Windows Phone 8.1 et la sécurité

554 vues

Publié le

Lors de cette session venez découvrir comment Windows Phone aborde le thème de la sécurité et quels sont les éléments à connaître pour estimer le périmètre de risques liés à ces usages mobiles. Vous y découvrirez toutes les caractéristiques et les spécificités techniques en termes de sécurité de l’OS Windows Phone ainsi que toutes les nouveautés apportées par la dernière version (Windows Phone 8.1).

Publié dans : Technologie
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
554
Sur SlideShare
0
Issues des intégrations
0
Intégrations
4
Actions
Partages
0
Téléchargements
13
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Windows Phone 8.1 et la sécurité

  1. 1. AMBIENT INTELLIGENCE tech days• 2015 #mstechdays techdays.microsoft.fr
  2. 2. tech.days 2015#mstechdaysSESSION SEC203 Jugoslav Stevic – PFE Sécurité Thierry Picq - Business Developement Manager - Innovation Microsoft France #mstechdays techdays.microsoft.fr Jugoslav.Stevic@microsoft.com Thierry.Picq@microsoft.com
  3. 3. tech.days 2015#mstechdaysSESSION SEC203
  4. 4. tech.days 2015#mstechdaysSESSION SEC203 Sécurité adaptée à l’Entreprise Windows Phone 8.1 pour l’Enterprise Convergence de la plate-forme (Phone, Tablet, Desktop)
  5. 5. tech.days 2015#mstechdaysSESSION SEC203
  6. 6. tech.days 2015#mstechdaysSESSION SEC203 #mstechdays techdays.microsoft.fr Matériel de confiance
  7. 7. tech.days 2015#mstechdaysSESSION SEC203 Malware Mebromi, c’est un cheval de Troie et un bootkit Il infecte les BIOS Award BIOS et contrôle le processus de démarrage. Propagé en combinaison avec d’autres Malwares Activité Mebromi est conçu pour pouvoir rester dans l'ordinateur même si le disque dur est formaté ou remplacé. Le fonctionnement est assez simple : Mebromi va sauvegarder le BIOS, modifier quelques routines internes et ensuite flasher le nouveau BIOS, sans que ce soit visible pour l'utilisateur, puis il va infecter automatiquement le MBR Si un anti-malware est capable de le supprimer, il se réinstallera via le BIOS Comment se dissimule-t-il? En s’installant dans le BIOS, il reste caché pour la plupart des solutions anti-malware
  8. 8. tech.days 2015#mstechdaysSESSION SEC203 Unified Extensible Firmware Interface (UEFI) Qu’est-ce que l’UEFI? Une évolution moderne du traditionnel BIOS Un élément indispensable pour une certification Windows et Windows Phone Bénéfices Indépendant de l’architecture Initialise les périphériques et permet les opérations de plus haut niveau (ie.; mouse, apps) Bénéfices clefs en sécurité: Secure Boot – Assure le démarrage d’OS de confiance, signé Supprime la menace des bootkits en sécurisant le démarrage des périphériques.
  9. 9. tech.days 2015#mstechdaysSESSION SEC203 La menace : Mimikatz Objectif Mimikatz permet d’exporter des certificats depuis un terminal Ceux-ci peuvent être utilisés pour se faire passer pour leur propriétaire légitime Son usage Mimikatz est un outils (pour hacker) prévu pour les PC sous Windows Utilisable de manière hypothétique sur un Smartphone S’en protéger Windows Phone est conçu pour être immunisé contre ce type d’attaque, mais... …dans le monde actuel il est indispensable d’envisager que les défenses d’un système d’exploitation puissent être contournées… Approche : Lier l’information sensible au terminal et y empêcher l’accès si elle est exportée
  10. 10. tech.days 2015#mstechdaysSESSION SEC203 Trusted Platform Module (TPM) Qu’est-ce que le TPM? Un processeur qui effectue des opérations cryptographiques Standard international pour réaliser ces opérations Un élément indispensable pour une certification Windows Phone Bénéfices : Offre un moyen de contrôler l’intégrité du matériel et de l’OS Génére et stocke des clefs pour chiffrement Intègre des mécanismes de protection (tamper-proofing & anti-hammer) L’objectif avec Windows Phone 8.1 Utiliser le TPM au-delà du simple chiffrement du terminal
  11. 11. tech.days 2015#mstechdaysSESSION SEC203
  12. 12. tech.days 2015#mstechdaysSESSION SEC203 http://blogs.msdn.com/b/belux/archive/2013/02/05/windows-phone-8-security-deep-dive.aspx
  13. 13. tech.days 2015#mstechdaysSESSION SEC203 Power On SoC Vendor OEM Microsoft http://www.uefi.org/specs/
  14. 14. tech.days 2015#mstechdaysSESSION SEC203 #mstechdays techdays.microsoft.fr Résistance aux Malwares
  15. 15. tech.days 2015#mstechdaysSESSION SEC203 Augmentation fulgurante des malwares avec une analogie de plus en plus marquée avec les OS Desktop… http://www.trendmicro.com/vinfo/us/security/news/mobile-safety/masque- fakeid-and-other-notable-mobile-threats-of-2h-2014 http://www.sophos.com/en-us/medialibrary/PDFs/other/sophos-mobile- security-threat-report.pdf?la=en
  16. 16. tech.days 2015#mstechdaysSESSION SEC203 http://www.cvedetails.com/
  17. 17. tech.days 2015#mstechdaysSESSION SEC203 Chart from the 2014 Cisco Cloud and Web Security Report
  18. 18. tech.days 2015#mstechdaysSESSION SEC203 Malware Backdoor.AndroidOS.Obad.a est un rootkit ciblant les terminaux Android Niveau de sophistication élevé Pratiquement indétectable par les utilisateurs dont les terminaux sont infectés et très difficile voire impossible à supprimer Activité Envoi de SMS surtaxés Télécharge d’autres Malwares Envoi des informations personnelles à un serveur central Contrôle à distance du terminal Se propage à d’autres terminaux via Bluetooth Dissimulation Ce Malware s’exécute avec des droits administrateur étendus et n’apparait pas dans la liste des processus privilégiés Exploite des vulnérabilités du AndroidManifest.xml de façon à s’exécuter sans pouvoir être analysé dynamiquement Exploite des vulnérabilités des outils d’analyse pour limiter les analyses
  19. 19. tech.days 2015#mstechdaysSESSION SEC203 Trusted Boot Assure un démarrage sécurisé et une intégrité du système d’exploitation dans sa globalité “Elimine” le risque de rootkit et d’altération des composants systèmes Trusted Boot et Trusted Apps Trusted Apps La plate-forme est architecturée afin d’empêcher l’exécution d’applications qui ne seraient ni de confiance ni signées Les applications grand public doivent être signées et doivent être installées via le Store Les application d’Entreprises doivent être signées avec une signature de confiance. Plusieurs mécanismes de provisionning existent UEFI and Option ROM Firmware Windows Phone 8.1 OS Loader Windows Kernel Windows Phone 8.1 Drivers Windows System Components
  20. 20. tech.days 2015#mstechdaysSESSION SEC203 • Stockage des certificats • Shared User Certificate Store – (si l’application dispose de la capacité : SharedUserCertificates) • App Container – (si l’application ne dispose pas de la capacité : SharedUserCertificates) • Quel code peut accéder au SharedUserCertificateStore? • Les applications 1st Party: browser, e-mail client, WiFi, VPN, etc • Les applications d’Entreprise (sideloaded apps) • Certaines applications du Store disposant d’une exception de la part de la certification Microsoft (très rare!) • Protection des certificats • Certificats Soft– protection logicielle de la clef privée • Certificats TPM– la clef privée est stockée par le TPM • Certificats VSC– la clef privée est stockée par le TPM et protégée par un code PIN utilisateur Certificats Windows Phone
  21. 21. tech.days 2015#mstechdaysSESSION SEC203 Les applications WP8.1 sont, par nature, plus sécurisées. Ces applications s’exécutent dans un contexte isolé (AppContainer) avec un principe de moindre privilège Accès aux ressources sur un modèle déclaratif. Capacités limitées et définies dans le manifeste de l’application L’usage de “capacités sensibles” demande une validation utilisateur Communication App à App Réalisée via une notion de contrat Source et Cible - Contrat Source : IE dispose d’un contrat Source afin de partager des URL, Image(s), etc - Contrat Cible : Mail déclare sa capacité à recevoir de l’information et la formater Applications isolées (sandboxed) provenant de sources de confiance Windows Phone Store Toutes les applications Windows Phone 8.1 doivent être signées Elles doivent être acquises via le Windows Phone Store ou au travers des processus de diffusion Entreprise Ces applications suivent un processus de certification (Store) Une application peut être révoquée des terminaux en cas de souci
  22. 22. tech.days 2015#mstechdaysSESSION SEC203 Mécanisme d’AppContainer Pas de Plug-In Protection des mots de passe via le Credential Locker Protection “Do Not Track” Technologie SmartScreen Service Cloud de réputation d’URL Supporte Internet Explorer & les Apps Windows Store Plus de 230 Millions d’alertes d’hameçonnage Plus de 17 Trillion de vérifications de réputation
  23. 23. tech.days 2015#mstechdaysSESSION SEC203 #mstechdays techdays.microsoft.fr Protection de l’Information
  24. 24. tech.days 2015#mstechdaysSESSION SEC203
  25. 25. tech.days 2015#mstechdaysSESSION SEC203 Secure/Multipurpose Internet Mail Extensions (S/MIME) Support Windows Phone 8.1 supporte maintenant S/MIME Création et utilisation d’emails chiffrés et/ou signés Usage de certificats provisionnés par l’entreprise ou de Virtual Smart Cards (VSC). Capacité à imposer l’usage de S/MIME pour signer et/ou chiffrer
  26. 26. tech.days 2015#mstechdaysSESSION SEC203
  27. 27. tech.days 2015#mstechdaysSESSION SEC203 Contrôle des Applications Même avec les meilleures intentions les utilisateurs peuvent contribuer à la fuite d’informations La capacité de « White List / Black List » permet à l’IT de contrôler l’usage des applications sur un mécanisme de Policies (MDM) permettant de valider ou restreindre l’usage des applications
  28. 28. tech.days 2015#mstechdaysSESSION SEC203 Sécurisation des Communications Chiffrement des Communications avec TLS et SSL Supporte TLS 1.0 – 1.2 et SSL 3.0 Dispose de plusieurs certificats de confiance connus, extensible manuellement ou via l’usage de d’un MDM Virtual Private Network (VPN) Windows Phone 8.1 introduit le support de VPN Les connections peuvent être sollicitées par les applications (triggered) Support de IKEv2, IPsec, et VPN SSL Support des fournisseurs : Microsoft, Check Point, F5, Juniper, et SonicWall L’usage de VPN SSL nécessite une application de l’éditeur Possibilité d’utiliser des certificats provisionnés par l’entreprise, des Virtual Smart Cards ou des usernames/passwords.
  29. 29. tech.days 2015#mstechdaysSESSION SEC203 #mstechdays techdays.microsoft.fr Remote Business Data Removal (RBDR)
  30. 30. tech.days 2015#mstechdaysSESSION SEC203 L’IT au contrôle des données de l’Entreprise Remote Business Data Removal (RBDR) Nouveau avec Windows Phone 8.1 Technologie de suppression sélective des données et configuration d’Entreprise Déclenchée localement dans le cas d’un terminal non “enrôlé” ou via l’IT avec l’usage d’un MDM Capacités additionnelles via MDM Brute force PIN protection Remote device wipe. (réinitialisation totale du terminal) Remote lock Remote ring Remote password (PIN) reset Policies afin d’éviter: un-enroll, software device reset, hardware device reset
  31. 31. tech.days 2015#mstechdaysSESSION SEC203 L’IT au contrôle des données de l’Entreprise Applications et données personnelles Les utilisateurs peuvent enrôler leur terminal BYOD dans un MDM afin d’accéder aux données d’Entreprise Policies Applications et données d’Entreprise Management avec Intune ou MDM tiers Enrôlement dans le MDM
  32. 32. tech.days 2015#mstechdaysSESSION SEC203 L’IT au contrôle des données de l’Entreprise Applications et données personnelles Le MDM fourni à l’IT le moyen de contrôler les accès utilisateurs aux données et applications. Les utilisateurs peuvent enrôler leur terminal BYOD dans un MDM afin d’accéder aux données d’Entreprise Policies Applications et données d’Entreprise Management avec Intune ou MDM tiers Effacement initié par le MDM
  33. 33. tech.days 2015#mstechdaysSESSION SEC203 #mstechdays techdays.microsoft.fr Identité et contrôle d’accès
  34. 34. tech.days 2015#mstechdaysSESSION SEC203 Identités avec Windows Phone 8.1 Device Unlock Accès au terminal sur un notion de “déverrouillage” plus que d’authentification utilisateur. Ce modèle est adapté aux terminaux personnels Le modèle d’authentification utilisateur est imposé par les terminaux multi sessions tels que les PC et tablettes Credential Locker Espace sécurisé pour stocker les noms et mots de passe Stocke et Protège les paramètresEmail et les données des comptes Stocke et Protège les usernames et passwords utilisés dans IE L’information peut se propager entre les terminaux Windows pour un même compte
  35. 35. tech.days 2015#mstechdaysSESSION SEC203 Identités avec Windows Phone 8.1 Certificats Utilisables pour l’authentification (VPN, Wi-Fi, S/MIME) Importés manuellement ou via MDM (recommandé) Peuvent être liés au terminal et protégés par le TPM Two Factor Auth – Windows Azure Multi-Factor Authentication Fourni 2FA pour les applications Cloud ou sur Site L’utilisateur s’authentifie avec username/password puis… … l’utilisateur fourni un second élément via appel téléphonique, SMS, app mobile Two Factor Auth – Virtual Smartcards Windows Phone 8.1 intègre le support de 2FA avec les Virtual Smartcards Utilise le TPM du terminal pour protéger le certificat et simule un lecteur de carte et une carte Simple à déployer, abordable et toujours disponible sur le terminal Utilisable pour de la consultation sécurisée et du S/MIME
  36. 36. tech.days 2015#mstechdaysSESSION SEC203 Sécurité et intégrité ancrés dans les standards matériels • Firmware et démarrage sécurisés avec l’UEFI • Le TPM est le garant de l’intégrité du terminal grâce à ses fonctions cryptographique matériel Protection de l’information Matériel de confiance Résistance aux Malwares Une longueur d’avance • Intégrité de la plate-forme avec le Trusted Boot et les apps de confiance provenant du Store • Sécurité sur Internet et protection d’hameçonnage utilisant IE et SmartScreen Protection de l’information, dans tous ses états • Le chiffrement persistant permet le partage sécurisé des informations (IRM) • L’IT conserve le contrôle et la maitrise du terminal et des données d’Entreprise Identité et contrôle d’accès Une plate-forme assumant sa différence, surtout en matière de sécurité • Certificats pour accéder aux ressources (VPN, Wi-FI, S/MIME) • 2FA intégré (Virtual Smartcards, Windows Azure MFA)
  37. 37. tech.days 2015#mstechdaysSESSION SEC203 • Windows Enterprise windows.com/enterprise & windowsphone.com/business Ressources associées Windows Springboard microsoft.com/springboard Microsoft Desktop Optimization Package (MDOP) microsoft.com/mdop Windows To Go microsoft.com/windows/wtg Windows Phone Developer developer.windowsphone.com
  38. 38. © 2015 Microsoft Corporation. All rights reserved. tech days• 2015 #mstechdays techdays.microsoft.fr

×