Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Windows 8 : la sécurité coûte que coûte !

février 2013 par Marc Jacob

Lors de l’édition 2013 des TechDays, Bernard Ourghanlian, CTO & CSO de Microsoft France a présenté l’évolution de l’infrastructure de Windows 8 en matière de sécurité. Cette fois-ci finit le BIOS et vive l’UEFI. En effet, Microsoft a choisi d’utiliser le hardware pour améliorer la sécurité de son nouveau système d’exploitation. Plusieurs améliorations qui montrent la volonté de Microsoft de protéger coûte que coûte les utilisateurs avec des fonctionnalités qui vont jusqu’à aller activité automatiquement l’antivirus de l’éditeur pour pallier un défaut d’antivirus.

Bernard Ourghanlian, CTO & CSO de Microsoft France a débuté son intervention en expliquant en préambule qu’avec Windows 8, Microsoft souhaite lutter contre les boot kits et les root kits et améliorer la capacité de chiffrer les terminaux avec Bitlocker qui est intégré de façon native. Windows 8 aux dires de Bernard Ourghanlian permet de faciliter et donc de généraliser la capacité de déploiement du contrôle d’authentification à deux facteurs.

Le premier point fort de cet OS est la notion de boot sécurisé qui s’assure que lorsque l’on démarre Windows on a bien téléchargé ce soft. Windows 8 a tiré parti du Hardware en bénéficiant du support de l’UEFI à la place du BIOS. Le BIOS a fait son temps et avait des déficiences bien connues. L’UEFI a pour avantage d’être indépendante de l’architecture conçue pour les facteurs de forme. Il fournit le support de nouvelles possibilités en termes de sécurité comme le boot sécurisé. Cet OS bénéficie du Trusted plateforme Module TMP. L’UEFI supporte l’EDrive capable de faire de l’auto chiffrement. Il inclut le support multicarte pour WDS. Autre bénéfice de Windows 8 est le support SOC ARM ou Intel

Microsoft a fait bénéficier des évolutions du TPM avec les spécifications 1.2 qui est un standard mature. Toutefois le TPM obligeait à chiffrer le disque dur mais prenait une à deux heures. Donc ces spécifications ont été améliorées pour permettre le support des TPM implantée en Firmware.

Windows 8 rend obligatoire l’application des politiques de sécurité

Avec Windows 8, dès l’ouverture, on va prendre des mesures qui permettent de vérifier que le Hash d’une zone de code à un autre est bien le bon. Dans le cas où ce n’est pas le bon, une clé sera demandée à l’utilisateur. Cela rend obligatoire l’application de la politique de sécurité. Ainsi, il ne sera pas possible de charger un root Kit. C’est la fonctionnalité « ELAM » qui va permettre ce contrôle. Les mesures prises vont permettre de vérifier que l’ensemble du processus de chargement est bien le bon. Ce boot sécuriser permet d’éviter de charger des OS Loader malfaisants. L’ensemble de ce processus permet de vérifier que la politique de sécurité a bien été prise en compte. Possibilité de vérifier que le terminal est bien conforme à la politique de sécurité de l’entreprise. Cette dernière fonctionnalité a été créée pour répondre aux nouvelles normes américaines.

Dans Windows 8 a été inclus un anti malware : Microsoft Defender mais ce dernier n’empêche pas l’installation d’un autre antimalware. Par contre si une solution antivirus est inactive depuis 15 jours, des messages d’alerte sont envoyés à l’utilisateur, puis Microsoft Defender est réactivé automatiquement.

Pour ce qui est du par feu, il y a des modifications fonctionnelles entre Windows 7 et Windows 8. Bernard Ourghanlian a recommandé de l’activer en favorisant le support IKEv2 pour le mode transport IPSEC. Par contre, le filtrage en sortie n’est pas mis par défaut. La fonctionnalité Advanced Security peut aussi être utilisée. Windows Access est plus facile à mettre en œuvre. Ainsi, pour Bernard Ourghanlian, Direct Access devrait être déployée de façon assez large.

L’authentification dans Windows 8 est basée sur le TPM

Jusqu’à présent l’authentification à deux facteurs était complexe à mettre en œuvre. Dans Windows 8 les fonctionnalités du TMP ont été utilisées pour créer des cartes à puces virtuelles. Ainsi, pour tous les postes qui supportent un TPM, une carte à puce virtuelle peut être utilisée. Elle permet d’apporter trois fonctions importantes : interdiction de l’exportation, un chiffrement isolé et des protections contre les attaques allant même jusqu’à l’autodestruction en cas de tentative de violation des informations contenues dans le TPM. Bernard Ourghanlian a insisté sur le fait qu’il y a de nombreuses similitudes techniques entre une carte à puce physique et virtuelle. Bien sûr, il y a des différences au niveau fonctionnel en particulier en ce qui concerne la portabilité. Cependant, la carte à puce virtuelle peut ère utilisée pour de nombreux usages. Parmi les améliorations de Bitlocker, on note une amélioration du temps de chiffrement mais aussi le support des serveurs SAN, en Cluster...

Bitlocker a amélioré aussi le processus du chiffrement, mais aussi le support du chiffrement en utilisant le Hardware. Il bénéfice de nouvelles options pour les « protecteurs » via les protecteurs réseaux et la possibilité d’utiliser un mot de passe. On va aussi pouvoir séquestrer les clés afin qu’il puisse les récupérer en cas d’oubli. Le renforcement des éléments de sécurité permet d’utiliser Bitlocker à la maison. Bitlocker supporte aussi les clusters Windows.

Windows 8 : prêt pour le BYOD

De plus, on notera l’apparition du contrôle d’accès dynamique et des fonctions de classification des données. La solution du contrôle d’accès dynamique est tout à fait intéressante dans le cadre du BYOD. En outre, Windows 8 supporte la notion de revendication tant pour un utilisateur que d’une machine. Ceci introduit un modèle plus riche que le modèle traditionnel, car il permet de contextualiser les accès. On va avoir la possibilité de créer dés revendication et gérer par l’OS. Le problème de confiance à ce terminal est dorénavant différencié entre l’utilisateur et son terminal. Ainsi, on va pouvoir créer une identité composite entre le terminal et son utilisateur. On va définir des expressions pour être capable de créer des expressions comme "AND"OU "OR" idem pour les groupes. De plus on va pouvoir appliquer une politique ciblée d’en fonction du type de ressources. Cette nouvelle fonctionnalité va permettre de renforcer la politique de sécurité en particulier pour la mise en place du BYOD.


Articles connexes:


Voir les articles précédents

    

Voir les articles suivants