📅 Contexte

Article publié le 13 avril 2026 sur Tomsguide.fr, basé sur le document technique Microsoft Support KB5062710. Il traite de l’expiration imminente des certificats cryptographiques fondant la chaîne de confiance du Secure Boot Windows, émis en 2011 à l’époque de Windows 8.

🔐 Certificats concernés et calendrier

Microsoft a publié un calendrier précis d’expiration :

  • Certificat KEK (Key Enrollment Key) : expiration en juin 2026
  • Certificat UEFI CA : expiration en juin 2026
  • Certificat Windows Production PCA : expiration en octobre 2026

Des versions de remplacement millésimées 2023 doivent prendre le relais.

⚠️ Impact sur les machines non mises à jour

Les PC dont les certificats n’ont pas été renouvelés ne cesseront pas de fonctionner, mais perdront progressivement leur capacité à recevoir :

  • Les mises à jour du gestionnaire de démarrage
  • Les listes de révocation (DBX)
  • Les correctifs contre les vulnérabilités de type bootkit

Cette dégradation est qualifiée d’« érosion silencieuse » de la posture de sécurité.

🖥️ Populations les plus exposées

  • Configurations anciennes
  • Environnements dual-boot
  • Postes professionnels sous maintenance réduite
  • Machines assemblées sans suivi OEM structuré

🔑 Angles morts : BitLocker et révocation DBX

Microsoft mentionne explicitement le durcissement BitLocker parmi les scénarios affectés. Un décalage de certificat pourrait déclencher une demande de clé de récupération au redémarrage. Sans KEK à jour, l’appareil ne pourra plus recevoir de mises à jour de la DBX, rendant impossible la révocation d’un bootloader signé mais vulnérable.

📌 Type d’article

Article de presse spécialisée à visée informative, relayant une annonce officielle Microsoft (KB5062710) sur une évolution critique de l’infrastructure de sécurité au démarrage affectant potentiellement des millions de PC Windows.

🧠 TTPs et IOCs détectés

TTP

  • T1542.003 — Pre-OS Boot: Bootkit (Defense Evasion)

🔴 Indice de vérification factuelle : 33/100 (basse)

  • ⬜ tomsguide.fr — source non référencée (0pts)
  • ✅ 5470 chars — texte complet (fulltext extrait) (15pts)
  • ⬜ aucun IOC extrait (0pts)
  • ⬜ pas d’IOC à vérifier (0pts)
  • ✅ 1 TTP(s) MITRE (8pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://www.tomsguide.fr/des-millions-de-pc-windows-devront-mettre-a-jour-leur-bios-avant-juin-2026/