Certificats Secure Boot 2011 : mise à jour obligatoire en juin 2026

Marc Helpon

Informatique

Temps de lecture : 12 min

Points clés à retenir

  • Certificats 2011 expirés : trois certificats Secure Boot expirent par étapes le 24 juin, le 27 juin et le 19 octobre 2026, entraînant des risques de sécurité si non mis à jour.
  • Mise à jour automatique : la plupart des utilisateurs reçoivent la mise à jour via Windows Update. Vérifiez l’icône verte ou jaune dans Sécurité Windows.
  • Vérifier son modèle : selon la marque (ASUS, Lenovo, Dell, HP, Surface, MSI, Acer, Samsung, LG), des procédures spécifiques avec BIOS et PowerShell existent pour les appareils non mis à jour.

Pourquoi vos certificats Secure Boot expirent-ils en 2026 ?

En juin 2026, une échéance importante frappe tous les PC équipés d’un Secure Boot datant de 2011. Ces certificats, qui garantissent que seul un logiciel de confiance s’exécute au démarrage, arrivent à expiration en trois étapes :

  • Le 24 juin 2026 : Microsoft Corporation KEK CA 2011
  • Le 27 juin 2026 : Microsoft UEFI CA 2011
  • Le 19 octobre 2026 : Microsoft Windows Production PCA 2011

Microsoft a déployé des certificats de remplacement via Windows Update, mais chaque fabricant doit fournir une mise à jour BIOS compatible. Bonne nouvelle : la plupart des utilisateurs ont déjà reçu l’update. Mais pour ceux qui ne l’ont pas eu, voici comment procéder selon votre marque.

ASUS : guide complet pour les PC portables et fixes

ASUS propose l’une des documentations les plus claires. Ses pages dédiées distinguent les appareils grand public des modèles professionnels.

Pour les modèles grand public : la mise à jour arrive automatiquement via Windows Update. Si un badge jaune ou rouge apparaît dans Sécurité Windows, utilisez PowerShell pour vérifier les certificats KEK et DB :

powershell -Command "Get-SecureBootUEFIKek"

Si les certificats manquent, appliquez la mise à jour manuelle du registre (paramètre AvailableUpdates à 0x5944), puis exécutez la tâche planifiée Secure-Boot-Update. Un redémarrage est nécessaire entre chaque exécution.

Pour les PC professionnels : ASUS liste les modèles livrés avec les certificats 2023 intégrés (souvent les gammes 2024 et après). Les autres doivent passer par Windows Update.

Petite astuce : si vous voyez les codes d’erreur 1801 à 1808 dans le journal des événements, ASUS a publié une FAQ qui explique chacun d’eux.

Lenovo : téléchargements directs du BIOS

Lenovo fait fort avec son guide dédié, qui fournit des liens directs vers les mises à jour BIOS triées par famille de produits (ThinkPad, IdeaPad, Legion, Yoga…). Pour chaque modèle éligible, vous trouvez le numéro de version du BIOS qui intègre les certificats 2023.

Les appareils en fin de vie (End of Service Life) ne recevront aucune mise à jour. Pour les entreprises, Lenovo inclut des instructions pour Intune et SCCM.

Dell : organisation par gamme de produits

Dell a structuré son article par famille : Alienware, Inspiron, XPS, Latitude, OptiPlex, Precision, Vostro, Wyse, IoT. Chaque gamme a son propre statut.

Règle de Dell : les plates-formes dont la fin de vie est antérieure au 1er janvier 2026 ne recevront pas de mise à jour BIOS. Par exemple, un Dell Inspiron de 2019 ne sera pas pris en charge.

Dell a doublé la mise : depuis la fin 2024, ses nouveaux PC embarquent à la fois les certificats 2011 et 2023. Cette double certification a été étendue à toutes les expéditions d’ici fin 2025. Cela offre une certaine flexibilité aux entreprises.

Attention toutefois, certains utilisateurs de Dell XPS 8910 ont signalé des limites de partition firmware, un souci semblable à celui d’Acer.

HP : deux parcours distincts

HP différencie PC grand public et PC professionnels.

PC grand public HP : la mise à jour arrive via Windows Update après installation d’un BIOS minimal. PC professionnels HP : une procédure plus complexe nécessite la présence de la chaîne SBKPFV3 dans le champ SMBIOS Type 1 version.

Les modèles commercialisés entre 2022 et 2023 ont reçu leur mise à jour BIOS d’ici septembre 2025. Ceux de 2019 à 2021 (et certains 2018) l’ont reçu avant décembre 2025. Les autres, antérieurs à 2018, sont en fin de vie.

Attention : des mises à jour BIOS HP début 2026 ont provoqué des boucles de récupération BitLocker et des échecs de démarrage. HP a publié des BIOS corrigées. Vérifiez bien que vous avez la version corrigée avant toute manipulation.

Microsoft Surface : mise à jour directe

Les Surface reçoivent à la fois firmware et Windows Update directement de Microsoft. Les modèles Surface Pro, Laptop, Book et Studio encore en support actif obtiennent les certificats 2023 automatiquement. Les appareils plus anciens, hors fenêtre de support firmware, ne sont pas éligibles.

MSI : guide par génération de processeur

MSI sépare les PC portables par génération de CPU :

  • Intel 7e à 11e génération / AMD Ryzen 3000H à 5000U : mise à jour automatique via Windows Update, sans flash BIOS.
  • Intel 12e génération / AMD Ryzen 5000H et plus récents : mise à jour BIOS à télécharger sur le portail de support MSI. Pensez à sauvegarder votre clé de récupération BitLocker avant.

Pour vérifier le succès, ouvrez l’Observateur d’événements, source TPM-WMI, événement ID 1808 : message « Ce périphérique a mis à jour les clés/CA Secure Boot ».

Acer : tableau des modèles et statuts

Acer a publié un guide officiel. La mise à jour arrive via Windows Update pour les modèles supportés. Première recommandation : sauvegardez votre clé BitLocker avant toute mise à jour BIOS.

Un tableau liste les Aspire, Nitro, Predator, Swift, Extensa, TravelMate, Spin avec leurs dates de sortie BIOS. Plusieurs ont reçu leur mise à jour entre le 12 et le 26 juin 2026. D’autres sont marqués « En cours ». Si vous êtes dans ce deuxième groupe, gardez Windows Update actif et revenez régulièrement consulter le support Acer.

Des utilisateurs d’Acer Aspire TC-895 datant de 2020-2022 signalent un blocage avec un avertissement jaune et aucune mise à jour disponible. Acer n’a pas encore communiqué officiellement sur ces modèles.

Samsung et LG

Samsung confirme que les PC continueront à fonctionner après expiration, mais les mises à jour de sécurité au niveau démarrage cesseront. Pour les Galaxy Book 3 et modèles antérieurs, utilisez Windows Update. Samsung a publié un avis en coréen.

LG propose un guide dédié pour ses gammes Gram. Si Windows Update ne termine pas l’installation, vérifiez manuellement les mises à jour BIOS sur le site de support LG.

Comment vérifier l’état de vos certificats ?

Ouvrez Sécurité Windows, allez dans Sécurité de l’appareil, regardez la section Secure Boot :

  • Icône verte : certificats 2023 appliqués, rien à faire.
  • Icône jaune : mise à jour en attente. Windows Update n’a pas encore poussé la mise à jour, ou le BIOS de votre OEM n’est pas prêt.
  • Icône rouge : incompatibilité firmware.
  • Section absente : Secure Boot désactivé, ou PC installé avec une méthode de contournement sur matériel non supporté.

Les utilisateurs de Windows 10 ne sont pas oubliés : la mise à jour de mai 2026 (KB5087544) a ajouté le même indicateur dans Sécurité Windows.

Si vous avez observé des redémarrages multiples récents, c’est normal : le processus de mise à jour des certificats peut nécessiter plusieurs redémarrages. Ne touchez pas au dossier SecureBoot qui est apparu.

Pour conclure, si vous avez installé la mise à jour de juin 2026 (Patch Tuesday), votre PC est probablement déjà à jour. En résumé, vérifiez d’abord l’icône dans Sécurité Windows, puis consultez le guide de votre fabricant si besoin. N’oubliez pas : un Secure Boot à jour, c’est la garantie d’un démarrage sans souci !

Articles relatifs:

Télécharger Windows 10 ISO en anglais (2026) — Guide officiel Microsoft

Installer Windows 11 en juin 2026 : le guide complet (toutes les méthodes, erreurs résolues)