Battlefield 6 refuse de se lancer sans Secure Boot activé. Vanguard d’Activision aussi. Microsoft en a fait un prérequis officiel pour Windows 11, et pourtant beaucoup d’installations restent en limbes. Option grisée dans le BIOS, disque encore en MBR, ou pire, une mise à jour de certificats programmée pour juin 2026 qui risque de laisser des millions de PC dans un état de sécurité dégradé. Voici ce qu’il faut comprendre, vérifier et corriger pour rester du bon côté.
Ce que Secure Boot bloque réellement (et ce qu’il ne bloque pas)
Secure Boot existe dans l’UEFI depuis Windows 8, mais sa mission n’a pas changé. Au démarrage, le firmware vérifie la signature numérique de chaque composant lancé : pilotes UEFI, chargeurs de démarrage, gestionnaire de boot Windows. Tout ce qui ne correspond pas à un certificat présent dans la base DB du firmware est refusé. C’est précisément ce qui bloque les bootkits comme BlackLotus (CVE-2023-24932), capable de s’installer sous Windows et de survivre à une réinstallation propre.
En revanche, Secure Boot ne protège plus une fois la session Windows ouverte. Un malware qui s’exécute après l’ouverture de session passe par d’autres mécanismes : antivirus, contrôle d’accès, isolation des processus. Confondre ces deux niveaux conduit à une fausse impression de sécurité. Pour Windows 11, Microsoft impose Secure Boot et TPM 2.0 ensemble. Le premier valide la chaîne de démarrage, le second sert de coffre-fort matériel pour les clés BitLocker, Windows Hello et les attestations à distance.
Vérifier l’état en 30 secondes sans toucher au BIOS
Touche Windows + R , taper msinfo32 , valider. Dans la fenêtre, deux lignes comptent. Mode BIOS doit afficher UEFI. État de la sécurité de démarrage doit indiquer Activé. Si Mode BIOS affiche Hérité (Legacy), Secure Boot reste inactivable tant que le disque n’est pas converti en GPT. C’est le scénario le plus fréquent sur les PC achetés avant 2018 ou les Windows 10 cloniés depuis un disque MBR.
Activer Secure Boot sans casser le démarrage
L’opération prend cinq minutes sur un PC déjà en UEFI/GPT. Aller dans Paramètres > Système > Récupération, cliquer sur Redémarrer maintenant sous Démarrage avancé , puis Dépannage > Options avancées > Changer les paramètres du microprogramme UEFI > Redémarrer.
Dans le BIOS, l’option se trouve dans l’onglet Boot , Security ou Authentication selon le constructeur. Touche d’accès rapide au démarrage : F2 sur Dell et ASUS, F10 sur HP, Suppr sur la plupart des cartes mères Gigabyte et MSI. Passer Secure Boot sur Enabled , sauvegarder avec F10.
Avant la moindre modification, suspendre BitLocker depuis Windows. Une invite de commandes admin et la ligne manage-bde -protectors -disable C: suffisent. Sans cette précaution, le PC réclame la clé de récupération de 48 chiffres au prochain redémarrage. Beaucoup d’utilisateurs découvrent à ce moment qu’ils n’ont jamais sauvegardé cette clé. Elle est normalement stockée sur le compte Microsoft lié au PC, dans la section Périphériques > Clés de récupération BitLocker. Sur un compte local non lié, elle peut être perdue définitivement.
Les trois pièges qui transforment l’opération en cauchemar
Piège n°1 : Secure Boot grisé. L’option apparaît mais reste inaccessible. Cause quasi systématique, le disque système est encore en MBR. Solution : ouvrir un terminal administrateur et taper mbr2gpt /validate /allowFullOS. Si la validation passe, lancer mbr2gpt /convert /allowFullOS. La conversion crée une partition EFI de 100 à 260 Mo en FAT32 sans toucher aux données. Trois conditions sont indispensables. Disque MBR avec maximum 3 partitions , Windows 64 bits, BitLocker suspendu. Si l’une manque, mbr2gpt refuse.
Piège n°2 : la conversion qui échoue après un clonage. L’erreur « Cannot find OS partition on disk 0 » survient typiquement sur un SSD cloné. Le gestionnaire de démarrage ne réside pas sur la même partition que Windows. La solution consiste à reconstruire les fichiers de boot avec bcdboot C:\Windows /s C: /f BIOS, à marquer la partition active dans diskpart, puis à relancer mbr2gpt. Si le système refuse toujours, l’option propre reste la réinstallation sur disque effacé en mode UEFI. Comptez 1h30 à 2h avec sauvegarde et restauration des données.
Piège n°3 : désactiver Secure Boot après l’avoir activé. Toggle off, toggle on, et le PC peut perdre les certificats 2023 récemment installés via Windows Update. Microsoft le précise explicitement. Une fois la transition faite, ne plus toucher à l’interrupteur. Une bascule déclenche aussi parfois l’écran « Secure Boot policy has unexpectedly changed » avec demande de clé BitLocker, sans intervention extérieure.
La bombe à retardement de juin 2026
Trois certificats Microsoft de 2011 expirent en juin 2026 (Corporation KEK CA 2011, UEFI CA 2011, plus un certificat tiers). Le Microsoft Windows Production PCA 2011 suit en octobre 2026. Au total, quinze ans de chaîne de confiance Secure Boot qui basculent sur de nouveaux certificats datés 2023.
Les PC fabriqués à partir de 2024 intègrent déjà les nouveaux certificats. Pour les machines achetées entre 2018 et 2023, deux mises à jour sont nécessaires dans le bon ordre. D’abord la mise à jour BIOS du fabricant. Dell, HP, Lenovo et ASUS ont publié les leurs entre fin 2024 et 2025. Ensuite la mise à jour des certificats côté Windows, qui arrive automatiquement via Windows Update sur les machines opt-in.
Conséquence concrète sans intervention : le PC continuera de démarrer normalement, mais ne recevra plus les correctifs de la base de révocation Secure Boot ni les mises à jour du Windows Boot Manager. La vulnérabilité CVE-2026-21265 corrigée en janvier 2026 est un avant-goût. Elle permet de contourner Secure Boot, et seuls les systèmes ayant reçu les certificats 2023 peuvent appliquer le correctif complet.
Pour vérifier le statut, PowerShell en mode admin et la commande Get-SecureBootUEFI db -Decoded. Si la sortie liste Windows UEFI CA 2023 , le PC est paré. Sinon, priorité à la mise à jour BIOS via le site du constructeur, puis Windows Update.
Quand désactiver Secure Boot reste justifié
Trois cas concrets justifient une désactivation temporaire. Démarrer une distribution Linux ancienne sans support Shim signé (Ubuntu 22.04 LTS et Fedora 38+ supportent Secure Boot nativement, le besoin disparaît donc avec une distrib récente). Brancher une carte graphique externe avec firmware non signé. Démarrer un outil de récupération type Hiren’s BootCD ou MediCat. Dans tous les autres cas, le compromis sécurité contre flexibilité penche nettement du côté de l’activation, surtout depuis la généralisation des bootkits comme service sur les forums underground.
FAQ
Peut-on installer Windows 11 sans Secure Boot ?
Techniquement oui, via Rufus en mode contournement ou en modifiant la clé de registre LabConfig pendant l’installation. Mais Microsoft a renforcé la vérification depuis la version 24H2. Certaines mises à jour de fonctionnalités refusent désormais de s’installer sur des configurations non conformes, et le PC affiche un filigrane « Configuration système non prise en charge » en bas à droite du bureau.
Pourquoi le PC réclame la clé BitLocker après une simple mise à jour Windows ?
La mise à jour KB5083769 d’avril 2026 a déclenché ce comportement sur les configurations utilisant la stratégie de groupe Configure TPM platform validation profile for native UEFI firmware configurations avec PCR7 forcé. La demande n’apparaît qu’une seule fois. Entrer la clé permet aux démarrages suivants de reprendre normalement.
Conclusion
Secure Boot est passé en cinq ans d’option de sécurité optionnelle à pilier du contrat de confiance entre Windows 11 et le matériel. La fenêtre du premier semestre 2026 est le bon moment pour vérifier trois choses. L’état actuel via msinfo32. La version BIOS sur le site du fabricant. La présence des certificats 2023 via PowerShell. Cinq minutes d’audit pour éviter de figurer dans la liste des machines qui basculeront en sécurité dégradée à la rentrée.