Windows Phone 8 et la sécurité

465 vues

Publié le

Vous connaissiez Windows Mobile ? Vous avez aimé Windows Phone 7, découvrez comment Windows Phone 8 aborde le thème de la sécurité et quels sont les éléments à connaitre pour estimer le périmètre de risques liés à ces usages mobiles.

Speakers : Jugoslav STEVIC (Microsoft France), Thierry Picq (Microsoft France), Jean-Yves Grasset (Microsoft)

Publié dans : Technologie
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
465
Sur SlideShare
0
Issues des intégrations
0
Intégrations
2
Actions
Partages
0
Téléchargements
27
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Windows Phone 8 et la sécurité

  1. 1. Windows Phone 8 Sécurité Jugoslav Stevic – PFE Sécurité Jean-Yves Grasset – Chief Security Advisor– CISSP/CCSK Thierry Picq - Business Developement Manager Innovation Jugoslav.Stevic@microsoft.com Microsoft France Jean-Yves.Grasset@microsoft.com Thierry.Picq@microsoft.com Sécurité
  2. 2. Donnez votre avis ! Depuis votre smartphone sur : http://notes.mstechdays.fr De nombreux lots à gagner toute les heures !!! Claviers, souris et jeux Microsoft… Merci de nous aider à améliorer les Techdays ! #mstechdays Sécurité
  3. 3. http://www.kaspersky.co.uk/internet-security-center/threats/mobile #mstechdays Sécurité
  4. 4. http://www.cisco.com/web/offers/lp/2014-annual-security-report/index.html #mstechdays Sécurité
  5. 5. iOS aussi… Entre 2007 et 2013, 238 vulnérabilités ont été reportées sur iOS http://www.cvedetails.com/ La majorité de ces failles permettait l’exécution de code malicieux iOS Jusqu’ici une seule vulnérabilité reportée pour Windows Phone http://blog.mktlines.com/starbucks-will-fix-iphone-app-currently-threat-user%E2%80%99s-security-4264/ #mstechdays Sécurité
  6. 6. https://www.enisa.europa.eu/activities/Resilience-and-CIIP/critical-applications/smartphone-security-1/top-ten-risks #mstechdays Sécurité
  7. 7. http://www.microsoft.com/france/mstechDays/programmes/2013/fiche-session.aspx?ID=be540b8f-68cf-4885-9b5c393b59cfebd9 #mstechdays Sécurité
  8. 8. Agenda • • • • • • Intégrité système Sécurité de la plate-forme applicative Protection des données Contrôle d’accès Mesures d’« assainissement » Management en entreprise – Applications et terminaux #mstechdays Sécurité
  9. 9. Objectifs de sécurité • Expérience utilisateur riche et contextuelle • Sécurité de l’utilisateur • Confiance des développeurs • Store riche et de qualité • Conformité #mstechdays Sécurité
  10. 10. Windows Phone 8 et Windows 8: les mêmes gènes … … et des possibilités partagées !!! • Un cœur partagé pour entre tout l’écosystème Windows – Kernel NT utilisé par Windows 8, Windows RT, Windows Phone 8, Windows 8 Embedded et Windows Server 2012 – Homogénéisation des expériences – Efficacité pour les développeurs – Diversité pour les constructeurs afin de se différencier #mstechdays Sécurité
  11. 11. Matériel de confiance… • Basé sur des spécifications standards et bien connues : processeur, mémoire, écran, etc. • Démarrage de confiance UEFI • TPM 2.0 pour la cryptographie • Objectif : se prémunir des attaques hardware UEFI : Unified Extensible Firmware Interface Forum TPM : Trusted Platform Module #mstechdays Sécurité
  12. 12. Processus de démarrage de confiance Power On SoC Vendor OEM Microsoft #mstechdays http://www.uefi.org/specificatio ns/ Sécurité
  13. 13. Une réalité… http://winsupersite.com/windows-phone/calling-bs-windows-phone-8-handset-asks-installationdisc #mstechdays Sécurité
  14. 14. Boot Loader de confiance • Pendant la fabrication du terminal, l’OEM – Renseigne le condensé (hash) de la clé publique utilisée pour signer les boot loaders initiaux – « scelle » (au sens électronique: « fusibles ») ces informations et provisionne les données UEFI • Chaque appareil possède sa propre clé de chiffrement • Pas de contournement du secure boot pour l’utilisateur #mstechdays Sécurité
  15. 15. Démarrage sécurisé UEFI • Tout est basé sur les clés… • Platform Key – PK – Une fois le PK en place, l’environnement UEFI est activé • BdD des signatures valides et invalides – DB/DBX – Contrôle le chargement des « images » • Le KEK (Key Exchange Key) gère les mises à jour de DB/DBX #mstechdays Sécurité
  16. 16. Secure Boot • Le Secure Boot (SB) garantit l’intégrité du système dans sa totalité • Implémentation réalisée par – les fournisseurs de SoC (System on a Chip -Qualcomm) – les constructeurs (Nokia, HTC, etc.). • Deux phases: – Le SB de la plate-forme garantit l’intégrité des mécanismes préUEFI – UEFI sécurise le démarrage et garantit l’intégrité des applications OEM UEFI et du système • Secure Boot limite les risques d’installation de « malware » de bas niveau (type rootkit) http://blogs.msdn.com/b/belux/archive/2013/02/05/windows-phone-8-security-deep-dive.aspx #mstechdays Sécurité
  17. 17. Et les autres… • iOS – Matériel propriétaire (contrôlé) – Jailbreak… • Android – Besoin de rien… Barcelone 2013 #mstechdays Sécurité
  18. 18. Signature du Code • Tous les binaires de Windows Phone 8 doivent être signés par Microsoft pour pouvoir s’exécuter – Diffère de WP7 ou seules les applications Microsoft et celles du Marketplace disposaient de signatures. – Les binaires OEM doivent être signés par Microsoft. #mstechdays Sécurité
  19. 19. Modèle de sécurité Windows Phone 8 Trusted Computing Base • Kernel et drivers en mode noyau (Kernel) X URI, fichiers Chambre Chambre App A App B • Les services et les applications fonctionnent tous dans le modèle de moindre privilège (pas d’élévation en cas de souci…) • WP8 dispose d’une liste de capacités définies par un manifest (WMAppManifest.xml) et vérifiées lors de la certification du WP Store. msdn.microsoft.com/en-us/library/windowsphone/develop/jj206936(v=vs.105).aspx X Système de fichier local pour App A #mstechdays Système de fichier local pour App B • Système de fichier “caché”, stockage isolé Sécurité
  20. 20. Internet Explorer 10 • SmartScreen: filtre antihameçonnage – Utilise les données collectées par des 100aines de millions de PC pour bloquer les sites malicieux en temps réel • Un des navigateurs HTML5 le plus performant • Isolé dans une “chambre” (sandbox) sans plug-in #mstechdays Sécurité
  21. 21. A ce stade • Secure Boot activé • Modèle de sécurité cohérent avec des « capacités » étendues • Tous les binaires sont signés • IE10 bénéficie des technologies de Windows #mstechdays Sécurité
  22. 22. SÉCURITÉ DES DONNÉES #mstechdays Sécurité
  23. 23. Chiffrement du terminal • WP8 utilise les technologies de chiffrement de Windows – Secure Boot nécessaire – Disponible pour tous les terminaux et activé au premier démarrage par l’IT – L’intégralité du stockage interne est chiffré (AES 128) – Les cartes SD ne sont pas chiffrées • Et c’est logique (enfin explicable… :-) #mstechdays Sécurité
  24. 24. Contrôle des accès au terminal et aux applications • Exchange ActiveSync avec Exchange Server et Office 365 – Contrôle de l’accès à la messagerie et gestion des terminaux • Contrôle des applications et gestion des terminaux avec un Mobile Device Management (MDM) ie: SCCM 2012 et Windows Intune – Distribution d’applications et gestion des règles de sécurité #mstechdays Sécurité
  25. 25. SMARTSCREEN EAS AVEC OFFICE 365 #mstechdays Sécurité Design/UX/UI
  26. 26. GESTION DES APPAREILS DÉPLOIEMENT DES APPLICATIONS #mstechdays Sécurité
  27. 27. Principe de sécurisation du déploiement des applications d’entreprise • • Toutes les applications de l’entreprise sont signées avec le même certificat propre à l’entreprise. Le certificat de l’entreprise est installé sur les téléphones de l’entreprise – Cela permet : • d’autoriser l’installation de manière sécurisée des applications sur un téléphone sans utiliser le store (exécution d’un XAP) à partir d’un serveur de l’entreprise (SharePoint), d’un Cloud privé, d’un mail ou d’une carte SD • Le fonctionnement du « Hub » et des applications de l’entreprise ainsi que la sécurisation de leur distribution. #mstechdays Sécurité
  28. 28. Applications d’Entreprise • App Hub: http://create.msdn.com App Hub Organisation IT 1. Enregistrement Windows Phone 1.Enregistrement Terminal 2. Outils Signature 2. Accès apps 3. Cert. et ID 1. Développer une App entreprise 2. Packager et signer 3. App Catalog 4. Créer un Token Enregistrement de l‘IT 1. 2. 3. 4. 5. L’entreprise s’enregistre auprès de l’App Hub Téléchargement des outils Microsoft indique à la CA la demande d’enregistrement Traitement CA vérifie le traitement et génère un Certificat pour l’Entreprise #mstechdays Sécurité
  29. 29. Les étapes ! #mstechdays Sécurité
  30. 30. « Ingestion » des apps Entreprise • Les applications d’entreprise ne sont pas soumises sur le Store • L’inclusion des applications dans le catalogue d’entreprise est exclusivement sous le contrôle et la responsabilité de cette dernière – Qualité – Impact sur l’expérience globale • Les outils du Store peuvent être utilisés pour évaluer les applications • Si une application utilise la localisation il est recommandé d’en informer l’utilisateur et d’obtenir son consentement explicite #mstechdays Sécurité
  31. 31. Gestion des mobiles avec Windows Intune Intégré, simple et facile d’accès • Le client d’inscription (réversible) au management d’Entreprise est intégré. • Application des règles de sécurité et découverte des applications internes. #mstechdays Sécurité
  32. 32. Windows Intune: règles et reporting EAS Intune Intune + SCCM                      #mstechdays              Et reporting Simple password Alphanumeric password Minimum password length Minimum password complex characters Password expiration Password history Device wipe threshold Inactivity timeout IRM enabled Remote device wipe Device encryption (new) Disable removable storage card (new) Remote update of business apps (new) Remote or local un-enroll (new) Sécurité Server configured policy values Query installed enterprise app Device name Device ID OS platform type Firmware version OS version Device local time Processor type Device model Device manufacturer Device processor architecture Device language
  33. 33. « Assainissement » • Réinitialisation locale ou à distance – Initiée par l’utilisateur ou l’administrateur – Utilise EAS ou MDM • Windows Update – Uniquement OTA – Potentiellement à l’initiative de l’utilisateur • Révocation d’applications – Store et applications d’entreprise #mstechdays Sécurité
  34. 34. Expérience homogène pour tous les appareils Enterprise Feature Pack • Mise à jour gratuite (1er semestre 2014) • S/MIME pour la signature et le chiffrement des emails • VPN auto-déclenché • Wi-Fi entreprise avec EAP-TLS • Politiques MDM avancées • Gestion des certificats pour la demande, le renouvellement et la révocation des certificats pour l’authentification utilisateur • Extension du support de 18 à 36 mois #mstechdays Sécurité Sous contrôle de l’IT Productiv depuis n’importe où Cœur et sécurité partagés Gestion complète du c de vie des apps
  35. 35. Les MDM tiers Airwatch http://www.marketwatch.com/story/airwatch-to-provide-immediate-device-andapplication-management-support-for-windows-phone-8r-2012-10-23 MobileIron http://www.mobileiron.com/en/company/press-room/press-releases/2012/366mobileiron-supports-windows-phone-8-apps-and-devices- Symantec http://www.symantec.com/connect/blogs/symantec-provides-day-1-supportwindows-phone-8-protect-mobile-enterprise ZenPrise http://www.zenprise.com/blog/zenprise-supports-new-enterprise-mobility-era Sybase Afaria http://www12.sap.com/corporate-en/press.epx?PressID=19903 #mstechdays Sécurité
  36. 36. Windows Phone 8 face aux « Dix risques majeurs (Enisa) » #mstechdays Sécurité
  37. 37. Les autres sessions IT & Windows Phone Windows Phone pour l'entreprise Mercredi 12 février : 15h15-16h00 http://www.microsoft.com/france/mstechday s/programmes/2014/fichesession.aspx?ID=cc05d911-f857-498189ce93ecec15e83d#sYSDTB48tLvABxeH.99 Protéger vos données dans un contexte BYOD/Office 365 avec le nouveau service Microsoft RMS Mercredi 12 février : 15h15-16h00 http://www.microsoft.com/france/mstechday s/programmes/2014/fichesession.aspx?ID=f3fdf034-7753-4d31b9e91f292a948fa2#uyLLfm5ML8sxmXKU.99 PCIT: Comment gérer les appareils mobiles avec System Center 2012 R2 Configuration Manager et Intune? Mercredi 12 février : 12h15-13h00 http://www.microsoft.com/france/mstechdays/progr ammes/2014/fiche-session.aspx?ID=43a09d9ef6b2-4330-95218b4aa0775b33#EbhgT4xFFQeuUXEu.99 #mstechdays Sécurité
  38. 38. Ressources IT http://www.windowsphone .com/fr-FR/business/forbusiness #mstechdays Sécurité
  39. 39. Ressources IT http://www.windowsphone.co m/en-us/business/security #mstechdays Sécurité
  40. 40. Ressources IT • “Using Windows Intune for Direct Management of Mobile Devices” at http://technet.microsoft.com/en-us/library/jj733632.aspx • “Customizing the Windows Intune Company Portal” at http://technet.microsoft.com/en-us/library/jj662649.aspx • VPN WP Nokia https://expertcentre.nokia.com/en/articles/kbarticles/Pages/NokiaVPN-resource-hub.aspx • Crypto ++ : manipuler les algorithmes de chiffrement via vos applications http://developer.nokia.com/community/wiki/Using_Crypto%2B%2B_lib rary_with_Windows_Phone_8 #mstechdays Sécurité
  41. 41. Digital is business

×