Battlefield 6, Call of Duty: Warzone, Black Ops 7. Trois jeux qui refusent désormais de se lancer si Secure Boot n’est pas activé sur Windows 10. La fonction n’a plus rien d’optionnel : à partir du 24 juin 2026, les certificats UEFI d’origine commencent à expirer, et Microsoft pousse activement la migration vers les nouveaux. Sur un PC installé en mode Legacy BIOS, basculer brutalement en UEFI Secure Boot peut transformer la machine en presse-papier. Voici la marche à suivre, étape par étape, sans casser l’installation.
Ce qu’il faut vérifier avant de toucher au BIOS
Quatre prérequis bloquants. Windows 10 doit être en version 1703 ou supérieure pour utiliser l’outil mbr2gpt (vérifiable via la commande winver). Le disque système ne doit pas dépasser 3 partitions actives , c’est la limite stricte de la conversion sans réinstallation. BitLocker doit être suspendu ou désactivé , sinon la conversion échoue silencieusement. Et le système doit être en 64 bits, ce qui exclut d’office les vieilles installations 32 bits.
Comptez 30 minutes pour un PC déjà en UEFI/GPT , et entre 1h30 et 3h pour une machine à convertir depuis Legacy. Sauvegarde externe obligatoire avant la conversion : la procédure est annoncée non destructive, mais 5 à 10 % des conversions partielles laissent un disque non bootable, généralement à cause d’une partition de récupération mal placée.
Étape 1 : vérifier l’état actuel du système
Pressez Windows + R, tapez msinfo32, puis cherchez deux lignes. Mode BIOS indique soit Hérité (Legacy) soit UEFI. État du démarrage sécurisé affiche Activé, Désactivé ou Non pris en charge. Si la mention est « Non pris en charge » alors que la carte mère est récente, c’est presque toujours un signe de mode Legacy actif, pas un défaut matériel.
Ouvrez ensuite la Gestion des disques (clic droit sur Démarrer). Clic droit sur le disque système, Propriétés, onglet Volumes. Regardez Style de partition : GPT ou MBR. Si MBR apparaît, l’étape 2 est obligatoire avant toute autre action dans le BIOS. Activer Secure Boot directement sur un disque MBR garantit un boot loop.
Étape 2 : convertir le disque de MBR vers GPT
Lancez une invite de commande en administrateur. Tapez d’abord mbr2gpt /validate /allowFullOS. Cette commande ne modifie rien, elle teste si la conversion est possible. Si elle renvoie une erreur, c’est presque toujours à cause d’une quatrième partition cachée (souvent une partition OEM type Lenovo ou HP) ou d’un volume chiffré par BitLocker. Supprimer la partition OEM via diskpart règle 70 % des cas, après sauvegarde.
Si la validation passe, exécutez mbr2gpt /convert /allowFullOS. La conversion prend entre 30 secondes et 4 minutes selon la taille du disque. Le SSD reste intact, les fichiers et applications aussi. Un message d’erreur sur l’environnement de récupération Windows est fréquent et sans gravité, il se corrige après redémarrage avec reagentc /disable puis reagentc /enable.
Étape 3 : basculer le BIOS en mode UEFI et désactiver CSM
Redémarrez et entrez dans le BIOS. La touche varie selon le constructeur : F2 sur la plupart des Asus et Acer , Suppr sur MSI et Gigabyte , F10 sur HP , F12 sur Lenovo. L’option à modifier se cache souvent sous Boot, Advanced ou Security.
Cherchez CSM (Compatibility Support Module) et passez-le sur Disabled. C’est l’erreur n°1 des utilisateurs : laisser CSM activé annule purement et simplement Secure Boot, qui restera affiché comme « Off » dans Windows même après l’avoir coché. Réglez ensuite Boot Mode ou OS Type sur UEFI uniquement, jamais sur « UEFI + Legacy ».
Sauvegardez avec F10 et redémarrez. Si Windows ne démarre plus à ce stade, retournez dans le BIOS et réactivez CSM temporairement, la conversion GPT a probablement laissé une partition ESP incomplète. L’outil de réparation au démarrage de Windows 10 (média d’installation USB, option Réparer) corrige ça en 5 minutes.
Étape 4 : activer Secure Boot et confirmer
Retournez dans le BIOS. L’option Secure Boot se trouve généralement dans Boot ou Security. Avant de l’activer, vérifiez deux paramètres : Secure Boot Mode doit être sur Standard, et OS Type sur Windows UEFI mode.
Sur certaines cartes mères Asus, MSI ou ASRock, l’activation refuse de se faire tant que les clés par défaut ne sont pas chargées. Cherchez Install Default Secure Boot Keys ou Restore Factory Keys dans le menu Key Management, validez, puis activez Secure Boot. Sauvegardez, redémarrez, et relancez msinfo32. La ligne État du démarrage sécurisé doit afficher Activé.
Erreurs fréquentes à éviter
Activer Secure Boot avant la conversion GPT est la cause la plus courante des boucles de redémarrage infinies signalées en ligne. Le PC affiche le logo, tourne en rond, redémarre. Récupération : retirer la pile CMOS pendant 30 secondes minimum, idéalement 5 minutes , en maintenant le bouton d’alimentation enfoncé 15 à 30 secondes pour vider les condensateurs. Le BIOS revient aux paramètres par défaut.
Drivers GPU obsolètes : les cartes Nvidia antérieures à la GTX 9xx peuvent avoir un firmware non signé UEFI. L’outil Nvidia GOP Update Tool corrige ça en 2 minutes pour les modèles compatibles. Sans correctif firmware, l’écran reste noir au démarrage UEFI.
Cumuler la conversion et l’activation dans la même session : convertir, activer Secure Boot, désactiver CSM, le tout en un seul redémarrage augmente le risque d’échec à environ 30 %. Procéder en trois redémarrages distincts, en vérifiant que Windows démarre normalement entre chaque modification, est nettement plus sûr.
Le piège des certificats qui expirent en juin 2026
Microsoft a annoncé l’expiration de trois certificats Secure Boot émis en 2011. Le 24 juin 2026 pour le KEK CA et l’UEFI CA, octobre 2026 pour le Production PCA qui signe le bootloader Windows lui-même. Sans les nouveaux certificats 2023, le PC continue de démarrer normalement, mais ne reçoit plus aucune mise à jour de sécurité du processus de démarrage.
C’est là que ça coince pour Windows 10 : le support a pris fin le 14 octobre 2025. Sans inscription au programme Extended Security Updates (ESU) , la machine ne recevra pas automatiquement les certificats 2023. Les bootkits comme BlackLotus , premier malware à avoir contourné Secure Boot sur Windows 11 entièrement à jour en 2023, deviennent alors une menace permanente. Les PC fabriqués après 2024 embarquent souvent les certificats 2023 d’origine en firmware OEM, ce qui les protège déjà.
FAQ
Activer Secure Boot ralentit-il le démarrage du PC ? Le surcoût mesuré est de 0,5 à 2 secondes au démarrage, le temps de la vérification cryptographique des composants signés. Sur SSD NVMe, c’est imperceptible. Sur HDD mécanique, comptez plutôt 2 à 3 secondes supplémentaires.
Faut-il obligatoirement TPM 2.0 pour activer Secure Boot ? Non. Secure Boot fonctionne indépendamment du TPM. Cela dit, la plupart des jeux qui exigent l’un demandent aussi l’autre, et Windows 11 impose les deux. Activer TPM dans la même session BIOS évite un second passage par les menus.
Peut-on revenir en arrière après avoir activé Secure Boot ? Oui, la désactivation est immédiate dans le BIOS et n’a aucun impact sur Windows. Le disque reste en GPT, ce qui ne pose aucun problème de fonctionnement. Seule la conversion MBR vers GPT est, elle, irréversible sans réinstallation complète.
Conclusion
La règle qui sauve : convertir d’abord, redémarrer, puis activer. Les boucles de boot signalées sont presque toutes le résultat d’une activation prématurée de Secure Boot sur un disque MBR encore en mode Legacy. Avec une sauvegarde externe et la procédure en trois redémarrages distincts, l’opération tient en moins d’une heure sur la majorité des configurations. Avec l’échéance du 24 juin 2026 qui approche, mieux vaut sécuriser son démarrage maintenant que devoir le faire dans l’urgence après l’expiration des certificats.