cybersécurité industrielle.
Sources :
- Microsoft Tech Community – https://techcommunity.microsoft.com/blog/windows-itpro-blog/act-now-secure-boot-certificates-expire-in-june-2026/4426856
- Microsoft Security Response Center – Informations sur CVE-2023-24932 / BlackLotus
- Microsoft – Windows lifecycle (fin du support Windows 10 : 14 octobre 2025)
Cet article a pour vocation de partager des informations pratiques et fiables issues de sources officielles. Il ne remplace pas une analyse personnalisée de votre infrastructure : chaque organisation doit évaluer ses propres risques et procédures avant toute mise en œuvre. AKENATECH ne pourra être tenue responsable des conséquences éventuelles d’actions entreprises uniquement sur la base de ces informations.