Les bootkits tentent d’infecter un système avant même que Windows et les logiciels de sécurité ne se soient lancés. Cela leur permet de s’implanter profondément dans le système et de passer souvent inaperçus. Pour éviter cela, Windows s’appuie sur Secure Boot, une fonctionnalité de sécurité qui vérifie que seuls les logiciels de confiance sont autorisés à se lancer pendant le processus de démarrage.
Les certificats Secure Boot arrivent à expiration
Secure Boot utilise des certificats numériques pour permettre ce contrôle. Et c’est là que le bât blesse : une grande partie de ces certificats expire à partir de juin 2026. Sans intervention, cela pourrait signifier à terme que les systèmes ne feront plus confiance aux nouveaux chargeurs d’amorçage, voire ne recevront plus correctement les mises à jour de sécurité.
Microsoft intervient désormais avec les mises à jour de janvier pour Windows 11 et Windows 10, dans lesquelles les certificats arrivant à expiration sont remplacés par de nouveaux exemplaires à longue durée de validité. Pour Windows 11, il s’agit de la mise à jour KB5074109, et pour Windows 10, de la mise à jour KB5073724 (pour les systèmes qui reçoivent encore des mises à jour). Selon Microsoft, le fait de ne pas installer cette mise à jour peut entraîner une « diminution de la sécurité et de la facilité de maintenance » des systèmes Windows. Dans le pire des cas, la protection contre les bootkits pourrait ainsi être compromise.
Également important pour les particuliers
L’avertissement de Microsoft s’adresse en premier lieu aux administrateurs informatiques et de sécurité qui gèrent un grand nombre de PC. Mais le message vaut tout autant pour les particuliers. Un ordinateur portable ou de bureau personnel peut également devenir vulnérable si Secure Boot ne fonctionne plus correctement. Heureusement, la solution est simple. Rendez-vous dans Paramètres > Windows Update et vérifiez si la mise à jour est disponible. Dans la plupart des cas, elle est proposée automatiquement. Si ce n’est pas le cas, il suffit de rechercher manuellement les mises à jour.
Sur les systèmes modernes, Secure Boot est généralement activé par défaut, car il fait partie de la norme UEFI. Si vous utilisez un PC acheté ces dernières années, vous n’avez normalement rien de particulier à faire. Mais sans cette mise à jour, cette protection perdra à terme un pilier essentiel. En résumé : ce Patch Tuesday est un rendez-vous à ne pas manquer. Non pas pour ses nouvelles fonctionnalités, mais parce qu’il protège votre PC contre un type de malware auquel vous préférez ne jamais être confronté.
Lire aussi : Une attaque de type « Reprompt » a permis de détourner des sessions Microsoft Copilot
