Date post: | 16-Jul-2015 |
Category: |
Technology |
Upload: | microsoft-technet-france |
View: | 89 times |
Download: | 2 times |
tech.days 2015#mstechdaysSESSION SEC203
Jugoslav Stevic – PFE SécuritéThierry Picq - Business Developement Manager -InnovationMicrosoft France
#mstechdays techdays.microsoft.fr
tech.days 2015#mstechdaysSESSION SEC203
Sécurité adaptée à l’Entreprise
Windows Phone 8.1 pour l’Enterprise
Convergence de la plate-forme (Phone, Tablet, Desktop)
tech.days 2015#mstechdaysSESSION SEC203
MalwareMebromi, c’est un cheval de Troie et un bootkit
Il infecte les BIOS Award BIOS et contrôle le processus de démarrage.
Propagé en combinaison avec d’autres Malwares
ActivitéMebromi est conçu pour pouvoir rester dans l'ordinateur même si le disque dur est formaté ou remplacé. Le fonctionnement est assez simple : Mebromi va sauvegarder le BIOS, modifier quelques routines internes et ensuite flasher le nouveau BIOS, sans que ce soit visible pour l'utilisateur, puis il va infecter automatiquement le MBRSi un anti-malware est capable de le supprimer, il se réinstallera via le BIOS
Comment se dissimule-t-il?En s’installant dans le BIOS, il reste caché pour la plupart des solutions anti-malware
tech.days 2015#mstechdaysSESSION SEC203
Unified Extensible Firmware Interface (UEFI)Qu’est-ce que l’UEFI?Une évolution moderne du traditionnel BIOS
Un élément indispensable pour une certification Windows et Windows
Phone
BénéficesIndépendant de l’architecture
Initialise les périphériques et permet les opérations de plus haut
niveau (ie.; mouse, apps)
Bénéfices clefs en sécurité: Secure Boot – Assure le démarrage d’OS de confiance, signé
Supprime la menace des bootkits en sécurisant le démarrage des
périphériques.
tech.days 2015#mstechdaysSESSION SEC203
La menace : MimikatzObjectifMimikatz permet d’exporter des certificats depuis un terminal
Ceux-ci peuvent être utilisés pour se faire passer pour leur propriétaire légitime
Son usageMimikatz est un outils (pour hacker) prévu pour les PC sous WindowsUtilisable de manière hypothétique sur un Smartphone
S’en protégerWindows Phone est conçu pour être immunisé contre ce type d’attaque, mais...
…dans le monde actuel il est indispensable d’envisager que les défenses d’un système d’exploitation puissent être contournées…
Approche : Lier l’information sensible au terminal et y empêcher l’accès si elle est exportée
tech.days 2015#mstechdaysSESSION SEC203
Trusted Platform Module (TPM)
Qu’est-ce que le TPM?Un processeur qui effectue des opérations cryptographiques
Standard international pour réaliser ces opérations
Un élément indispensable pour une certification Windows Phone
Bénéfices : Offre un moyen de contrôler l’intégrité du matériel et de l’OS
Génére et stocke des clefs pour chiffrement
Intègre des mécanismes de protection (tamper-proofing & anti-hammer)
L’objectif avec Windows Phone 8.1Utiliser le TPM au-delà du simple chiffrement du terminal
tech.days 2015#mstechdaysSESSION SEC203
http://blogs.msdn.com/b/belux/archive/2013/02/05/windows-phone-8-security-deep-dive.aspx
tech.days 2015#mstechdaysSESSION SEC203
Power On
SoC Vendor
OEM
Microsoft
http://www.uefi.org/specs/
tech.days 2015#mstechdaysSESSION SEC203
Augmentation fulgurante des malwares avec une analogie de plus en plus marquée avec les OS Desktop…
http://www.trendmicro.com/vinfo/us/security/news/mobile-safety/masque-
fakeid-and-other-notable-mobile-threats-of-2h-2014
http://www.sophos.com/en-us/medialibrary/PDFs/other/sophos-mobile-
security-threat-report.pdf?la=en
tech.days 2015#mstechdaysSESSION SEC203
Chart from the 2014 Cisco Cloud and Web Security Report
tech.days 2015#mstechdaysSESSION SEC203
MalwareBackdoor.AndroidOS.Obad.a est un rootkit ciblant les terminaux Android
Niveau de sophistication élevé
Pratiquement indétectable par les utilisateurs dont les terminaux sont infectés et très difficile voire impossible à supprimer
ActivitéEnvoi de SMS surtaxés
Télécharge d’autres Malwares
Envoi des informations personnelles à un serveur central
Contrôle à distance du terminal
Se propage à d’autres terminaux via Bluetooth
DissimulationCe Malware s’exécute avec des droits administrateur étendus et n’apparait pas dans la liste des processus privilégiés
Exploite des vulnérabilités du AndroidManifest.xml de façon à s’exécuter sans pouvoir être analysé dynamiquement
Exploite des vulnérabilités des outils d’analyse pour limiter les analyses
tech.days 2015#mstechdaysSESSION SEC203
Trusted BootAssure un démarrage sécurisé et une intégrité du système d’exploitation dans sa globalité
“Elimine” le risque de rootkit et d’altération des composants systèmes
Trusted Boot et Trusted Apps
Trusted AppsLa plate-forme est architecturée afin d’empêcher l’exécution d’applications qui ne seraient ni de confiance
ni signées
Les applications grand public doivent être signées et doivent être installées via le Store
Les application d’Entreprises doivent être signées avec une signature de confiance. Plusieurs mécanismes
de provisionning existent
UEFI and Option
ROM Firmware
Windows Phone
8.1
OS Loader
Windows Kernel
Windows Phone
8.1
Drivers
Windows System
Components
tech.days 2015#mstechdaysSESSION SEC203
• Stockage des certificats• Shared User Certificate Store – (si l’application dispose de la capacité : SharedUserCertificates)
• App Container – (si l’application ne dispose pas de la capacité : SharedUserCertificates)
• Quel code peut accéder au SharedUserCertificateStore?• Les applications 1st Party: browser, e-mail client, WiFi, VPN, etc
• Les applications d’Entreprise (sideloaded apps)
• Certaines applications du Store disposant d’une exception de la part de la certification Microsoft (très rare!)
• Protection des certificats• Certificats Soft– protection logicielle de la clef privée
• Certificats TPM– la clef privée est stockée par le TPM
• Certificats VSC– la clef privée est stockée par le TPM et protégée par un code PIN utilisateur
Certificats Windows Phone
tech.days 2015#mstechdaysSESSION SEC203
Les applications WP8.1 sont, par nature, plus sécurisées.Ces applications s’exécutent dans un contexte isolé (AppContainer) avec un principe de moindre privilège
Accès aux ressources sur un modèle déclaratif. Capacités limitées et définies dans le manifeste de l’applicationL’usage de “capacités sensibles” demande une validation utilisateur
Communication App à AppRéalisée via une notion de contrat Source et Cible
- Contrat Source : IE dispose d’un contrat Source afin de partager des URL, Image(s), etc
- Contrat Cible : Mail déclare sa capacité à recevoir de l’information et la formater
Applications isolées (sandboxed) provenant de sources de confiance
Windows Phone StoreToutes les applications Windows Phone 8.1 doivent être signées
Elles doivent être acquises via le Windows Phone Store ou au travers des processus de diffusion Entreprise
Ces applications suivent un processus de certification (Store)
Une application peut être révoquée des terminaux en cas de souci
tech.days 2015#mstechdaysSESSION SEC203
Mécanisme d’AppContainer
Pas de Plug-In
Protection des mots de passe via le Credential Locker
Protection “Do Not Track”
Technologie SmartScreen
Service Cloud de réputation d’URL
Supporte Internet Explorer & les Apps Windows Store
Plus de 230 Millions d’alertes d’hameçonnage
Plus de 17 Trillion de vérifications de réputation
tech.days 2015#mstechdaysSESSION SEC203
#mstechdays techdays.microsoft.fr
Protection de l’Information
tech.days 2015#mstechdaysSESSION SEC203
Secure/Multipurpose Internet Mail Extensions
(S/MIME) SupportWindows Phone 8.1 supporte maintenant S/MIME
Création et utilisation d’emails chiffrés et/ou signés
Usage de certificats provisionnés par l’entreprise ou de Virtual Smart
Cards (VSC).
Capacité à imposer l’usage de S/MIME pour signer et/ou chiffrer
tech.days 2015#mstechdaysSESSION SEC203
Contrôle des Applications
Même avec les meilleures intentions les utilisateurs peuvent contribuer à la fuite d’informations
La capacité de « White List / Black List » permet à l’IT de contrôler l’usage des applications sur un mécanisme de Policies(MDM) permettant de valider ou restreindre l’usage des applications
tech.days 2015#mstechdaysSESSION SEC203
Sécurisation des Communications
Chiffrement des Communications avec TLS et SSLSupporte TLS 1.0 – 1.2 et SSL 3.0
Dispose de plusieurs certificats de confiance connus, extensible manuellement ou via l’usage de d’un MDM
Virtual Private Network (VPN)Windows Phone 8.1 introduit le support de VPN
Les connections peuvent être sollicitées par les applications (triggered)
Support de IKEv2, IPsec, et VPN SSL
Support des fournisseurs : Microsoft, Check Point, F5, Juniper, et SonicWall
L’usage de VPN SSL nécessite une application de l’éditeur
Possibilité d’utiliser des certificats provisionnés par l’entreprise, des Virtual Smart Cards ou des
usernames/passwords.
tech.days 2015#mstechdaysSESSION SEC203
#mstechdays techdays.microsoft.fr
Remote Business Data Removal (RBDR)
tech.days 2015#mstechdaysSESSION SEC203
L’IT au contrôle des données de l’Entreprise
Remote Business Data Removal (RBDR)Nouveau avec Windows Phone 8.1
Technologie de suppression sélective des données et configuration d’Entreprise
Déclenchée localement dans le cas d’un terminal non “enrôlé” ou via l’IT avec l’usage d’un MDM
Capacités additionnelles via MDMBrute force PIN protection
Remote device wipe. (réinitialisation totale du terminal)
Remote lock
Remote ring
Remote password (PIN) reset
Policies afin d’éviter: un-enroll, software device reset, hardware device reset
tech.days 2015#mstechdaysSESSION SEC203
L’IT au contrôle des données de l’Entreprise
Applications et données
personnelles
Les utilisateurs peuvent enrôler leur terminal BYOD dans un MDM afin d’accéder aux données d’Entreprise
Policies
Applications et données
d’Entreprise
Management avec Intune ou MDM
tiers
Enrôlement dans le MDM
tech.days 2015#mstechdaysSESSION SEC203
L’IT au contrôle des données de l’Entreprise
Applications et données
personnelles
Le MDM fourni à l’IT le moyen de contrôler les accès utilisateurs aux données et applications.
Les utilisateurs peuvent enrôler leur terminal BYOD dans un MDM afin d’accéder aux données d’Entreprise
Policies
Applications et données
d’Entreprise
Management avec Intune ou MDM
tiers
Effacement initié par le MDM
tech.days 2015#mstechdaysSESSION SEC203
#mstechdays techdays.microsoft.fr
Identité et contrôle d’accès
tech.days 2015#mstechdaysSESSION SEC203
Identités avec Windows Phone 8.1
Device UnlockAccès au terminal sur un notion de “déverrouillage” plus que d’authentification utilisateur.
Ce modèle est adapté aux terminaux personnels
Le modèle d’authentification utilisateur est imposé par les terminaux multi sessions tels que
les PC et tablettes
Credential LockerEspace sécurisé pour stocker les noms et mots de passe
Stocke et Protège les paramètres\Email et les données des comptes
Stocke et Protège les usernames et passwords utilisés dans IE
L’information peut se propager entre les terminaux
Windows pour un même compte
tech.days 2015#mstechdaysSESSION SEC203
Identités avec Windows Phone 8.1
CertificatsUtilisables pour l’authentification (VPN, Wi-Fi, S/MIME)
Importés manuellement ou via MDM (recommandé)
Peuvent être liés au terminal et protégés par le TPM
Two Factor Auth – Windows Azure Multi-Factor AuthenticationFourni 2FA pour les applications Cloud ou sur Site
L’utilisateur s’authentifie avec username/password puis…
… l’utilisateur fourni un second élément via appel téléphonique, SMS, app mobile
Two Factor Auth – Virtual SmartcardsWindows Phone 8.1 intègre le support de 2FA avec les Virtual Smartcards
Utilise le TPM du terminal pour protéger le certificat et simule un lecteur de carte et une carte
Simple à déployer, abordable et toujours disponible sur le terminal
Utilisable pour de la consultation sécurisée et du S/MIME
tech.days 2015#mstechdaysSESSION SEC203
Sécurité et intégrité ancrés dans les standards matériels
• Firmware et démarrage sécurisés avec l’UEFI
• Le TPM est le garant de l’intégrité du terminal grâce à ses fonctions cryptographique matériel
Protection de
l’information
Matériel de
confiance
Résistance aux
Malwares
Une longueur d’avance
• Intégrité de la plate-forme avec le Trusted Boot et les apps de confiance provenant du Store
• Sécurité sur Internet et protection d’hameçonnage utilisant IE et SmartScreen
Protection de l’information, dans tous ses états
• Le chiffrement persistant permet le partage sécurisé des informations (IRM)
• L’IT conserve le contrôle et la maitrise du terminal et des données d’Entreprise
Identité et
contrôle d’accès
Une plate-forme assumant sa différence, surtout en matière de sécurité
• Certificats pour accéder aux ressources (VPN, Wi-FI, S/MIME)
• 2FA intégré (Virtual Smartcards, Windows Azure MFA)
tech.days 2015#mstechdaysSESSION SEC203
• Windows Enterprise windows.com/enterprise & windowsphone.com/business
Ressources associées
Windows Springboard microsoft.com/springboard
Microsoft Desktop Optimization Package (MDOP)microsoft.com/mdop
Windows To Go microsoft.com/windows/wtg
Windows Phone Developer developer.windowsphone.com