Comment vérifier les certificats Secure Boot 2023 sur Windows 10 et 11 ?

Si vous êtes un utilisateur de Windows 10 ou Windows 11, une échéance technique cruciale approche à grands pas : l’expiration des certificats de démarrage sécurisé originaux (datant de 2011) prévue pour juin 2026. Pour anticiper cet événement, Microsoft déploie progressivement via Windows Update de nouveaux certificats de sécurité baptisés Windows UEFI CA 2023.

certificats Secure Boot 2026

Bien que cette transition s’effectue de manière transparente pour la majorité des utilisateurs, certains ordinateurs (notamment les plus anciens) peuvent rencontrer des blocages liés à un espace NVRAM saturé ou à un BIOS obsolète. Votre PC peut donc afficher être « à jour » sans pour autant posséder ces nouvelles clés vitales pour son fonctionnement futur.

Dans ce guide pratique, nous vous expliquons pas à pas comment vérifier si votre PC a bien reçu les nouveaux certificats Secure Boot 2023, que ce soit via des commandes PowerShell simples ou par l’Éditeur du Registre pour les utilisateurs avancés.

Pourquoi les certificats Secure Boot doivent-ils être mis à jour ?

Le Secure Boot (ou Démarrage Sécurisé) est une norme de sécurité développée par l’industrie de la tech pour s’assurer qu’un ordinateur démarre en utilisant uniquement des logiciels approuvés par le fabricant du PC. Les anciens certificats arrivant en fin de vie en juin 2026, la mise en place du certificat Windows UEFI CA 2023 est indispensable pour garantir que votre système reste protégé contre les bootkits et autres logiciels malveillants lors de la phase d’amorçage.

Méthode 1 : Vérifier les certificats Secure Boot actifs avec PowerShell (Recommandé)

La méthode la plus rapide et la plus fiable pour vérifier le statut de vos certificats consiste à utiliser PowerShell. Cette première manipulation permet d’interroger la « base active » (active db), c’est-à-dire les certificats qui sont actuellement utilisés par votre machine pour valider son démarrage.

Voici comment procéder :

  1. Faites un clic droit sur le bouton du menu Démarrer (ou utilisez le raccourci clavier Windows + X).

  2. Sélectionnez Terminal (administrateur) ou Windows PowerShell (administrateur).

  3. Copiez-collez la commande suivante, puis appuyez sur Entrée :

([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023')

Comment interpréter le résultat ?

  • True : Excellente nouvelle ! Les certificats 2023 sont correctement installés et actifs. Votre PC est prêt et sécurisé au-delà de juin 2026.

  • False : Les nouveaux certificats ne sont pas encore appliqués sur votre système. Pas de panique, nous expliquons comment y remédier plus bas dans cet article.

Message d’erreur

Si la commande affiche l’erreur « Get-SecureBootUEFI : Cela signifie que la variable est actuellement non définie : 0xC0000100 ».

Pas de panique, c’est une erreur tout à fait classique !

Le code d’erreur 0xC0000100 signifie littéralement que Windows ne trouve pas la variable UEFI demandée (la base de données des certificats). Dans 99 % des cas, cela se produit pour l’une des deux raisons suivantes : soit votre PC n’est pas démarré en mode UEFI, soit le Secure Boot est totalement désactivé dans votre carte mère.

Voici comment identifier la cause exacte et corriger le tir :

Étape 1 : Vérifier le mode de votre BIOS (La cause la plus fréquente)

Le Secure Boot a impérativement besoin que votre système fonctionne en mode « UEFI ». Si votre Windows a été installé à l’ancienne (en mode « Hérité » ou « Legacy / CSM »), la commande PowerShell tournera dans le vide.

  1. Appuyez sur les touches Windows + R de votre clavier.

  2. Tapez msinfo32 et appuyez sur Entrée.

  3. Dans la fenêtre qui s’ouvre (Informations système), cherchez la ligne Mode BIOS.

    • Si vous voyez UEFI : C’est parfait, passez à l’étape 2.

    • Si vous voyez Hérité (ou Legacy) : Voilà le coupable ! Votre Windows n’utilise pas l’UEFI. Pour profiter du Secure Boot, il faudrait convertir votre disque de MBR vers GPT et passer votre BIOS en UEFI (une manipulation un peu technique).

Étape 2 : Vérifier si le Secure Boot est bien activé

Toujours dans la même fenêtre msinfo32 (Informations système), descendez un peu et cherchez la ligne État du démarrage sécurisé.

  • S’il est indiqué Désactivé : La commande PowerShell ne peut pas lire les certificats, car la fonction est désactivée à la source. Il faut redémarrer votre PC, entrer dans le BIOS/UEFI (souvent en tapotant Suppr, F2 ou F12 au démarrage), chercher l’onglet « Sécurité » ou « Boot », et passer le « Secure Boot » sur « Enabled » (Activé).

  • S’il est indiqué Non pris en charge : Votre carte mère est probablement trop ancienne et ne gère pas cette fonctionnalité de sécurité.

Pour résumer : la commande PowerShell que nous avons vue dne fonctionne que si le mode BIOS est sur « UEFI » et que l’État du démarrage sécurisé est sur « Activé ».

Méthode 2 : Vérifier si les certificats sont intégrés au firmware (BIOS/UEFI)

Cette seconce vérification va un peu plus en profondeur. Elle permet de savoir si les certificats 2023 sont inscrits « en dur » dans la « base par défaut » (default db) de votre firmware. Si c’est le cas, cela signifie que même en cas de réinitialisation complète des paramètres Secure Boot dans le BIOS, votre PC conservera sa capacité à démarrer de manière sécurisée.

  1. Ouvrez à nouveau PowerShell en tant qu’administrateur.

  2. Copiez-collez cette commande et validez avec Entrée :

([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbdefault).bytes) -match 'Windows UEFI CA 2023')

Comment interpréter le résultat ?

  • True : Les certificats sont parfaitement intégrés à votre BIOS/UEFI.

  • False : Ce n’est pas dramatique. Sur beaucoup de PC d’ancienne génération, le fabricant n’a pas encore proposé de mise à jour native du BIOS. Si la méthode 1 a retourné True, vous êtes tout de même protégé.

Que faire si PowerShell affiche « False » ? (Dépannage)

Si la première commande vous a renvoyé False, cela signifie que le déploiement n’a pas pu s’opérer. Voici la marche à suivre pour forcer la mise à jour :

  1. Vérifiez votre version de Windows : Pour recevoir la mise à jour sur Windows 11, vous devez idéalement être sur la version 24H2 (ou supérieure). Sur Windows 10, assurez-vous de bénéficier du programme ESU (Mises à jour de sécurité étendues).

  2. Contrôlez l’activation du Secure Boot : Utilisez le raccourci Windows + R, tapez msinfo32 et appuyez sur Entrée. Dans Informations système, vérifiez que la ligne « État du démarrage sécurisé » indique bien « Activé ».

  3. Mettez à jour votre BIOS / UEFI : C’est souvent la clé du problème. Rendez-vous sur la page de support officiel du constructeur de votre carte mère ou de votre PC (ASUS, MSI, Dell, Lenovo, HP…). Recherchez et installez la dernière version de votre BIOS. De nombreux fabricants indiquent désormais dans leurs notes de mise à jour des mentions telles que : « This BIOS contains the new 2023 Secure Boot Certificates ».

  4. Faites preuve de patience : Si tout est activé et à jour, laissez faire Windows Update. Microsoft déploie cette modification par vagues. Réessayez la commande PowerShell d’ici quelques semaines.

Méthode 3 : Contrôler le déploiement via le Registre Windows (Utilisateurs Avancés)

Conçue pour les administrateurs système et les professionnels de l’IT gérant des parcs informatiques, l’inspection du Registre Windows permet de lire les indicateurs laissés par Microsoft concernant le statut du déploiement.

  1. Appuyez sur Windows + R, tapez regedit et validez pour ouvrir l’Éditeur du Registre.

  2. Naviguez minutieusement jusqu’à la clé suivante : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

  3. Recherchez la valeur nommée UEFICA2023Status. Elle indique l’état d’avancement de la mise à jour :

    • NotStarted : Le processus n’a pas encore débuté (Note : ce statut apparaît aussi sur les PC récents intégrant déjà le certificat en sortie d’usine, fiez-vous à PowerShell en cas de doute).

    • InProgress : L’installation est en cours de traitement par le système.

    • Updated : Le déploiement est un succès, les certificats 2023 sont installés.

Une seconde clé, WindowsUEFICA2023Capable, indique techniquement à quel niveau le certificat a été détecté par l’OS (0 : absent, 1 : présent dans la base, 2 : présent et actif pour le gestionnaire de démarrage). Attention : Il est totalement inutile de modifier ces valeurs manuellement, elles ne sont que des « miroirs » de l’état matériel de votre système.

Conclusion

Vérifier la bonne installation des certificats Secure Boot UEFI CA 2023 sur Windows 10 et Windows 11 est une procédure rapide et essentielle à l’approche de la date butoir de juin 2026. En une seule commande PowerShell, vous pouvez vous assurer que votre machine est prête à affronter l’avenir en toute sécurité.

Si le test s’avère négatif, un simple tour dans vos paramètres Windows Update, la vérification de l’activation du Démarrage Sécurisé ou une mise à jour de votre BIOS suffiront généralement à débloquer la situation. Gardez votre système à jour et protégez l’amorçage de votre PC !

Windows 10 / 11
Powered by  GDPR Cookie Compliance
Résumé de la politique de confidentialité

Ce site utilise des cookies afin que nous puissions vous fournir la meilleure expérience utilisateur possible. Les informations sur les cookies sont stockées dans votre navigateur et remplissent des fonctions telles que vous reconnaître lorsque vous revenez sur notre site Web et aider notre équipe à comprendre les sections du site que vous trouvez les plus intéressantes et utiles.