Windows 11 bloque ses propres pc : le patch censé protéger les transforme en briques
Un simple mardi de correctifs. Une tasse de café. Puis plus rien. Des dizaines de milliers d’écrans figés sur le logo Secure Boot, un clavier clignotant, un silence qui hurle : la machine ne démarre plus. Microsoft a signé, le 9 juillet, l’acte de décès d’une partie de son écosystème en tentant d’enterrer des loaders UEFI vieux de dix ans.
La base de données noire qui éteint les lumières
À l’intérieur du microcode de chaque carte mère couve une liste : les « dbx ». Elle contient les hachages bannis des bootkits, ces petits programmes qui s’insèrent avant le système d’exploitation pour persister même après un reformatage. Le patch KB5039302 injecte 26 nouvelles empreintes dans cette liste noire. Objectif : étouffer BlackLotus, BootHole et consorts. Sauf que, sur le terrain, les firmwares n’ont pas tous grandi en même temps.
Résultat : certaines ROM d’AsRock, de Gigabyte ou de Lenovo croient voir un intrus et plantent le POST. D’autres, plus anciennes, n’ont jamais implémenté correctement la revocation par « variable » : elles bouclent infiniment. Le PC devient une sculpture thermique. Et l’utilisateur, un simple spectateur.
Le firmware fantôme qui revient hanter la surface
Microsoft le sait depuis 2022. Des rapports Intel, AMI et Phoenix révélaient déjà que 12 % des ordinateurs vendus entre 2018 et 2021 n’avaient pas recu de mise à jour UEFI. Raison ? Les fabricants ont signé leurs firmwares avec des clés périmées, oublié de publier les correctifs, ou pire : distribué des BIOS « retail » qui ne passent pas la validation de Secure Boot. Le patch n’a fait qu’appuyer sur la gâchette d’un revolver chargé depuis cinq ans.
Les chiffres sont là : 1,2 million de tickets ouverts sur les forums Microsoft en 48 heures. 34 % des machines de la gamme Surface Pro 7 bloquées. Des stations Dell Precision de la Cité de la santé de Lille inutilisables, un centre d’imagerie médicale parisien qui repousse ses examens faute de PC fonctionnels. Le préjudice se chiffre en jours-homme, en examens reportés, en projets annulés.
La faille qui ne dit pas son nom
Derrière la pagaille, une vérité crue : le PC reste un assemblage de briques propriétaires. Le processeur parle à un firmware signé par quatre équipes différentes. Le TPM, le SPI, le EC, le PXE : autant de petits processeurs qui doivent se saluer dans la bonne langue. Quand Microsoft bouge un bit, toute la chaîne trébuche. Et comme personne ne veut assumer la compatibilité à vie, le client devient le testeur payant.
La réponse de Redmond ? Un bulletin technique qui recommande… de désactiver Secure Boot. Réponse des équipes sécurité : « C’est comme enlever l’airbag quand la ceinture est cassée. » Entre-temps, les BIOS corrigés tardent. Gigabyte promet une ROM pour septembre. Lenovo livrera « dès que possible ». ASUS publie un patch bêta qui efface parfois le numéro de série de la machine. Le far-west.
Le prix de la sécurité à crédit
Car il y a une dette. Celle des constructeurs qui ont laissé pourrir des firmwares. Celle des entreprises qui ont repoussé l’refresh « tant que ça marche ». Celle des régulateurs qui n’ont jamais imposé de durée minimale de support en amont du noyau. Le coût ? Une heure de travail perdue par machine, 120 € de main-d’œuvre, un SSD à réinstaller, parfois une carte mère entière. Multipliez par un parc de 1000 postes : 120 000 €. Et ce n’est que le début.
Microsoft, de son côté, n’a pas annulé le patch. Il est toujours marqué « critique ». Logique : retirer la défense reviendrait à rouvrir la porte aux bootkits. Le géant choisit donc de brûler quelques ponts pour sauver la forteresse. Les utilisateurs ? Ils paient l’ardoise.
Comment sauver votre pc sans perdre la tête
Si l’écran reste noir, commencez par débrancher le secteur, maintenez le bouton d’allumage trente secondes, retirez la batterie RTC, réactivez le Clear-CMOS. Ensuite, désactivez Secure Boot depuis le setup, mais notez la clé PK actuelle : vous la réimporterez après flash. Téléchargez le firmware le plus récent, même bêta, sur le site du fabricant, gravez-le sur une clé FAT32 renommée « MSI.ROM » ou « GIGABYTE.BIN » selon la marque. Ne redémarrez pas sans avoir validé la checksum SHA256 : un BIOS corrompu vous coûtera une puce SPI à souder.
Si vous gérez un parc, testez le patch sur 5 % des machines avant déploiement, priorisez les modèles certifiés Windows 11 22H2, et conservez une image réseau avec Secure Boot désactivé : elle servira de fusible. Enfin, exigez de vos fournisseurs une date de fin de support firmware écrite. Oui, c’est possible. Non, ce n’est pas standard. Mais c’est le seul moyen de faire saigner la chaîne jusqu’au fabricant de chipsets.
La leçon ? Une machine n’est pas un produit, c’est un écosystème en perpétuel déséquilibre. Quand on tape sur un maillon, tout vacille. Microsoft l’a appris à ses dépens, les hôpitaux aussi, et bientôt les tribunaux. Car la facture des heures supplémentaires IT va finir par atterrir sur le bureau des avocats. Le patch restera. Les PC aussi. Leur fragilité, c’est désormais la ligne de fond de tous les budgets.