Windows Phone 8 et la sécurité

778 vues

Publié le

Publié dans : Technologie
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
778
Sur SlideShare
0
Issues des intégrations
0
Intégrations
1
Actions
Partages
0
Téléchargements
17
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive
  • Notation
  • Intro Serveurs / Entreprise / Reseaux / IT
  • L’OEM UEFI estune plate-forme applicative qui vapermettre de developer differentscompposantssécurisés.La production de chaque terminal estcontrôlé et chaque device est uniquePour la mise à jour, le terminal reboot via le secure boot versunebranchespéciale.En cas de souci, celapassedans le flashing mode qui est au sein du secure UEFI
  • Security for Windows Phone 7 Windows® Phone 7 security model - PDF
  • App Hub: create.msdn.com
  • Windows Phone 8 et la sécurité

    1. 1. Donnez votre avis ! Depuis votre smartphone, sur : http://notes.mstechdays.frDe nombreux lots à gagner toutes les heures !!! Claviers, souris et jeux Microsoft… Merci de nous aider à améliorer les TechDayshttp://notes.mstechdays.fr
    2. 2. Windows Phone 8 Sécurité Thierry Picq Business Developement Manager - Innovation Microsoft FranceEntreprise / IT / Serveurs / Réseaux / Sécurité
    3. 3. Le marché Securité (incl VPN, …) Gestion configuration Piloté Entreprise Coût Apps LOB BYOD Documents et Email
    4. 4. Mobilité et sécurité: des enjeux clefs…http://www.indexel.net/actualites/securite-un-million-de-nouveaux- http://www.theregister.co.uk/2012/07/06/mobile_trojan_apple_appmalwares-attaqueront-android-en-2013-3741.html _store_shocker/
    5. 5. http://www.microsoft.com/france/mstechdays/programmes/parcours.aspx#SessionID=5350dcc7-4f79-459b-b16a-d743379b94c8
    6. 6. Modèle de sécurité Intégration des Services Privés / Cloud Modèle Modèle Applicatif Interfaces Architecture Logicielle Fondation Matériellehttp://www.microsoft.com/france/mstechdays/programmes/parcours.aspx#SessionID=5350dcc7-4f79-459b-b16a-d743379b94c8
    7. 7. En matière de sécurité… • Aucune application chargée via Marketplace n’a d’activité en arrière-plan (ajouts avec depuis WP7.5: multi-tâches contrôlé). - Plus difficile d’écrire un malware caché (mais aussi une application de management…) - Les seules activités • L’utilisateur dispose du contrôle. • Chaque application est isolée des autres (bac à sable) et dispose de privilèges réduits ainsi que de capacités utilisées explicitement (interdit de solliciter des capacités non déclarées).http://www.microsoft.com/france/mstechdays/programmes/parcours.aspx#SessionID=5350dcc7-4f79-459b-b16a-d743379b94c8
    8. 8. Finalement que manque-t’il à Windows Phone 7 ? • Pas de chiffrement des cartes de stockage (mais il n’y en a pas – mécanisme de verrouillage via paire de clefs 128 bits). • Pas de chiffrement du terminal dans son ensemble (mais alternatives via chiffrement applicatif) • Pas de synchronisation avec le PC en dehors des contenu média via Zune (Activesync PC / RAPI n’existe plus) • Pas d’IrDA • Pas de support des applications non signées (signature Marketplace obligatoire et pas de “side loading”). • Toute application « externe » est signée et déclare ses « capacités » de manière déterministe • Pas de “White list” / “Black list” applicative (seules les applications signées s’installent, et l’ouverture du MarketPlace privé permet de contrôler la diffusion d’applications entreprises). • Pas de mise à jour OTA (mais notification et usage de Zune PC) • Pas de multitâches (expérience utilisateur n’en souffre pas. Multi-tâches contrôlé avec WP 7.5), mais aucune application chargée via Marketplace n’a d’activité « cachée » • Un outil de management « Entreprise »???http://www.microsoft.com/france/mstechdays/programmes/parcours.aspx#SessionID=5350dcc7-4f79-459b-b16a-d743379b94c8
    9. 9. Agenda• Intégrité système• Sécurité de la plate-forme applicative• Protection des données• Contrôle d’accès• Mesures d’« assainissement »• Management en entreprise – Applications et terminaux
    10. 10. Objectifs de sécurité• Permettre une expérience utilisateur riche et contextuelle• Sécurité de l’utilisateur• Confiance des développeurs• Marketplace riche et de qualité• Conformité
    11. 11. Windows Phone 8• L’expérience utilisateur et l’utilisateur sont clefs ! – Si le terminal ne plait pas, l’utilisateur en choisira un autre – Le focus est donc l’utilisateur… – Heureusement…
    12. 12. Windows Phone 8 et Windows 8: les mêmes gènes !!!
    13. 13. Windows Phone 8Windows Phone 7.x Direct3D,Windows Phone XAudio2, MF, .NET Runtime WASAPI, WIN32, COM C#, VB C#, VB, C++ C++
    14. 14. Windows Phone 8 Developer Platform XAML Apps Direct3D Apps In-App XAML Maps Geolocation Sensors Direct3D Purchase HTML XML Threading Touch Speech XAudio2Vos apps Phone Features Push Camera Video Proximity Media Foundationà votre Calendar Wallet Contacts Core Types VoIP STL Multitasking Live Tiles Memory Async Enterprise CRTfaçon ! C# and VB C#, VB, and C++ C++ File system, Networking, Graphics, Media Core Operating System
    15. 15. Investissement dans les API du Windows Runtime Réseau Proximité Achats In-App Capteurs Localisation Système de fichiers Core app model Threading
    16. 16. Windows Phone 8 et Windows 8: les mêmes gènes … … et des possibilités partagées !!!• Un cœur partagé pour entre tout l’écosystème Windows – Kernel NT utilisé par Windows 8, Windows RT, Windows Phone 8, Windows 8 Embedded et Windows Server 2012 – Homogénéisation des expériences – Efficacité pour les développeurs – Diversité pour les constructeurs afin de se différencier.
    17. 17. Matériel de confiance…• Basé sur des spécifications standards et bien connues : processeur, mémoire, écran, etc.• Démarrage de confiance UEFI• TPM 2.0 pour la cryptographie• Se prémunir des attaques hardware
    18. 18. Secure boot Power On Windows Phone 8 OS Firmware Windows OEM UEFI boot boot Phone boot applications loaders manager Windows Phone 8 update OS Fournisseur SoC Boot to boot flashing OEM mode MSFThttp://www.uefi.org/specs/
    19. 19. Boot Loader de confiance (trusted)• Pendant la fabrication du terminal – Renseigne le condensé (hash) de la clef publique utilisée pour signer les boot loaders initiaux – « scelle » (au sens électronique: « fusibles ») ces informations et provisionne les données UEFI• Pas de contournement du secure boot pour l’utilisateur
    20. 20. Démarrage sécurisé UEFI• Tout est basé sur les Clefs…• Platform Key – PK – Une fois le PK en place, l’environnement UEFI est activé• BdD des signatures valides et invalides –DB/DBX – Contrôle le chargement des « images »• Le KEK (Key Exchange Key) gère les mises à jours de DB/DBX
    21. 21. Secure Boot • Le Secure Boot (SB) garantit l’intégrité du système dans sa totalité • L’implémentation du SB est réalisée par les fournisseurs de SoC (System on a Chip -Qualcomm) et les constructeurs (Nokia, HTC, etc.). – Deux phases: • Le SB de la plate-forme garantit l’intégrité des mécanismes pré-UEFI (Unified Extensible Firmware Interface) • UEFI sécurise le démarrage (boot) et garantit l’intégrité des applications OEM UEFI et du système • Secure Boot limite les risques d’installation de « malware » de bas niveau (type rootkit) sur les terminauxhttp://blogs.msdn.com/b/belux/archive/2013/02/05/windows-phone-8-security-deep-dive.aspx
    22. 22. Une réalité…http://winsupersite.com/windows-phone/calling-bs-windows-phone-8-handset-asks-installation-disc
    23. 23. Et les autres…• iOS – Matériel propriétaire (contrôlé) – Jailbreak…• Android – Besoin de rien…
    24. 24. Signature du Code• Tous les binaires de Windows Phone 8 doivent être signés par Microsoft pour pouvoir s’exécuter. – Diffère de WP7 ou seules les applications Microsoft et celles du Marketplace disposaient de signatures. – Les binaires OEM doivent être signés par Microsoft.
    25. 25. Rappel: modèle de sécurité Windows Phone 7 Centralisation des règles Triplet {Principal, Droit, Ressource} Le périmètre de la chambre est une frontière de sécurité 4 types de chambres, 3 fixes, une dynamique en function des capacités requises(LPC) Décrites dans le manifest applicatif Publiées sur le Marketplace Représentent les limites de sécurité sur le téléphone
    26. 26. Modèle de sécurité Windows Phone 8 Les services et la applications fonctionnent tous dans le modèle de moindre privilege (pas d’élévation en cas de souci…) WP8 dispose d’une liste de capacités plus riche que WP7
    27. 27. Internet Explorer 10• SmartScreen: filtre anti-hameçonnage – Utilise les données collectées par des 100aines de millions de PC pour bloquer les sites malicieux en temps réel• Accroissement de performances Javascript vs WP7.5• Accroissement du support HTML 5 vs WP7.5
    28. 28. A ce stade• Secure Boot activé• Modèle de sécurité cohérent avec des « capacités » étendues• Tous les binaires sont signés• IE10 bénéficie des technologies de Windows
    29. 29. Sécurité des données
    30. 30. Chiffrement du terminal• WP8 utilise les technologies de chiffrement de Windows – Secure Boot nécessaire – Disponible pour tous les terminaux et activé au premier démarrage par l’IT – L’intégralité du stockage interne est chiffré – Les cartes SD ne sont pas chiffrées • Et c’est logique (enfin explicable… :-)
    31. 31. Contrôle des accès au terminal et auxapplications • Exchange ActiveSync avec Exchange Server et Office 365 – Contrôle de l’accès à la messagerie et gestion des terminaux • Contrôle des applications et gestion des terminaux avec un Mobile Device Management (MDM) ie: SCCM 2012 et Windows Intune – Distribution d’applications et gestion des règles de sécurité
    32. 32. EAS AVEC OFFICE 365
    33. 33. Principe de sécurisation du déploiement des applications d’entreprise• Toutes les applications de l’entreprise sont signées avec le même certificat propre à l’entreprise.• Le certificat de l’entreprise est installé sur les téléphones de l’entreprise• Cela permet : • d’autoriser l’installation de manière sécurisée des applications sur un téléphone sans utiliser le store (exécution d’un XAP) à partir d’un serveur de l’entreprise (SharePoint), d’un Cloud privé, d’un mail ou d’une carte SD • Le fonctionnement du « Hub » et des applications de l’entreprise ainsi que la sécurisation de leur distribution.
    34. 34. Gestion des terminaux mobiles avec Windows Intune Intégré, simple et facile d’accès Le client d’inscription (réversible) au management d’Entreprise est intégré. Application des règles de sécurité et découverte des applications internes.
    35. 35. Applications d’Entreprise 1. L’entreprise s’enregistre auprès de l’App Hub 2. Téléchargement des outils 3. Microsoft indique à la CA la demande d’enregistrement 4. Traitement 5. CA verifie le traitement et génère un Certificat pour l’EntrepriseApp Hub: http://create.msdn.com
    36. 36. Les étapes !
    37. 37. « Ingestion » des apps Entreprise• Les applications d’entreprise ne sont pas soumises sur le Marketplace• L’inclusion des applications dans le catalogue d’entreprise est exclusivement sous le contrôle et la responsabilité de cette dernière – Qualité – Impact sur l’expérience globale• Les outils du Marketplace peuvent être utilisés pour évaluer les applications• Si une application utilise la localisation il est recommandé d’en informer l’utilisateur et d’obtenir son consentement explicite
    38. 38. Windows Intune: règles et reportingEAS Intune Intune + SCCM Et reporting    Simple password Server configured policy values    Alphanumeric password Query installed enterprise app    Minimum password length Device name    Minimum password complex characters Device ID   Password expiration OS platform type   Password history Firmware version    Device wipe threshold OS version    Inactivity timeout Device local time  IRM enabled Processor type    Remote device wipe Device model    Device encryption (new) Device manufacturer  Disable removable storage card (new) Device processor architecture   Remote update of business apps (new) Device language   Remote or local un-enroll (new)
    39. 39. WINDOWS INTUNE
    40. 40. Récapitulatif : managé / non managé Blog français Windows Phone (Jérôme Dakono): La production et le déploiement des applications d’entreprise sur Windows Phone http://blogs.microsoft.fr/windowsphone/la-production-et-le-deploiement-des-applications-dentreprise-sur-windows-phone.html*Exemple de Windows Intune / ** application Self Service Portal à télécharger et àIntune *Exemple de Windows certifier ** application Self Service Portal à télécharger et à certifier
    41. 41. « Assainissement »• Réinitialisation locale ou à distance – Initiée par l’utilisateur ou l’administrateur – Utilise EAS ou MDM• Windows Update – Uniquement OTA – Potentiellement à l’initiative de l’utilisateur• Révocation d’applications – Marketplace et applications d’entreprise
    42. 42. Management hétérogène et uniformisé Devices & Platforms Single admin console Windows Intune
    43. 43. Les MDM tiers Airwatch http://www.marketwatch.com/story/airwatch-to-provide-immediate-device-and- application-management-support-for-windows-phone-8r-2012-10-23 MobileIron http://www.mobileiron.com/en/company/press-room/press-releases/2012/366- mobileiron-supports-windows-phone-8-apps-and-devices- Symantec http://www.symantec.com/connect/blogs/symantec-provides-day-1-support- windows-phone-8-protect-mobile-enterprise ZenPrise http://www.zenprise.com/blog/zenprise-supports-new-enterprise-mobility-era Sybase Afaria http://www12.sap.com/corporate-en/press.epx?PressID=19903
    44. 44. Finalement que manque-t’il à Windows Phone 7 / 8? • Pas de chiffrement des cartes de stockage (mais il n’y en a pas – mécanisme de verrouillage via paire de clefs 128 bits). • Pas de chiffrement du terminal dans son ensemble (mais alternatives via chiffrement applicatif) • Pas de synchronisation avec le PC en dehors des contenu média via Zune (Activesync PC / RAPI n’existe plus) • Pas d’IrDA • Pas de support des applications non signées (signature Marketplace obligatoire et pas de “side loading”). • Toute application « externe » est signée et déclare ses « capacités » de manière déterministe • Pas de “White list” / “Black list” applicative (seules les applications signées s’installent, et l’ouverture du MarketPlace privé permet de contrôler la diffusion d’applications entreprises). • Pas de mise à jour OTA (mais notification et usage de Zune PC) • Pas de multitâches (expérience utilisateur n’en souffre pas. Multi-tâches contrôlé avec WP 7.5), mais aucune application chargée via Marketplace n’a d’activité « cachée » • Un outil de management « Entreprise »??? • Secure Boot • Signature de tout le code • Modèle de « sandboxing » • Chiffrement • Révocation d’applications (Store et Entreprise)
    45. 45. Ressources IT• Business Hub• http://windowsphone.com/businessBusiness Hu
    46. 46. Ressources IT• http://www.windowsphone.com/en-us/business/security
    47. 47. Ressources IT• Building Apps for Windows Phone 8• http://channel9.msdn.com/Series/Building-Apps-for-Windows- Phone-8-Jump-Start/Building-Apps-for-Windows-Phone-8- Jump-Start-01a-Introducing-Windows-Phone-8-Development- Part-1• Windows Phone for Business• http://www.windowsphone.com/business• Windows Phone for Developers• http://dev.windowsphone.com/en-us
    48. 48. Ressources IT• “Using Windows Intune for Direct Management of Mobile Devices” at http://technet.microsoft.com/en-us/library/jj733632.aspx• “Customizing the Windows Intune Company Portal” at http://technet.microsoft.com/en-us/library/jj662649.aspx• VPN WP Nokia https://expertcentre.nokia.com/en/articles/kbarticles/Pages/Nokia- VPN-resource-hub.aspx
    49. 49. Windows PhoneBack to Business !!!
    50. 50. Développeurs Pros de l’IT http://aka.ms/generation-app Formez-vous en ligne www.microsoftvirtualacademy.com http://aka.ms/evenements- developpeurs Retrouvez nos évènements http://aka.ms/itcamps-france Les accélérateurs Faites-vous accompagnerWindows Azure, Windows Phone, gratuitement Windows 8 Essayer gratuitement nos http://aka.ms/telechargements solutions IT La Dev’Team sur MSDN Retrouver nos experts L’IT Team sur TechNet http://aka.ms/devteam Microsoft http://aka.ms/itteam

    ×