Ce week-end, pendant qu'on se gavait d'oeufs de Pâques au Cadmium, un chercheur en sécu a balancé un zero-day Windows dans la nature... et tout ça d'après ce que j'ai compris, à cause de Microsoft qui l'a vraiment poussé à bout. L'exploit s'appelle BlueHammer et il permet à quiconque ayant un accès local sur une machine Windows 11 25H2 de passer SYSTEM. Et vous vous en doutez y'a toujours pas de patch.
Il s'agit d'une d'une escalade de privilèges locale (LPE) qui exploite une race condition de type TOCTOU (time-of-check to time-of-use), combinée avec une confusion de chemins dans le processus de mise à jour des signatures de Windows Defender. Je sais, il est trop tôt pour ces conneries mais disons que c'est le bug classique où un programme vérifie un truc, puis l'utilise, mais entre les deux quelqu'un a changé le truc en question.
En gros, l'exploit profite d'une fenêtre de temps entre le moment où Defender vérifie un fichier et celui où il l'utilise pour glisser un lien symbolique qui redirige vers la ruche SAM, le fichier C:\Windows\System32\config\SAM (là où Windows stocke les identifiants locaux). Et là, après ça devient open bar sur
les hash de mots de passe
de tous les comptes locaux.
Son reproche ? D'abord le MSRC (Microsoft Security Response Center) qui lui a demandé une vidéo de démonstration pour valider son rapport, et ensuite une réponse sur ce bug Windows Defender qui ne l'a visiblement pas satisfait : "I'm just really wondering what was the math behind their decision"
Will Dormann, analyste principal chez Tharros (ex-Analygence) et référence dans le milieu, a confirmé que l'exploit fonctionne, même s'il précise que l'exploitation n'est pas triviale. Une fois les privilèges obtenus, l'attaquant a les clés du royaume et peut lancer un shell avec les privilèges SYSTEM comme si c'était chez lui... Donc pas trivial, certes mais bien réel. D'ailleurs, c'est pas la première fois que
Windows se fait éplucher par des chercheurs
qui trouvent sans difficultés des failles d'escalade de privilèges en série.
Après, sous le capot, c'est quand même bien foutu. Un développeur (0xjustBen) a réimplémenté le PoC de manière modulaire et ça montre bien la mécanique : un module télécharge une vraie mise à jour Defender, un autre surveille les Volume Shadow Copies, un troisième enregistre un callback via l'API Cloud Files.
Et le cœur du truc joue la race condition avec un swap de lien symbolique pour lire la ruche SAM.
Notez quand même que le PoC original contient des bugs (le chercheur l'admet lui-même dans le README) et ne fonctionne pas sur Windows Server... ce qui ne veut pas dire que c'est inoffensif, attention. Et la réimplémentation de 0xjustBen, elle, n'a fonctionné que sur Windows 11 25H2, les versions 22H2, 23H2 et 24H2 n'étant pas affectées. Pas de CVE attribuée non plus pour l'instant, ce qui veut dire que Microsoft n'a même pas encore catalogué officiellement le problème.
Côté protection, c'est pas simple vu qu'il n'y a pas de correctif officiel mais comme l'attaque nécessite un accès local à la machine, ça limite pas mal les scénarios. Faut déjà être sur le poste Windows, que ce soit via un malware, du social engineering ou un accès physique. Après on sait bien qu'en entreprise, un poste partagé ou un stagiaire un peu curieux, c'est pas rare...
Premier réflexe donc : allez vérifier votre version de Windows (Paramètres > Système > À propos, ou winver dans Exécuter). Si vous n'êtes pas sur 25H2, vous n'êtes pas concerné. Sinon, vérifiez que vos comptes locaux ont des mots de passe costauds (pas "admin123"), désactivez les comptes inutilisés et gardez un œil sur les processus qui tournent avec des privilèges élevés. Côté entreprise, les solutions EDR devraient pouvoir détecter le comportement suspect (création de service temporaire, accès SAM inhabituel).
Bref, je pense que Microsoft finira bien par patcher... un jour.
Le Red Magic 11 Golden Saga Edition est un téléphone Android capable de faire tourner des jeux PC Windows en local, sans connexion internet et sans cloud gaming. Red Dead Redemption 2 tourne à plus de 40 images par seconde, GTA V dépasse les 60, et Cyberpunk 2077 est jouable. Le tout dans la poche.
Comment ça marche
Red Magic utilise un outil appelé GameHub, qui fait tourner des jeux Windows directement sur Android grâce à une couche d'émulation basée sur Wine et Proton (les mêmes technologies que Valve utilise sur le Steam Deck pour faire tourner des jeux Windows sous Linux).
Pas besoin de streaming, pas besoin de serveur distant. Le jeu s'exécute en local sur le téléphone, avec les fichiers installés sur le stockage interne.
Le Red Magic 11 Golden Saga Edition embarque un Snapdragon 8 Elite Gen 5 avec 24 Go de RAM LPDDR5T et 1 To de stockage UFS 4.1 Pro.
Il y a aussi un système de refroidissement actif avec ventilateur, des chambres à vapeur dorées et de l'argent dans le circuit de dissipation thermique. L'écran fait 6,85 pouces, 144 Hz, en AMOLED, et la batterie est de 7 500 mAh.
Les performances en jeu
Red Dead Redemption 2 tourne autour de 40 à 50 images par seconde en moyenne, avec des pointes à 60 dans les intérieurs. GTA V monte jusqu'à 100 images par seconde en intérieur et reste autour de 65 en ville.
Cyberpunk 2077, le plus gourmand, tient au-dessus de 30 images par seconde en 720p avec les paramètres au minimum et le FSR activé. C'est jouable, mais on est loin du confort d'un PC.
Par contre, le téléphone chauffe beaucoup. Des tests ont montré que le processeur pouvait atteindre 100 degrés en charge prolongée sur Cyberpunk 2077. Le ventilateur tourne à fond, et l'autonomie en prend un coup.
Le prix du jouet
Le Red Magic 11 Golden Saga Edition est affiché à 1 500 euros. A ce tarif, on peut acheter un PC gaming portable correct ou un Steam Deck OLED avec encore pas mal de marge. Le public visé est très spécifique : les passionnés de gaming mobile qui veulent jouer à des jeux PC sans avoir de PC.
Bon maintenant on ne va pas de mentir, pour bien moins cher, un Steam Deck OLED fait largement mieux, avec un écran plus grand et une bien meilleure ergonomie pour jouer.
Microsoft is expected to roll out the Windows 11 April 2026 update with new features, better performance, and usability improvements across the system.
Le déploiement des nouveaux certificats Secure Boot 2023 sur Windows 11 provoque des dysfonctionnements sur certains PC, en particulier les machines plus anciennes.
Ce problème met en lumière un sujet bien plus large : les limites et incohérences des firmwares UEFI selon les constructeurs, qui compliquent fortement la transition vers les nouveaux standards de sécurité.
Alors que Microsoft prépare le remplacement des certificats de 2011, cette mise à jour censée renforcer la sécurité du démarrage révèle des failles structurelles dans l’écosystème matériel.
Dans cet article, nous faisons le point sur les causes de ces échecs, les PC concernés et les solutions possibles pour corriger le problème.
Une mise à jour de sécurité critique… mais instable
Secure Boot est une fonctionnalité essentielle de Windows 11 qui permet de vérifier l’intégrité du système dès le démarrage.
Elle repose sur une chaîne de confiance basée sur plusieurs éléments :
des clés cryptographiques stockées dans le firmware
une base de signatures autorisées (DB)
une liste de révocation (DBX)
des certificats Microsoft permettant de valider le bootloader
Avec la mise à jour CA-2023, Microsoft cherche à révoquer d’anciens composants jugés vulnérables et à introduire de nouveaux certificats plus sécurisés.
Mais en pratique, cette transition ne se passe pas comme prévu.
De nombreux utilisateurs rencontrent :
des erreurs lors de l’application des mises à jour Secure Boot
des messages d’alerte au démarrage
des systèmes incapables de démarrer correctement
des états incohérents de Secure Boot
Un problème qui dépasse Windows : le firmware en cause
Contrairement aux mises à jour classiques de Windows, ce problème ne vient pas uniquement du système d’exploitation.
Il met en cause l’ensemble de la chaîne matérielle.
Les causes identifiées incluent :
firmwares UEFI obsolètes ou mal implémentés
gestion incohérente des bases DB / DBX
pipelines de mise à jour défaillants
clés de sécurité incomplètes ou incorrectes
implémentations non standard selon les constructeurs
Résultat : deux PC identiques sous Windows 11 peuvent réagir totalement différemment face à la même mise à jour.
Certains systèmes appliquent correctement les certificats, tandis que d’autres :
ignorent les mises à jour
se retrouvent dans un état partiellement sécurisé
ou deviennent instables voire non bootables
Une transition obligatoire avant 2026
Ce problème intervient dans un contexte critique.
Les anciens certificats Secure Boot (2011) doivent être progressivement abandonnés, notamment en 2026.
Microsoft impose donc :
l’intégration des certificats CA-2023
la révocation des anciens bootloaders vulnérables
une mise à jour des bases de sécurité dans le firmware
Sans cette transition, les systèmes risquent :
une sécurité dégradée
une incompatibilité avec les futures mises à jour
voire des blocages de démarrage à terme
Des comportements très variables selon les constructeurs
L’un des points les plus problématiques est le manque d’uniformité.
Selon les retours :
certains PC Lenovo ou Dell appliquent les mises à jour sans problème
certaines cartes mères ASUS ou MSI nécessitent des manipulations spécifiques
d’autres configurations, notamment sur des PC assemblés, rencontrent des échecs persistants
Dans certains cas, les utilisateurs doivent :
réinitialiser les clés Secure Boot
réinstaller les certificats manuellement
mettre à jour le BIOS/UEFI
ou reconstruire le bootloader Windows
Ces manipulations, parfois complexes, montrent que Secure Boot reste encore loin d’être totalement transparent pour l’utilisateur.
Problèmes Secure Boot 2023 selon les constructeurs
Un écosystème encore trop fragmenté
Ce que révèle cette situation, c’est un problème structurel.
Secure Boot fonctionne parfaitement en théorie, mais dépend fortement de l’implémentation des fabricants.
Aujourd’hui :
les interfaces UEFI sont différentes selon les marques
la terminologie varie d’un constructeur à l’autre
les outils de diagnostic sont limités côté Windows
les procédures de mise à jour ne sont pas standardisées
Ce manque d’harmonisation complique fortement la gestion des incidents.
Problème de déploiement du Secure Boot 2023 par constructeur de PC
Le déploiement des certificats Secure Boot 2023 n’a pas échoué de manière uniforme. Selon le constructeur ou la carte mère, les comportements peuvent être très différents, ce qui complique fortement le diagnostic.
Voici un résumé des problèmes observés selon les principaux fabricants :
Constructeur / type de PC
Problèmes rencontrés
Particularités
ASUS
Échec d’application des mises à jour DBX
Nécessite parfois de désactiver Secure Boot pour appliquer une mise à jour, ce qui est paradoxal
MSI
Gestion incohérente des bases Secure Boot
Firmware qui ignore certaines mises à jour ou revient aux clés d’usine
ASRock
Mise à jour souvent manuelle nécessaire
Obligation de réinitialiser les clés, réimporter les certificats ou intervenir dans l’UEFI
PC assemblés (DIY)
Problèmes fréquents et imprévisibles
Dépend fortement du BIOS, de sa version et de la compatibilité matérielle
OEM (Lenovo, Dell…)
Globalement plus stables
Implémentation plus homogène et mieux testée dans la majorité des cas
Ces différences s’expliquent par un problème structurel : chaque constructeur implémente Secure Boot à sa manière, avec des niveaux de qualité et de conformité très variables.
Dans certains cas, le firmware :
ignore les mises à jour de sécurité
applique partiellement les certificats
ou provoque des comportements incohérents (boot instable, erreurs TPM, etc.)
Comment vérifier si la mise à jour Secure Boot a échoué
Dans la plupart des cas, l’échec de la mise à jour des certificats Secure Boot ne provoque pas de message clair pour l’utilisateur. Il est donc nécessaire de vérifier manuellement si l’installation s’est correctement déroulée.
Vérifier l’échec d’installation dans Windows Update
Commencez par ouvrir Windows Update puis consultez l’historique des mises à jour :
Ouvrez Paramètres > Windows Update
Cliquez sur Historique des mises à jour
Si la mise à jour liée à Secure Boot échoue, vous pouvez voir apparaître :
un échec d’installation
un code d’erreur (parfois générique)
ou une tentative répétée sans succès
Ces mises à jour peuvent apparaître sous forme de mises à jour de sécurité ou de firmware.
Vérifier les erreurs dans l’Observateur d’événements
L’Observateur d’événements permet d’identifier plus précisément les problèmes liés à Secure Boot.
Faites un clic droit sur le menu Démarrer ou utilisez le raccourci clavier
+
X
un échec de mise à jour des bases de données Secure Boot (DB / DBX)
un problème de validation de certificat
ou un refus du firmware UEFI
Vérifier les certificats Secure Boot 2023 avec PowerShell
Windows permet également de vérifier l’état des bases Secure Boot via PowerShell.
Ouvrez PowerShell en tant qu’administrateur puis utilisez la commande suivante :
([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match ‘Windows UEFI CA 2023’)
True : cela signifie que le certificat Windows UEFI CA 2023 est déjà présent dans votre base de données Secure Boot. Votre système est prêt, même si l’Observateur d’événements affiche encore des messages de préparation ou d’observation.
Faux : cela signifie que votre appareil n’a pas encore reçu le certificat. Il ne s’agit pas d’une erreur et aucune action n’est requise. Votre PC attend simplement son tour dans le cadre du déploiement.
Pour aller plus loin, vous pouvez inspecter les bases de certificats :
Get-SecureBootUEFI -Name db Get-SecureBootUEFI -Name dbx
Ces commandes permettent de vérifier si les bases de signatures (autorisation et révocation) sont présentes et accessibles.
Sur certains systèmes, une absence de données ou une erreur d’accès peut indiquer un problème de mise à jour.
Vérifier le statut de la mise à jour Secure Boot (UEFI CA 2023) dans le registre Windows
Microsoft a introduit une clé de registre spécifique pour suivre l’état de déploiement des certificats Secure Boot 2023.
Cette clé permet de savoir si la mise à jour a été appliquée correctement.
Check_UEFI-CA2023.ps1 : analyse l’état des certificats et génère un rapport
Update_UEFI-CA2023.ps1 : permet d’appliquer certaines mises à jour manuellement
Check_DBXUpdate.bin.ps1 : vérifie la base de révocation (DBX)
Ces outils sont particulièrement utiles pour :
comprendre pourquoi une mise à jour échoue
vérifier si le système est conforme aux certificats 2023
identifier les actions à effectuer
Cependant, ils restent destinés à un public averti :
manipulation en PowerShell
interprétation des résultats techniques
accès à des paramètres firmware sensibles
Ils ne remplacent pas les mises à jour officielles Windows ou BIOS, mais constituent un excellent outil de diagnostic avancé.
Vérifier la compatibilité matérielle
Dans certains cas, le problème ne peut pas être corrigé uniquement côté Windows.
Si le firmware est trop ancien ou mal implémenté :
certaines mises à jour peuvent échouer définitivement
ou nécessiter une intervention du constructeur
Il est alors recommandé de consulter :
le site du fabricant de la carte mère ou du PC
les mises à jour BIOS disponibles
les notes de compatibilité Secure Boot
Un signal d’alerte pour Microsoft et les OEM
Cet incident met en évidence une réalité importante : la sécurité de Windows ne dépend pas uniquement du logiciel.
Elle repose aussi sur :
la qualité du firmware
la rigueur des constructeurs
la cohérence des standards UEFI
Microsoft devra probablement :
renforcer les exigences de certification matériel
améliorer les outils de diagnostic
mieux accompagner les utilisateurs
Conclusion
La transition vers les certificats Secure Boot 2023 est indispensable pour renforcer la sécurité de Windows 11.
Mais elle révèle aussi les limites actuelles de l’écosystème PC, où chaque constructeur implémente différemment des mécanismes pourtant critiques.
Ce problème dépasse largement une simple mise à jour : il met en lumière un défi majeur pour les années à venir, à l’approche de la fin des anciens certificats en 2026.
Entre sécurité renforcée et complexité technique, Secure Boot n’a jamais été aussi important… ni aussi délicat à gérer.
L’expression apparaît dès les années 1990, à l’époque de Windows 95 et de l’essor de Microsoft. Elle réapparait régulièrement et n’épargne pas Windows 11. Mérite-t-il pour autant ce surnom peu flatteur, surtout quand on sait qu’il ne coûte que 19€ ?
In space, no one can hear you scream ... at Microsoft Outlook (New). Microsoft's weird decision to split Outlook into two separate apps creates issues for the Atemis II NASA mission to the Moon, live on camera.
Arriving now for Windows 11 Insiders is a buff to Task Manager that provides far more information about your PC's NPU usage and performance. Here's how it works and why it makes sense in 2026.
Quelques jours après avoir suspendu le déploiement de la mise à jour KB5079391 — une mise à jour facultative qui permettait d’obtenir en avant-première les nouveautés de la future mise à jour d’avril 2026 et dont l’installation échouait sur certains ordinateurs avec l’erreur 0x80073712 — Microsoft corrige le tir avec la publication de la KB5086672. … Lire la suite
Microsoft vient de publier la mise à jour optionnelle KB5086672 pour Windows 11 (26200.8117), quelques jours seulement après avoir retiré la KB5079391 en raison de graves problèmes d’installation.
Cette nouvelle mise à jour d’avril 2026 marque un correctif rapide après un mois de mars particulièrement chaotique pour Windows Update, avec notamment des erreurs 0x80073712 empêchant totalement l’installation de la précédente preview.
Un correctif direct pour l’erreur 0x80073712
La principale raison du déploiement de KB5086672 est la correction de l’erreur 0x80073712.
Ce bug empêchait totalement l’installation de la précédente mise à jour, en signalant des fichiers manquants ou corrompus.
Microsoft a donc publié cette nouvelle version pour :
corriger le processus d’installation
restaurer l’intégrité des composants Windows Update
éviter les boucles d’échec d’installation
Contrairement à KB5079391, KB5086672 s’installe normalement sur les systèmes compatibles.
Microsoft a dû suspendre le déploiement de la mise à jour KB5079391 pour Windows 11 après que des utilisateurs ont rencontré des erreurs d'installation dues à des fichiers corrompus ou manquants, illustrant une nouvelle fois les difficultés récurrentes de fiabilité du système d'exploitation.
Microsoft has officially pulled the plug on the legacy Remote Desktop client, forcing users into the "Windows App" as the March 27 support deadline passes.
Microsoft released new preview builds across three Windows Insider channels. The Dev and Beta channels (Builds 26300.8142 and 26220.8138, both based on Windows 11 25H2) introduce the most notable changes: continued rollout of Administrator Protection—a new security feature that limits what admin accounts can do by default—plus Task Manager improvements for monitoring the Neural Processing Unit (NPU) and a new touchpad setting. The Canary Channel receives Build 29558, which primarily introduces Windows Console Host improvements but also includes other fixes.
Windows 11's in-box apps and system interfaces are currently a mishmash of native and web-based interfaces, but it sounds like that might soon be changing.
Console Host is gaining several features that have been available on Windows Terminal for a while, including better graphics support, scrolling performance improvements, and more.
Connexion
