Reprise du message précédent :
ce que j'ai expliqué c'est ce que ca va donner au X99 de UMI avec un certificat qui commence en 2023 et un bios dont la derniere version date de 2022    

Justement, comme secure boot version 2011 est troué de partout, il ne protège pas vraiment d'un bootkit.

Et personne ne jettera son PC si il ne démarre plus à cause de SB, ils feront appel à quelqu'un qui sait faire.

T'as rien compris au bouzin, ce n'est pas l'année du BIOS qui importe, même ma CM avec un BIOS de 2026 a encore le certificat de 2011, et les fabricants ne peuvent pas faire autrement au risque de planter la machine (même si une simple désactivation de SB suffit à la faire repartir).

C'est Windows qui installe le certificat 2023, mais à ce moment-là il ne sera plus possible de démarrer avec SB actif avec un bootloader encore en 2011, c'est là tout le problème.

ce qui faut tu comprends c'est les certificats de 2011 vont expirés en octobre 2026
 
 
Pour la majorité des utilisateurs grand public, il n'y a pas d'action manuelle à prévoir. Si le Secure Boot est activé, le firmware à jour et les mises à jour Windows Update actives, les nouveaux certificats s'installeront automatiquement. La vigilance est surtout de mise dans les environnements professionnels, où la gestion du parc informatique est plus complexe. Microsoft recommande aux administrateurs de vérifier l'état des machines et de tester le déploiement sur un périmètre pilote.

Le Secure Boot n'est pas une simple option dans le BIOS, il est le pilier de la chaîne de confiance de votre ordinateur. Il valide le chargeur de démarrage de Windows, les pilotes UEFI et même certains firmwares. Si une machine continue de s'appuyer sur des certificats périmés après l'échéance, elle s'expose à de graves dysfonctionnements.
 
https://www.generation-nt.com/actua [...] te-2069130
 
Les expirations s'étaleront de juin à octobre 2026 et touchent des éléments clés :

    Microsoft Corporation KEK CA 2011 (expire en juin 2026)
    Microsoft Corporation UEFI CA 2011 (expire en juin 2026)
    Microsoft Windows Production PCA 2011 (expire en octobre 2026)

Oui donc en bref RAS si on a le "Secure Boot" désactivé !

comme l'explique microsoft les nouveaux certificats commencent a l'année 2023
 
Le démarrage sécurisé est une fonctionnalité de sécurité du microprogramme UEFI (Unified Extensible Firmware Interface) qui permet de garantir que seuls les logiciels approuvés s’exécutent pendant la séquence de démarrage (démarrage) d’un appareil. Il fonctionne en vérifiant la signature numérique du logiciel de prédémarrage par rapport à un ensemble de certificats numériques approuvés (également appelés autorité de certification ou autorité de certification) stockés dans le microprogramme de l’appareil. En tant que standard du secteur, le démarrage sécurisé UEFI définit la façon dont le microprogramme de plateforme gère les certificats, authentifie le microprogramme et comment le système d’exploitation interagit avec ce processus. Pour plus d’informations sur UEFI et le démarrage sécurisé, consultez Démarrage sécurisé.
 
https://support.microsoft.com/fr-fr [...] b95457578e

 
oui mais le fond du probleme est c'est secure boot ton pc peut subir des attaques de virus de démarrage  

 
Il y a pas de vraies alternatives...  
 
Je veux dire c'est soit :  
 
- secure boot activé et mise à jour
- secure boot pas activé et/ou pas mise à jour et il faut dégager Windows 10 et utiliser autre chose.
 

Si un bootkit réussit à s'installer, ta machine a déjà été compromise.
 

Non, SB activé ou pas, tu recevras toujours les mises à jour (modulo celles concernant SB si celui-ci est désactivé).

Exactement. Et ça prend 30 secondes à désactiver au besoin.
Mais il faut faire peur, c'est ce qui fait vendre.

 
Je parlais de celles-ci (s'il y en a)

Alors pourquoi dis-tu "il faut dégager Windows 10 et utiliser autre chose" ?

Hermes pense probablement au cas théorique où le PC qui ne recoit plus de MAJ du BootManager ne sera donc pas protégé contre un malware qui attaquerait spécifiquement les "vieux" boot manager.
Si ce malware est spécifique à Windows, utiliser "autre chose" est donc une solution.
si le malware s'attaque à tout les boot manager, il n'y a plus vraiment de solution.
 
Reste à voir si un tel malware existera un jour...

Encore une fois, si un malware arrive à installer un bootkit, c'est que le PC est déjà compromis.

pas si sûr pour "Mme Michou"...

Sur la question désactiver SecureBoot vs garder SecureBoot actif avec les certificats de 2011, j'ai posé la question sur le fil de discussion de Microsoft AskMeAnything sur SecureBoot. On m'a répondu ainsi:

tant que cela fonctionne, il reste préférable d'avoir SecureBoot actif avec les certificats de 2011 que complètement désactivé, afin de se protéger au moins de certaines vieilles attaques.
Tout cela est évidemment théorique mais chacun peut ainsi mieux mesurer ses propres risques...

et de la même réponse, j'ai aussi reçu les détails sur les fichiers actifs sur la partition EFI:

donc sur sa partition EFI (qu'on peut monter avec 'mount x: /s'), si le fichier \EFI\Microsoft\boot\bootmgfw.efi  ('dir x:EFI\Microsoft\Boot\bootmgfw.efi'):

• correspond à celui de C:\Windows\Boot\EFI\bootmgfw.efi -> les certificats de 2011 sont encore utilisés
• correspond à celui de C:\Windows\Boot\EFI_EX\bootmgfw.efi ou bootmgfw_EX.efi -> les certificats de 2023 sont utilisés

Si, jusqu'en octobre 2026 avec un compte Microsoft et en étant en Europe  

voilà voilà  
https://x.com/tomwarren/status/2020207160597319931

 
Merci, j'avais entendu cette histoire de certificats mais pas pris le temps de m'y plonger. Résultat des courses sur une machine.
 
false
false
false
false
 

 
Maj du bios de 2022 sur B450
Va falloir s'occuper de ca encore    
+ vérifier les machines au boulot      
et celles des collègues        
 
L'article de cowcot mentionne que les maj ESU devraient les installer, avant juin 2026 et qu'il faut plus prêter attention à ladite installation, vous validez ?
"Windows 10, le vrai point de vigilance
 
Sur Windows 11, la transition devrait se faire automatiquement via les mises à jour cumulatives normales, tant que la machine reste supportée et à jour. En revanche, la situation est beaucoup plus délicate pour Windows 10.
 
Si un PC sous Windows 10 n’est pas sur une version LTSC ou inscrit au programme Extended Security Updates après la fin du support, il se peut qu’il ne reçoive jamais la mise à jour des certificats Secure Boot. Et dans ce cas, en 2026, la machine risque de ne plus faire confiance aux nouveaux composants signés.
 
Autrement dit, si vous comptez garder Windows 10 au-delà de 2025, il faut impérativement vérifier que le système recevra bien les mises à jour nécessaires à cette transition Secure Boot.
 
Que faut-il faire concrètement
 
La recommandation de Microsoft est simple mais cruciale :
 
- Maintenir les systèmes supportés à jour
- Vérifier que les certificats Secure Boot 2023 sont bien installés avant mi-2026
- Ne pas supposer que Windows 10 sera automatiquement couvert sans un canal de support actif
- Passer à Windows 11
Le premier jalon important arrive en juin 2026. Plus on s’en approche sans la nouvelle chaîne de confiance Secure Boot, plus le risque de casse logicielle augmente.
 
À noter que Microsoft a déjà commencé à pousser ces changements via les mises à jour cumulatives, comme par exemple le KB5073724 pour Windows 10."

J'ai été obligé de me réinscrire pour l'ESU sur une de mes PC , le PC n'avait pas été démarré depuis mi octobre
 
C'est à partir de combien de jours qu'on est désinscrit de l'ESU ?

C'est pas 30 jours ?

Il me semble que c'est 60 jours !

Cela semble plus probable 60 jours , pas 30 jours vu je démarre exprès certaines machines pour le patch tuesday.
 
J'en ai profité pour le faire le ménage c'était à l'étroit avec un eMMC de 32 Go

 
l'union europenne a obtenue 1 an gratuit no limite
 
j'ai mis a jour le pc portable que j'ai et il avait pas ete mis a jour depuis octobre car je m'en sers jamais
 
de octobre 2025 a aujourd'hui ca fait 30 jours ou 60 jours  

Salut !

L'été dernier j'avais réussi à empêcher mes 2 PC de démarrer seuls (sortir de veille prolongée) pour Windows update.

Depuis 2-3 mois rien à faire, ils redémarrent et l'un d'eux reboot et donc ferme ma session et toutes mes apps, malgré ces options dans GPEDIT > Configuration ordinateur > Modèles d'administration > Composants Windows > Windows Update

- activation de la fonctionnalité de gestion de l'alim par Windows update pour la sortie de veille auto : désactivé
 - autoriser l'installation immédiate des mises à jour auto : désactivé
 - désactiver le redémarrage auto pour les mises à jour pendant les heures d'acivité : activé
 - pas de redémarrage auto avec des utilisateurs connectés... : activé
 - toujours redémarrer automatiquement à l'heure planifiée : désactivé

Dans les options d'alimentation > Veille > autoriser les minuteurs de sortie de veille : désactivé

Pourquoi il continue de sortir de veille et rebooter malgré ces options ?

Auriez-vous une idée ?
Là c'est vraiment chiant  

J'utilise WU minitool, en download only, depuis longtemps et je suis tranquille
 
https://lecrabeinfo.net/tutoriels/w [...] itool-2022

Simple : tu sais, depuis un quart de siècle que c’est la règle, que tu dois redémarrer le lendemain du deuxième mardi du mois. Donc, tu redémarres le lendemain du deuxième mardi du mois et t’es tranquille jusqu’au mois suivant.
 
Les prochaines fois seront le 11 mars (ce mercredi) et le 15 avril. Note ça et tu n’auras plus de soucis de redémarrages intempestifs.
 
Allez, les dates restantes pour 2026, tant que j’y suis :

• 11 mars
• 15 avril
• 13 mai
• 10 juin
• 15 juillet
• 12 août
• 9 septembre
• 14 octobre
• 11 novembre
• 9 décembre

Ces jours-là, la première chose que vous faites tous, c’est procéder au redémarrage et après, vous n’entendrez plus parler de Windows Update jusqu’à la date suivante. Simple, basique.

Ou alors désactiver WU et utiliser WUMT pour faire les updates soi-même.

Pour être tranquille il vaut mieux effectivement désactiver WU. Sans compter que certaines GPO ne s'appliquent plus à windows 10 ou sont la catégorie "héritée" sur windows 11... Ça ne m'étonne qu'à moitié qu'il n'y ait pas le comportement attendu. Une MAJ récente a très bien pu modifier le système pour en ignorer certaines.
 
La seule parade efficace c'est : Configuration du service Mises à jour automatiques : Désactivé. Et laisser les autres non configurées.
 
Et faire les MAJ à la main en allant dans les paramètres ou via WUMT.
 

Merci

Pourquoi M$ a fait il y quelques mois toute une campagne pour conseiller de changer de PC s'il n'était pas compatible W11 car ils arrêtaient la maintenance du système ?    
 
Ce matin :
 
 
A propos de mise à jour, j'ai démarré l'autre jour mon W7, acheté il y a plus de 15 ans : Defender se met encore à jour  

Bonjour, oui ça se fait tous les mois (12 par an).

Je parlais de la définition de virus.

Pas remarqué que c'était le logiciel lui-même.  

defender sous Windows 7 c'est pas l'antivirus.... juste un antimalware assez peu efficace.
sous windows7 l'antivirus Microsoft c'est Microsoft Security Essentials (je sais pas si il est encore mis a jour, ça m'étonnerais). ça n'était pas inclus de base fallait l'installer à part (gratuit)
 
les 2 ont été regroupés sous le nom defender à partir de Windows8

De toute façon, Defender ce n'est pas Windows.
Ce n'est pas le même cycle de vie des mises à jour, même si les 2 passent par Windows Update.

Oui, Windows 10 est abandonné et n'est supporté qu'en ESU gratuit en Europe jusqu'à la fin de l'année, payant ensuite.
Oui, Defender a toujours des mises à jour

petit rappel: ESU c'est jusqu'à octobre 2026 gratuitement pour les particuliers

Oui c'est vrai, j'ai édité

Alors c'est la définition de virus MSE qui s'est mise à jour.
Ça m'a surpris que ce soit encore possible.

Ton screenshot se réfère aux MAJ mensuelles de Windows. Comme dit au dessus, tu as du activé ESU pour avoir les MAJ jusque oct 26.  
C'est visible sur le panel droit de la page "Paramètres / Windows Update"
cf https://www.commentcamarche.net/inf [...] ramme-esu/

moi aussi du coup !
ya bien de temps en temps un package poussé par Windows update:
https://www.catalog.update.microsof [...] &sdir=desc
 
mais il est aussi mis a jour en standalone nettement plus souvent:
https://www.microsoft.com/en-us/wdsi/defenderupdates