Comment mettre l'État de démarrage sécurisé sur ON (Secure Boot) (pour BF6 par exemple)
Comment mettre l'État de démarrage sécurisé sur : ON
1) L’essentiel en 20 secondes
Secure Boot vérifie que les fichiers de démarrage sont signés avant de lancer l’OS → bloque les bootkits/rootkits.
Recommandé ON pour Windows 10/11, BitLocker, usage quotidien.
Possible OFF si tu dois booter des outils/OS non signés (vieilles clés USB, anciens Windows, certains utilitaires bas-niveau).
2) Quand l’activer / le laisser désactivé
| Cas d’utilisation | Secure Boot | Pourquoi |
|---|---|---|
| Windows 10/11 à jour, usage quotidien | ON | Sécurité au démarrage, aucune gêne |
| BitLocker/chiffrement disque | ON | Intégration plus sûre avec l’UEFI |
| Navigation/antivirus « normal » | ON | Réduit le risque de bootkits |
| Démarrer une vieille distrib Linux non signée | OFF | Les images non signées sont bloquées |
| Outils de dépannage non signés (anciennes clés) | OFF | Bloqués par Secure Boot |
| Dual-boot avec Windows 7 (ou plus ancien) | OFF | Non compatible Secure Boot |
| Installation propre de Windows 11 | ON | Exigé officiellement |
| Logiciels de récupération très bas-niveau | OFF | Ils modifient le boot, souvent non signés |
Remarque : la plupart des Linux modernes (Ubuntu, Fedora, Debian, openSUSE, etc.) sont signés et fonctionnent avec Secure Boot.
3) Vérifier la situation actuelle dans Windows
Appuie Win + R → saisis
msinfo32→ Entrée.Vérifie :
Mode BIOS : doit indiquer UEFI.
État de démarrage sécurisé : Activé ou Désactivé.
Si Mode BIOS = Hérité/Legacy, voir §6 (conversion MBR→GPT).
4) Prérequis rapides
UEFI activé (pas Legacy/CSM).
Disque système au format GPT (pas MBR) si tu veux activer Secure Boot.
Clé BitLocker à portée si ton disque est chiffré (par précaution).
Pour voir le style de partition :
Win + X→ Gestion des disques → clic droit sur le disque système → Propriétés → Volumes → Style de partition (GPT ou MBR).
5) Activer Secure Boot (procédure générique)
A. Accès au firmware UEFI
Windows 11 : Paramètres → Système → Récupération → Démarrage avancé → Redémarrer maintenant → Dépannage → Options avancées → Paramètres du microprogramme UEFI.
OU au démarrage : taper F2 / Del / F10 / F12 / Esc selon la marque.
B. Dans l’UEFI
Onglet Boot, Security ou Authentication.
Mettre Secure Boot sur Enabled / Activé.
Sauvegarder (souvent F10) et redémarrer.
Vérification : retour dans msinfo32 → État de démarrage sécurisé : Activé.
6) Si l’option est grisée ou impossible à activer
CSM/Legacy : mettre CSM/Legacy = Disabled et UEFI Only.
OS Type : choisir Windows UEFI mode (ou équivalent).
Supervisor/Admin Password : sur certains BIOS (ex. Acer), définir un mot de passe superviseur pour déverrouiller l’option, puis la remettre Enabled.
Secure Boot Keys : menu Key Management → Install Default Keys / Reset to Factory Keys si nécessaire.
Mise à jour du BIOS/UEFI : utile si l’option manque/bug.
Disque en MBR : convertir en GPT (voir ci-dessous).
7) Convertir un disque MBR → GPT (sans réinstaller)
⚠️ Fais une sauvegarde avant. Suspendre BitLocker si activé.
Ouvre Invite de commandes (admin).
Vérifie :
mbr2gpt /validate /allowFullOSConvertis :
mbr2gpt /convert /allowFullOSRedémarre dans l’UEFI → mets Boot Mode = UEFI Only, CSM = Disabled.
Active Secure Boot (cf. §5).
En cas d’échec de démarrage : remets temporairement le réglage précédent, vérifie la conversion et les clés Secure Boot.
8) BitLocker et Secure Boot (bonne pratique)
Avant de changer les réglages de boot : suspendre BitLocker (évite une demande de clé de récupération au redémarrage).
Paramètres → Système → Stockage → Gestion du chiffrement BitLocker → Suspendre la protection.
Ou en commande :
manage-bde -protectors -disable C: -RebootCount 1
Après activation et redémarrage OK : réactiver la protection.
9) Boîter sur une clé USB avec Secure Boot
Utiliser des médias signés UEFI :
Windows 10/11 (outil Microsoft, Rufus en mode UEFI/GPT).
Distributions Linux signées (Ubuntu, Fedora, Debian, openSUSE…)
Si ton outil n’est pas signé :
Soit désactiver Secure Boot temporairement le temps de l’opération,
Soit chercher une version signée/alternative (ex. Ventoy compatible Secure Boot).
10) Raccourcis par marque (chemin typique)*
*Les intitulés varient selon modèles/versions, mais l’esprit est le même.
HP : Security → Secure Boot Configuration → Secure Boot = Enabled, Legacy Support = Disable.
Dell : Boot Configuration → Secure Boot → Enabled.
Lenovo (ThinkPad) : Security → Secure Boot = Enabled ; Startup → UEFI/Legacy Boot = UEFI Only.
ASUS : Boot → CSM = Disabled ; Advanced/Security → Secure Boot → OS Type = Windows UEFI mode → Key Management = Install Default Keys.
Acer : Security → définir Supervisor Password ; puis Boot → Secure Boot = Enabled (parfois « Select an UEFI file as trusted »).
MSI : Settings → Advanced → Windows OS Configuration → Secure Boot = Enabled ; CSM = Disabled.
11) FAQ express
Ça ralentit le PC ? Non.
Linux fonctionne avec Secure Boot ? Oui pour la plupart des distros modernes (clé signée, parfois étape MOK à valider).
Je peux revenir en arrière ? Oui : repasse Secure Boot = Disabled. Évite d’alterner souvent si BitLocker est actif (suspends-le d’abord).
Comment vérifier que tout est OK ?
msinfo32→ État de démarrage sécurisé : Activé et Mode BIOS : UEFI.
Commentaires
Enregistrer un commentaire