Le déploiement des nouveaux certificats Secure Boot 2023 sur Windows 11 provoque des dysfonctionnements sur certains PC, en particulier les machines plus anciennes.

Ce problème met en lumière un sujet bien plus large : les limites et incohérences des firmwares UEFI selon les constructeurs, qui compliquent fortement la transition vers les nouveaux standards de sécurité.

Alors que Microsoft prépare le remplacement des certificats de 2011, cette mise à jour censée renforcer la sécurité du démarrage révèle des failles structurelles dans l’écosystème matériel.

Dans cet article, nous faisons le point sur les causes de ces échecs, les PC concernés et les solutions possibles pour corriger le problème.

A lire : Secure Boot : les certificats de sécurité Windows expirent en 2026, Microsoft prépare leur remplacement

Une mise à jour de sécurité critique… mais instable

Secure Boot est une fonctionnalité essentielle de Windows 11 qui permet de vérifier l’intégrité du système dès le démarrage.

Elle repose sur une chaîne de confiance basée sur plusieurs éléments :

• des clés cryptographiques stockées dans le firmware
• une base de signatures autorisées (DB)
• une liste de révocation (DBX)
• des certificats Microsoft permettant de valider le bootloader

Avec la mise à jour CA-2023, Microsoft cherche à révoquer d’anciens composants jugés vulnérables et à introduire de nouveaux certificats plus sécurisés.

Mais en pratique, cette transition ne se passe pas comme prévu.

De nombreux utilisateurs rencontrent :

• des erreurs lors de l’application des mises à jour Secure Boot
• des messages d’alerte au démarrage
• des systèmes incapables de démarrer correctement
• des états incohérents de Secure Boot

Un problème qui dépasse Windows : le firmware en cause

Contrairement aux mises à jour classiques de Windows, ce problème ne vient pas uniquement du système d’exploitation.

Il met en cause l’ensemble de la chaîne matérielle.

Les causes identifiées incluent :

• firmwares UEFI obsolètes ou mal implémentés
• gestion incohérente des bases DB / DBX
• pipelines de mise à jour défaillants
• clés de sécurité incomplètes ou incorrectes
• implémentations non standard selon les constructeurs

Résultat : deux PC identiques sous Windows 11 peuvent réagir totalement différemment face à la même mise à jour.

Certains systèmes appliquent correctement les certificats, tandis que d’autres :

• ignorent les mises à jour
• se retrouvent dans un état partiellement sécurisé
• ou deviennent instables voire non bootables

Une transition obligatoire avant 2026

Ce problème intervient dans un contexte critique.

Les anciens certificats Secure Boot (2011) doivent être progressivement abandonnés, notamment en 2026.

Microsoft impose donc :

• l’intégration des certificats CA-2023
• la révocation des anciens bootloaders vulnérables
• une mise à jour des bases de sécurité dans le firmware

Sans cette transition, les systèmes risquent :

• une sécurité dégradée
• une incompatibilité avec les futures mises à jour
• voire des blocages de démarrage à terme

Des comportements très variables selon les constructeurs

L’un des points les plus problématiques est le manque d’uniformité.

Selon les retours :

• certains PC Lenovo ou Dell appliquent les mises à jour sans problème
• certaines cartes mères ASUS ou MSI nécessitent des manipulations spécifiques
• d’autres configurations, notamment sur des PC assemblés, rencontrent des échecs persistants

Dans certains cas, les utilisateurs doivent :

• réinitialiser les clés Secure Boot
• réinstaller les certificats manuellement
• mettre à jour le BIOS/UEFI
• ou reconstruire le bootloader Windows

Ces manipulations, parfois complexes, montrent que Secure Boot reste encore loin d’être totalement transparent pour l’utilisateur.

Problèmes Secure Boot 2023 selon les constructeurs

Un écosystème encore trop fragmenté

Ce que révèle cette situation, c’est un problème structurel.

Secure Boot fonctionne parfaitement en théorie, mais dépend fortement de l’implémentation des fabricants.

Aujourd’hui :

• les interfaces UEFI sont différentes selon les marques
• la terminologie varie d’un constructeur à l’autre
• les outils de diagnostic sont limités côté Windows
• les procédures de mise à jour ne sont pas standardisées

Ce manque d’harmonisation complique fortement la gestion des incidents.

Problème de déploiement du Secure Boot 2023 par constructeur de PC

Le déploiement des certificats Secure Boot 2023 n’a pas échoué de manière uniforme.
Selon le constructeur ou la carte mère, les comportements peuvent être très différents, ce qui complique fortement le diagnostic.

Voici un résumé des problèmes observés selon les principaux fabricants :

Constructeur / type de PC	Problèmes rencontrés	Particularités
ASUS	Échec d’application des mises à jour DBX	Nécessite parfois de désactiver Secure Boot pour appliquer une mise à jour, ce qui est paradoxal
MSI	Gestion incohérente des bases Secure Boot	Firmware qui ignore certaines mises à jour ou revient aux clés d’usine
ASRock	Mise à jour souvent manuelle nécessaire	Obligation de réinitialiser les clés, réimporter les certificats ou intervenir dans l’UEFI
PC assemblés (DIY)	Problèmes fréquents et imprévisibles	Dépend fortement du BIOS, de sa version et de la compatibilité matérielle
OEM (Lenovo, Dell…)	Globalement plus stables	Implémentation plus homogène et mieux testée dans la majorité des cas

Ces différences s’expliquent par un problème structurel : chaque constructeur implémente Secure Boot à sa manière, avec des niveaux de qualité et de conformité très variables.

Dans certains cas, le firmware :

• ignore les mises à jour de sécurité
• applique partiellement les certificats
• ou provoque des comportements incohérents (boot instable, erreurs TPM, etc.)

Comment vérifier si la mise à jour Secure Boot a échoué

Dans la plupart des cas, l’échec de la mise à jour des certificats Secure Boot ne provoque pas de message clair pour l’utilisateur. Il est donc nécessaire de vérifier manuellement si l’installation s’est correctement déroulée.

Vérifier l’échec d’installation dans Windows Update

Commencez par ouvrir Windows Update puis consultez l’historique des mises à jour :

• Ouvrez Paramètres > Windows Update
• Cliquez sur Historique des mises à jour

Si la mise à jour liée à Secure Boot échoue, vous pouvez voir apparaître :

• un échec d’installation
• un code d’erreur (parfois générique)
• ou une tentative répétée sans succès

Ces mises à jour peuvent apparaître sous forme de mises à jour de sécurité ou de firmware.

Vérifier les erreurs dans l’Observateur d’événements

L’Observateur d’événements permet d’identifier plus précisément les problèmes liés à Secure Boot.

• Faites un clic droit sur le menu Démarrer ou utilisez le raccourci clavier + X
• Puis dans la liste, cliquez sur l’observateur d’évènements. Plus de méthodes : Comment ouvrir l’observateur d’évènements de Windows 11/10
• Accédez à Journaux Windows > Système
• Recherchez des événements liés à :
  • Secure Boot
  • Kernel-Boot
  • CodeIntegrity
  • TPM-WMI
  • ou WindowsUpdateClient

Des erreurs peuvent indiquer :

• un échec de mise à jour des bases de données Secure Boot (DB / DBX)
• un problème de validation de certificat
• ou un refus du firmware UEFI

Exemple d’erreur TPM-WMI avec un évènement 1801 :

Les certificats de démarrage sécurisé mis à jour sont disponibles sur cet appareil, mais ils n’ont pas encore été appliqués au microprogramme. Passez en revue l’aide publiée pour terminer la mise à jour et assurer une protection complète. Les informations de signature de cet appareil sont incluses ici.
DeviceAttributes : FirmwareManufacturer:AMI;FirmwareVersion:F.02;OEMModelBaseBoard:89D8;OEMManufacturerName:HP;OSArchitecture:amd64;
BucketId : 9a6649385383100cf866cdf9503fd341f0d207ef756cd4c77dae654b5be1d776
BucketConfidenceLevel : Under Observation - More Data Needed
UpdateType :

Vérifier les certificats Secure Boot 2023 avec PowerShell

Windows permet également de vérifier l’état des bases Secure Boot via PowerShell.

• Ouvrez PowerShell en tant qu’administrateur puis utilisez la commande suivante :

([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match ‘Windows UEFI CA 2023’)

• True : cela signifie que le certificat Windows UEFI CA 2023 est déjà présent dans votre base de données Secure Boot. Votre système est prêt, même si l’Observateur d’événements affiche encore des messages de préparation ou d’observation.
• Faux : cela signifie que votre appareil n’a pas encore reçu le certificat. Il ne s’agit pas d’une erreur et aucune action n’est requise. Votre PC attend simplement son tour dans le cadre du déploiement.

Pour aller plus loin, vous pouvez inspecter les bases de certificats :

Get-SecureBootUEFI -Name db
Get-SecureBootUEFI -Name dbx

Ces commandes permettent de vérifier si les bases de signatures (autorisation et révocation) sont présentes et accessibles.

Sur certains systèmes, une absence de données ou une erreur d’accès peut indiquer un problème de mise à jour.

Vérifier le statut de la mise à jour Secure Boot (UEFI CA 2023) dans le registre Windows

Microsoft a introduit une clé de registre spécifique pour suivre l’état de déploiement des certificats Secure Boot 2023.

Cette clé permet de savoir si la mise à jour a été appliquée correctement.

• Sur votre clavier, appuyez sur les touches + R
• Puis saisissez regedit et OK. Plus de détails : comment accéder au registre Windows
• Accédez à la clé suivante :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

• Recherchez la valeur :UEFICA2023Status
• Cette valeur peut indiquer différents états :
  • 0 : mise à jour non installée
  • 1 : mise à jour en cours ou partiellement appliquée
  • 2 : mise à jour correctement installée

Si la valeur est absente ou reste bloquée sur un état intermédiaire, cela peut indiquer un problème d’application des certificats.

Vous pouvez également interroger cette clé directement avec PowerShell :

Get-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot" | Select-Object UEFICA2023Status

Cela permet d’obtenir rapidement le statut sans passer par l’éditeur du registre.

Vérifier la version des certificats (méthode avancée)

Il n’existe pas de commande simple affichant clairement “CA 2023 installé”, mais certains indices permettent de le vérifier :

• présence de nouvelles entrées dans la base dbx
• mise à jour récente du firmware ou des clés Secure Boot
• absence d’erreurs dans les journaux système

Dans les environnements professionnels, des outils plus avancés peuvent être utilisés pour analyser précisément les certificats installés.

De manière générale, vous pouvez consulter ce guide : Comment savoir si le Secure Boot est activé ou désactivé

Quelles solutions pour corriger les problèmes Secure Boot 2023 ?

Face aux échecs de mise à jour des certificats Secure Boot, plusieurs solutions sont proposées selon les cas.

Mettre à jour le BIOS / UEFI

C’est souvent la première chose à faire.

Les problèmes étant liés au firmware, une mise à jour du BIOS/UEFI peut :

• corriger la gestion des bases Secure Boot (DB / DBX)
• améliorer la compatibilité avec les certificats 2023
• résoudre les erreurs d’application

Sans firmware à jour, certaines machines ne pourront tout simplement pas appliquer correctement les nouvelles clés.

Réinitialiser les clés Secure Boot

Dans certains cas, il est nécessaire de repartir d’une base propre.

Depuis le BIOS/UEFI :

• Réinitialisez les clés Secure Boot (mode “factory” ou “default keys”)
• Puis redémarrez le système

Cela permet de corriger des états incohérents ou des bases corrompues.

Désactiver puis réactiver Secure Boot

Une méthode parfois efficace consiste à :

• désactiver Secure Boot
• redémarrer
• puis le réactiver

Cela force parfois la réinitialisation des paramètres et permet à la mise à jour de passer correctement.

Voir ce guide : Comment activer/désactiver le Secure Boot depuis le BIOS

Utiliser des scripts PowerShell pour diagnostiquer Secure Boot

En complément des outils Windows, certains scripts PowerShell permettent d’analyser en détail l’état de Secure Boot.

Contrairement à ce que l’on pourrait penser, ces outils ne sont pas fournis directement par Microsoft, mais proviennent de la communauté.

Par exemple, des scripts publiés sur ElevenForum permettent de :

• lister les clés Secure Boot (PK, KEK, DB, DBX)
• vérifier la présence des certificats CA 2023
• détecter des incohérences ou des clés manquantes
• analyser les bootloaders utilisés
• générer un rapport complet de conformité

Ces scripts offrent une visibilité bien plus complète que les outils intégrés à Windows, qui restent assez limités sur ce point.

Le lien :  garlin’s PowerShell scripts for updating Secure Boot CA 2023 (Check_DBXUpdate.bin.ps1)

Parmi les plus utilisés :

• Check_UEFI-CA2023.ps1 : analyse l’état des certificats et génère un rapport
• Update_UEFI-CA2023.ps1 : permet d’appliquer certaines mises à jour manuellement
• Check_DBXUpdate.bin.ps1 : vérifie la base de révocation (DBX)

Ces outils sont particulièrement utiles pour :

• comprendre pourquoi une mise à jour échoue
• vérifier si le système est conforme aux certificats 2023
• identifier les actions à effectuer

Cependant, ils restent destinés à un public averti :

• manipulation en PowerShell
• interprétation des résultats techniques
• accès à des paramètres firmware sensibles

Ils ne remplacent pas les mises à jour officielles Windows ou BIOS, mais constituent un excellent outil de diagnostic avancé.

Vérifier la compatibilité matérielle

Dans certains cas, le problème ne peut pas être corrigé uniquement côté Windows.

Si le firmware est trop ancien ou mal implémenté :

• certaines mises à jour peuvent échouer définitivement
• ou nécessiter une intervention du constructeur

Il est alors recommandé de consulter :

• le site du fabricant de la carte mère ou du PC
• les mises à jour BIOS disponibles
• les notes de compatibilité Secure Boot

Un signal d’alerte pour Microsoft et les OEM

Cet incident met en évidence une réalité importante : la sécurité de Windows ne dépend pas uniquement du logiciel.

Elle repose aussi sur :

• la qualité du firmware
• la rigueur des constructeurs
• la cohérence des standards UEFI

Microsoft devra probablement :

• renforcer les exigences de certification matériel
• améliorer les outils de diagnostic
• mieux accompagner les utilisateurs

Conclusion

La transition vers les certificats Secure Boot 2023 est indispensable pour renforcer la sécurité de Windows 11.

Mais elle révèle aussi les limites actuelles de l’écosystème PC, où chaque constructeur implémente différemment des mécanismes pourtant critiques.

Ce problème dépasse largement une simple mise à jour : il met en lumière un défi majeur pour les années à venir, à l’approche de la fin des anciens certificats en 2026.

Entre sécurité renforcée et complexité technique, Secure Boot n’a jamais été aussi important… ni aussi délicat à gérer.

L’article Secure Boot 2023 de Windows 11 : les mises à jour échouent sur certains PC (explications et solutions) est apparu en premier sur malekal.com.

Microsoft a confirmé l’arrivée de Windows 11 version 26H1, une mise à jour prévue pour 2026 qui marque un tournant dans l’évolution du système. Au programme : améliorations des performances, réduction de l’IA dans l’interface, optimisation de l’Explorateur de fichiers et retour de fonctionnalités très demandées comme la barre des tâches déplaçable.

Windows 11 26H1 n’est pas une mise à jour classique distribuée via Windows Update, mais une version spécifique destinée à certains nouveaux matériels, notamment les plateformes ARM de nouvelle génération. Elle ne modifie pas non plus les plans de déploiement actuels pour les entreprises, qui continuent de s’appuyer sur les versions déjà en production.

Cette nouvelle version ne se limite pas à ajouter des fonctionnalités : elle s’inscrit dans une stratégie globale visant à corriger les principaux défauts de Windows 11, notamment en matière de stabilité, de réactivité et d’expérience utilisateur.

Une mise à jour centrée sur les performances et la fluidité

Avec Windows 11 26H1, Microsoft met clairement l’accent sur les performances. L’objectif est de rendre le système plus rapide, plus réactif et plus stable au quotidien, notamment sur les machines récentes et les nouvelles architectures matérielles.

L’Explorateur de fichiers, souvent critiqué pour sa lenteur, fait partie des priorités. Microsoft travaille sur des temps d’ouverture réduits, une navigation plus fluide et une meilleure gestion des opérations courantes, comme le chargement des dossiers ou la recherche de fichiers.

Au niveau global, Windows 11 bénéficie également d’optimisations plus profondes :

• réduction de l’utilisation de la mémoire (RAM)
• amélioration de la gestion des processus en arrière-plan
• optimisation de la gestion des ressources et du scheduler, notamment pour les architectures modernes et ARM
• amélioration de la réactivité de l’interface et des animations

Ces changements visent à corriger l’un des principaux reproches faits à Windows 11 depuis son lancement : un système parfois jugé moins performant et plus lourd que Windows 10, en particulier sur certaines configurations.

Moins d’IA et une présence de Copilot réduite

Autre changement notable : Microsoft revoit sa stratégie autour de Copilot et de l’intégration de l’IA.

Après une forte mise en avant dans Windows 11, l’éditeur adopte désormais une approche plus mesurée avec une réduction des points d’entrée de Copilot et intégration plus contextuelle.

Cette évolution se traduit notamment par une réduction ou une suppression de Copilot dans certaines applications natives comme le Bloc-notes ou Photos, où son intégration avait été jugée excessive.
L’objectif est de rendre Windows moins intrusif et plus lisible, en réponse aux critiques sur la présence jugée excessive de l’IA dans le système.

Le guide complet : Comment Microsoft introduit l’IA dans Windows 11

Vers le retour de la barre des tâches déplaçable

Microsoft travaille également sur le retour d’une fonctionnalité très demandée : la possibilité de déplacer la barre des tâches.

Elle pourra être positionnée :

• en haut
• sur les côtés
• ou en bas (par défaut)

Cette option avait été supprimée avec Windows 11, ce qui avait suscité de nombreuses critiques. Son retour marque une volonté de Microsoft de corriger certains choix d’interface impopulaires.

Attention toutefois : cette fonctionnalité est encore en développement et sera déployée progressivement dans les versions de Windows 11.

Windows Update moins intrusif et plus flexible

Microsoft prévoit aussi des améliorations importantes pour Windows Update, souvent critiqué :

• moins de redémarrages forcés
• plus de contrôle sur l’installation
• possibilité de repousser les mises à jour plus longtemps

Ces changements s’inscrivent dans une volonté plus large de Microsoft de corriger les critiques récurrentes sur Windows Update, notamment après plusieurs mises à jour problématiques ces derniers mois.
L’objectif est de rendre les mises à jour moins perturbantes au quotidien, tout en conservant un bon niveau de sécurité.

L’actualité : Windows 11 : enfin plus de contrôle dans l’installation des mises à jour

Une nouvelle base technique avec la plateforme « Bromine »

Windows 11 26H1 repose sur une nouvelle base technique interne, connue sous le nom de code « Bromine », qune nouvelle base technique qui pourrait, à terme, remplacer les plateformes actuelles de Windows 11. Cette évolution introduit des modifications en profondeur du système, notamment au niveau du noyau, de la gestion de l’énergie, du scheduler et des pilotes matériels.

L’objectif est de mieux exploiter les nouvelles générations de processeurs, en particulier les architectures modernes et les plateformes ARM, tout en améliorant l’efficacité énergétique et la stabilité globale. Contrairement aux mises à jour classiques qui ajoutent principalement des fonctionnalités visibles, Bromine agit en arrière-plan en modernisant l’architecture du système, ce qui explique pourquoi certaines améliorations de Windows 11 26H1 sont surtout perceptibles en termes de performances et de réactivité plutôt que d’interface.

Une interface plus cohérente et plus moderne

Windows 11 26H1 s’inscrit également dans une évolution plus profonde de l’interface, avec un objectif clair : rendre le système plus homogène, plus fluide et plus cohérent visuellement. Microsoft poursuit l’adoption de WinUI, réduit progressivement les incohérences entre anciennes et nouvelles interfaces, et améliore les animations ainsi que la réactivité globale.

Cette direction n’est pas nouvelle. Les mises à jour récentes, notamment celles de mars 2026, ont déjà introduit plusieurs ajustements visibles, comme des améliorations du menu Démarrer, des paramètres ou de certains éléments de l’interface système. Windows 11 évolue : toutes les nouveautés et améliorations des mises à jour de mars 2026

Avec 26H1, Microsoft semble vouloir aller plus loin en consolidant ces changements pour proposer une interface plus unifiée, moins fragmentée et plus agréable à utiliser au quotidien.

Une nouvelle approche : corriger plutôt qu’ajouter

Avec Windows 11 26H1, Microsoft semble amorcer un changement de stratégie. Traditionnellement, les mises à jour dites “de fonctionnalités” de Windows — notamment sous Windows 10 — avaient pour objectif d’introduire régulièrement de nouvelles options, parfois au détriment de la stabilité ou de la cohérence du système.

Or, avec cette version, l’approche est différente. Plutôt que de multiplier les nouveautés visibles, Microsoft met l’accent sur la consolidation du système existant :

• amélioration des performances
• réduction de la consommation de ressources
• optimisation de composants clés comme l’Explorateur
• réduction de l’intrusivité de certaines fonctionnalités comme Copilot

Ce repositionnement n’est pas anodin. Il intervient après plusieurs années de critiques autour de Windows 11, notamment sur :

• des performances jugées inégales
• une interface parfois incohérente
• des mises à jour introduisant de nouveaux bugs
• une surintégration de certaines fonctionnalités (comme l’IA)

En ce sens, Windows 11 26H1 marque une évolution vers un modèle plus mature : moins de nouveautés “marketing”, mais davantage d’améliorations en profondeur, souvent moins visibles mais essentielles au quotidien.

Reste à voir si cette approche sera maintenue sur les prochaines versions, ou si Microsoft reviendra à un cycle plus classique orienté fonctionnalités.

Une mise à jour pas encore pour tout le monde

Windows 11 26H1 est une version particulière, qui ne suit pas le cycle habituel des mises à jour de Windows. Elle est actuellement réservée à certains nouveaux appareils, notamment ceux équipés de processeurs de nouvelle génération comme les plateformes ARM (Snapdragon X2).

Contrairement aux mises à jour classiques, 26H1 n’est pas proposée via Windows Update pour les PC existants. Elle sert principalement de base technique pour ces nouveaux matériels, avec une architecture système adaptée.

Pour la majorité des utilisateurs, il faudra attendre la prochaine mise à jour majeure — probablement Windows 11 26H2, attendue vers la fin de l’année 2026 — qui intégrera ces évolutions dans une version distribuée plus largement..

Un cycle de support différent selon les éditions

Microsoft a également précisé le cycle de support de Windows 11 26H1, qui varie selon les éditions. Pour les versions Enterprise et Education (Enterprise, Education, Enterprise multi-session), la mise à jour sera supportée jusqu’au 13 mars 2029, soit environ 37 mois de support (un peu plus de 3 ans).

En revanche, pour les éditions Famille et Pro (y compris Pro Education et Pro for Workstations), le support s’arrêtera au 14 mars 2028, soit environ 25 mois.

À noter également que Windows 11 SE n’est pas concerné par 26H1, Microsoft ayant confirmé que la version 24H2 sera la dernière prise en charge pour cette édition.

Conclusion

Windows 11 26H1 marque un tournant important pour Microsoft. Après plusieurs années de critiques sur les performances, la cohérence de l’interface et la qualité des mises à jour, l’éditeur semble enfin adopter une approche plus pragmatique : améliorer l’existant plutôt que multiplier les nouveautés visibles.

Cette évolution se traduit par des optimisations en profondeur — souvent moins spectaculaires — mais essentielles au quotidien : meilleures performances, système plus stable, interface plus homogène et intégration plus mesurée de certaines fonctionnalités comme l’IA.

Il faut toutefois rappeler que 26H1 n’est pas une mise à jour destinée au grand public, mais une base technique utilisée sur certains nouveaux appareils. La véritable évolution visible pour la majorité des utilisateurs devrait plutôt arriver avec Windows 11 26H2, attendue en fin d’année 2026.

Cette approche rappelle le passage de Windows Vista à Windows 7, où Microsoft avait déjà privilégié l’optimisation et la stabilité après une phase de changements plus brutaux.

Reste à voir si cette nouvelle direction sera maintenue dans le temps. Mais une chose est certaine : après une phase d’expérimentation parfois critiquée, Windows 11 semble enfin entrer dans une phase de maturité, plus en phase avec les attentes des utilisateurs.

L’article Windows 11 26H1 : Microsoft prépare une mise à jour 2026 avec plus de performances et moins d’IA est apparu en premier sur malekal.com.