AMBIENT INTELLIGENCE

tech days•

2015

#mstechdays techdays.microsoft.fr

tech.days 2015#mstechdaysSESSION SEC203

Jugoslav Stevic – PFE SécuritéThierry Picq - Business Developement Manager -InnovationMicrosoft France

#mstechdays techdays.microsoft.fr

Jugoslav.Stevic@microsoft.com

Thierry.Picq@microsoft.com

tech.days 2015#mstechdaysSESSION SEC203

tech.days 2015#mstechdaysSESSION SEC203

Sécurité adaptée à l’Entreprise

Windows Phone 8.1 pour l’Enterprise

Convergence de la plate-forme (Phone, Tablet, Desktop)

tech.days 2015#mstechdaysSESSION SEC203

tech.days 2015#mstechdaysSESSION SEC203

#mstechdays techdays.microsoft.fr

Matériel de confiance

tech.days 2015#mstechdaysSESSION SEC203

MalwareMebromi, c’est un cheval de Troie et un bootkit

Il infecte les BIOS Award BIOS et contrôle le processus de démarrage.

Propagé en combinaison avec d’autres Malwares

ActivitéMebromi est conçu pour pouvoir rester dans l'ordinateur même si le disque dur est formaté ou remplacé. Le fonctionnement est assez simple : Mebromi va sauvegarder le BIOS, modifier quelques routines internes et ensuite flasher le nouveau BIOS, sans que ce soit visible pour l'utilisateur, puis il va infecter automatiquement le MBRSi un anti-malware est capable de le supprimer, il se réinstallera via le BIOS

Comment se dissimule-t-il?En s’installant dans le BIOS, il reste caché pour la plupart des solutions anti-malware

tech.days 2015#mstechdaysSESSION SEC203

Unified Extensible Firmware Interface (UEFI)Qu’est-ce que l’UEFI?Une évolution moderne du traditionnel BIOS

Un élément indispensable pour une certification Windows et Windows

Phone

BénéficesIndépendant de l’architecture

Initialise les périphériques et permet les opérations de plus haut

niveau (ie.; mouse, apps)

Bénéfices clefs en sécurité: Secure Boot – Assure le démarrage d’OS de confiance, signé

Supprime la menace des bootkits en sécurisant le démarrage des

périphériques.

tech.days 2015#mstechdaysSESSION SEC203

La menace : MimikatzObjectifMimikatz permet d’exporter des certificats depuis un terminal

Ceux-ci peuvent être utilisés pour se faire passer pour leur propriétaire légitime

Son usageMimikatz est un outils (pour hacker) prévu pour les PC sous WindowsUtilisable de manière hypothétique sur un Smartphone

S’en protégerWindows Phone est conçu pour être immunisé contre ce type d’attaque, mais...

…dans le monde actuel il est indispensable d’envisager que les défenses d’un système d’exploitation puissent être contournées…

Approche : Lier l’information sensible au terminal et y empêcher l’accès si elle est exportée

tech.days 2015#mstechdaysSESSION SEC203

Trusted Platform Module (TPM)

Qu’est-ce que le TPM?Un processeur qui effectue des opérations cryptographiques

Standard international pour réaliser ces opérations

Un élément indispensable pour une certification Windows Phone

Bénéfices : Offre un moyen de contrôler l’intégrité du matériel et de l’OS

Génére et stocke des clefs pour chiffrement

Intègre des mécanismes de protection (tamper-proofing & anti-hammer)

L’objectif avec Windows Phone 8.1Utiliser le TPM au-delà du simple chiffrement du terminal

tech.days 2015#mstechdaysSESSION SEC203

tech.days 2015#mstechdaysSESSION SEC203

http://blogs.msdn.com/b/belux/archive/2013/02/05/windows-phone-8-security-deep-dive.aspx

tech.days 2015#mstechdaysSESSION SEC203

Power On

SoC Vendor

OEM

Microsoft

http://www.uefi.org/specs/

tech.days 2015#mstechdaysSESSION SEC203

#mstechdays techdays.microsoft.fr

Résistance aux Malwares

tech.days 2015#mstechdaysSESSION SEC203

Augmentation fulgurante des malwares avec une analogie de plus en plus marquée avec les OS Desktop…

http://www.trendmicro.com/vinfo/us/security/news/mobile-safety/masque-

fakeid-and-other-notable-mobile-threats-of-2h-2014

http://www.sophos.com/en-us/medialibrary/PDFs/other/sophos-mobile-

security-threat-report.pdf?la=en

tech.days 2015#mstechdaysSESSION SEC203

http://www.cvedetails.com/

tech.days 2015#mstechdaysSESSION SEC203

Chart from the 2014 Cisco Cloud and Web Security Report

tech.days 2015#mstechdaysSESSION SEC203

MalwareBackdoor.AndroidOS.Obad.a est un rootkit ciblant les terminaux Android

Niveau de sophistication élevé

Pratiquement indétectable par les utilisateurs dont les terminaux sont infectés et très difficile voire impossible à supprimer

ActivitéEnvoi de SMS surtaxés

Télécharge d’autres Malwares

Envoi des informations personnelles à un serveur central

Contrôle à distance du terminal

Se propage à d’autres terminaux via Bluetooth

DissimulationCe Malware s’exécute avec des droits administrateur étendus et n’apparait pas dans la liste des processus privilégiés

Exploite des vulnérabilités du AndroidManifest.xml de façon à s’exécuter sans pouvoir être analysé dynamiquement

Exploite des vulnérabilités des outils d’analyse pour limiter les analyses

tech.days 2015#mstechdaysSESSION SEC203

Trusted BootAssure un démarrage sécurisé et une intégrité du système d’exploitation dans sa globalité

“Elimine” le risque de rootkit et d’altération des composants systèmes

Trusted Boot et Trusted Apps

Trusted AppsLa plate-forme est architecturée afin d’empêcher l’exécution d’applications qui ne seraient ni de confiance

ni signées

Les applications grand public doivent être signées et doivent être installées via le Store

Les application d’Entreprises doivent être signées avec une signature de confiance. Plusieurs mécanismes

de provisionning existent

UEFI and Option

ROM Firmware

Windows Phone

8.1

OS Loader

Windows Kernel

Windows Phone

8.1

Drivers

Windows System

Components

tech.days 2015#mstechdaysSESSION SEC203

• Stockage des certificats• Shared User Certificate Store – (si l’application dispose de la capacité : SharedUserCertificates)

• App Container – (si l’application ne dispose pas de la capacité : SharedUserCertificates)

• Quel code peut accéder au SharedUserCertificateStore?• Les applications 1st Party: browser, e-mail client, WiFi, VPN, etc

• Les applications d’Entreprise (sideloaded apps)

• Certaines applications du Store disposant d’une exception de la part de la certification Microsoft (très rare!)

• Protection des certificats• Certificats Soft– protection logicielle de la clef privée

• Certificats TPM– la clef privée est stockée par le TPM

• Certificats VSC– la clef privée est stockée par le TPM et protégée par un code PIN utilisateur

Certificats Windows Phone

tech.days 2015#mstechdaysSESSION SEC203

Les applications WP8.1 sont, par nature, plus sécurisées.Ces applications s’exécutent dans un contexte isolé (AppContainer) avec un principe de moindre privilège

Accès aux ressources sur un modèle déclaratif. Capacités limitées et définies dans le manifeste de l’applicationL’usage de “capacités sensibles” demande une validation utilisateur

Communication App à AppRéalisée via une notion de contrat Source et Cible

- Contrat Source : IE dispose d’un contrat Source afin de partager des URL, Image(s), etc

- Contrat Cible : Mail déclare sa capacité à recevoir de l’information et la formater

Applications isolées (sandboxed) provenant de sources de confiance

Windows Phone StoreToutes les applications Windows Phone 8.1 doivent être signées

Elles doivent être acquises via le Windows Phone Store ou au travers des processus de diffusion Entreprise

Ces applications suivent un processus de certification (Store)

Une application peut être révoquée des terminaux en cas de souci

tech.days 2015#mstechdaysSESSION SEC203

Mécanisme d’AppContainer

Pas de Plug-In

Protection des mots de passe via le Credential Locker

Protection “Do Not Track”

Technologie SmartScreen

Service Cloud de réputation d’URL

Supporte Internet Explorer & les Apps Windows Store

Plus de 230 Millions d’alertes d’hameçonnage

Plus de 17 Trillion de vérifications de réputation

tech.days 2015#mstechdaysSESSION SEC203

#mstechdays techdays.microsoft.fr

Protection de l’Information

tech.days 2015#mstechdaysSESSION SEC203

tech.days 2015#mstechdaysSESSION SEC203

Secure/Multipurpose Internet Mail Extensions

(S/MIME) SupportWindows Phone 8.1 supporte maintenant S/MIME

Création et utilisation d’emails chiffrés et/ou signés

Usage de certificats provisionnés par l’entreprise ou de Virtual Smart

Cards (VSC).

Capacité à imposer l’usage de S/MIME pour signer et/ou chiffrer

tech.days 2015#mstechdaysSESSION SEC203

tech.days 2015#mstechdaysSESSION SEC203

Contrôle des Applications

Même avec les meilleures intentions les utilisateurs peuvent contribuer à la fuite d’informations

La capacité de « White List / Black List » permet à l’IT de contrôler l’usage des applications sur un mécanisme de Policies(MDM) permettant de valider ou restreindre l’usage des applications

tech.days 2015#mstechdaysSESSION SEC203

Sécurisation des Communications

Chiffrement des Communications avec TLS et SSLSupporte TLS 1.0 – 1.2 et SSL 3.0

Dispose de plusieurs certificats de confiance connus, extensible manuellement ou via l’usage de d’un MDM

Virtual Private Network (VPN)Windows Phone 8.1 introduit le support de VPN

Les connections peuvent être sollicitées par les applications (triggered)

Support de IKEv2, IPsec, et VPN SSL

Support des fournisseurs : Microsoft, Check Point, F5, Juniper, et SonicWall

L’usage de VPN SSL nécessite une application de l’éditeur

Possibilité d’utiliser des certificats provisionnés par l’entreprise, des Virtual Smart Cards ou des

usernames/passwords.

tech.days 2015#mstechdaysSESSION SEC203

#mstechdays techdays.microsoft.fr

Remote Business Data Removal (RBDR)

tech.days 2015#mstechdaysSESSION SEC203

L’IT au contrôle des données de l’Entreprise

Remote Business Data Removal (RBDR)Nouveau avec Windows Phone 8.1

Technologie de suppression sélective des données et configuration d’Entreprise

Déclenchée localement dans le cas d’un terminal non “enrôlé” ou via l’IT avec l’usage d’un MDM

Capacités additionnelles via MDMBrute force PIN protection

Remote device wipe. (réinitialisation totale du terminal)

Remote lock

Remote ring

Remote password (PIN) reset

Policies afin d’éviter: un-enroll, software device reset, hardware device reset

tech.days 2015#mstechdaysSESSION SEC203

L’IT au contrôle des données de l’Entreprise

Applications et données

personnelles

Les utilisateurs peuvent enrôler leur terminal BYOD dans un MDM afin d’accéder aux données d’Entreprise

Policies

Applications et données

d’Entreprise

Management avec Intune ou MDM

tiers

Enrôlement dans le MDM

tech.days 2015#mstechdaysSESSION SEC203

L’IT au contrôle des données de l’Entreprise

Applications et données

personnelles

Le MDM fourni à l’IT le moyen de contrôler les accès utilisateurs aux données et applications.

Les utilisateurs peuvent enrôler leur terminal BYOD dans un MDM afin d’accéder aux données d’Entreprise

Policies

Applications et données

d’Entreprise

Management avec Intune ou MDM

tiers

Effacement initié par le MDM

tech.days 2015#mstechdaysSESSION SEC203

#mstechdays techdays.microsoft.fr

Identité et contrôle d’accès

tech.days 2015#mstechdaysSESSION SEC203

Identités avec Windows Phone 8.1

Device UnlockAccès au terminal sur un notion de “déverrouillage” plus que d’authentification utilisateur.

Ce modèle est adapté aux terminaux personnels

Le modèle d’authentification utilisateur est imposé par les terminaux multi sessions tels que

les PC et tablettes

Credential LockerEspace sécurisé pour stocker les noms et mots de passe

Stocke et Protège les paramètres\Email et les données des comptes

Stocke et Protège les usernames et passwords utilisés dans IE

L’information peut se propager entre les terminaux

Windows pour un même compte

tech.days 2015#mstechdaysSESSION SEC203

Identités avec Windows Phone 8.1

CertificatsUtilisables pour l’authentification (VPN, Wi-Fi, S/MIME)

Importés manuellement ou via MDM (recommandé)

Peuvent être liés au terminal et protégés par le TPM

Two Factor Auth – Windows Azure Multi-Factor AuthenticationFourni 2FA pour les applications Cloud ou sur Site

L’utilisateur s’authentifie avec username/password puis…

… l’utilisateur fourni un second élément via appel téléphonique, SMS, app mobile

Two Factor Auth – Virtual SmartcardsWindows Phone 8.1 intègre le support de 2FA avec les Virtual Smartcards

Utilise le TPM du terminal pour protéger le certificat et simule un lecteur de carte et une carte

Simple à déployer, abordable et toujours disponible sur le terminal

Utilisable pour de la consultation sécurisée et du S/MIME

tech.days 2015#mstechdaysSESSION SEC203

Sécurité et intégrité ancrés dans les standards matériels

• Firmware et démarrage sécurisés avec l’UEFI

• Le TPM est le garant de l’intégrité du terminal grâce à ses fonctions cryptographique matériel

Protection de

l’information

Matériel de

confiance

Résistance aux

Malwares

Une longueur d’avance

• Intégrité de la plate-forme avec le Trusted Boot et les apps de confiance provenant du Store

• Sécurité sur Internet et protection d’hameçonnage utilisant IE et SmartScreen

Protection de l’information, dans tous ses états

• Le chiffrement persistant permet le partage sécurisé des informations (IRM)

• L’IT conserve le contrôle et la maitrise du terminal et des données d’Entreprise

Identité et

contrôle d’accès

Une plate-forme assumant sa différence, surtout en matière de sécurité

• Certificats pour accéder aux ressources (VPN, Wi-FI, S/MIME)

• 2FA intégré (Virtual Smartcards, Windows Azure MFA)

tech.days 2015#mstechdaysSESSION SEC203

• Windows Enterprise windows.com/enterprise & windowsphone.com/business

Ressources associées

Windows Springboard microsoft.com/springboard

Microsoft Desktop Optimization Package (MDOP)microsoft.com/mdop

Windows To Go microsoft.com/windows/wtg

Windows Phone Developer developer.windowsphone.com

© 2015 Microsoft Corporation. All rights reserved.

tech days•

2015

#mstechdays techdays.microsoft.fr