Vous connaissiez Windows Mobile ? Vous avez aimé Windows Phone 7, découvrez comment Windows Phone 8 aborde le thème de la sécurité et quels sont les éléments à connaitre pour estimer le périmètre de risques liés à ces usages mobiles.
Speakers : Jugoslav STEVIC (Microsoft France), Thierry Picq (Microsoft France), Jean-Yves Grasset (Microsoft)
2. Windows Phone 8
Sécurité
Jugoslav Stevic – PFE Sécurité
Jean-Yves Grasset – Chief Security Advisor–
CISSP/CCSK
Thierry Picq - Business Developement Manager Innovation
Jugoslav.Stevic@microsoft.com
Microsoft France
Jean-Yves.Grasset@microsoft.com
Thierry.Picq@microsoft.com
Sécurité
3. Donnez votre avis !
Depuis votre smartphone sur :
http://notes.mstechdays.fr
De nombreux lots à gagner toute les heures !!!
Claviers, souris et jeux Microsoft…
Merci de nous aider à améliorer les Techdays !
#mstechdays
Sécurité
6. iOS aussi…
Entre 2007 et 2013, 238
vulnérabilités ont été reportées sur
iOS
http://www.cvedetails.com/
La majorité de ces failles permettait
l’exécution de code malicieux
iOS
Jusqu’ici une seule vulnérabilité
reportée pour Windows Phone
http://blog.mktlines.com/starbucks-will-fix-iphone-app-currently-threat-user%E2%80%99s-security-4264/
#mstechdays
Sécurité
9. Agenda
•
•
•
•
•
•
Intégrité système
Sécurité de la plate-forme applicative
Protection des données
Contrôle d’accès
Mesures d’« assainissement »
Management en entreprise
– Applications et terminaux
#mstechdays
Sécurité
10. Objectifs de sécurité
• Expérience utilisateur riche et contextuelle
• Sécurité de l’utilisateur
• Confiance des
développeurs
• Store riche et de
qualité
• Conformité
#mstechdays
Sécurité
11. Windows Phone 8 et Windows 8: les mêmes gènes …
… et des possibilités partagées !!!
• Un cœur partagé pour entre tout
l’écosystème Windows
– Kernel NT utilisé par Windows 8, Windows
RT, Windows Phone 8, Windows 8
Embedded et Windows Server 2012
– Homogénéisation des expériences
– Efficacité pour les développeurs
– Diversité pour les constructeurs afin de se
différencier
#mstechdays
Sécurité
12. Matériel de confiance…
• Basé sur des spécifications standards
et bien connues : processeur,
mémoire, écran, etc.
• Démarrage de confiance UEFI
• TPM 2.0 pour la cryptographie
• Objectif : se prémunir des attaques
hardware
UEFI : Unified Extensible Firmware Interface Forum
TPM : Trusted Platform Module
#mstechdays
Sécurité
13. Processus de démarrage de confiance
Power On
SoC Vendor
OEM
Microsoft
#mstechdays
http://www.uefi.org/specificatio
ns/
Sécurité
15. Boot Loader de confiance
• Pendant la fabrication du terminal, l’OEM
– Renseigne le condensé (hash) de la clé publique utilisée
pour signer les boot loaders initiaux
– « scelle » (au sens électronique: « fusibles ») ces
informations et provisionne les données UEFI
• Chaque appareil possède sa propre clé de
chiffrement
• Pas de contournement du secure boot pour
l’utilisateur
#mstechdays
Sécurité
16. Démarrage sécurisé UEFI
• Tout est basé sur les clés…
• Platform Key – PK
– Une fois le PK en place, l’environnement UEFI est activé
• BdD des signatures valides et invalides –
DB/DBX
– Contrôle le chargement des « images »
• Le KEK (Key Exchange Key) gère les mises à
jour de DB/DBX
#mstechdays
Sécurité
17. Secure Boot
• Le Secure Boot (SB) garantit l’intégrité du système
dans sa totalité
• Implémentation réalisée par
– les fournisseurs de SoC (System on a Chip -Qualcomm)
– les constructeurs (Nokia, HTC, etc.).
• Deux phases:
– Le SB de la plate-forme garantit l’intégrité des mécanismes préUEFI
– UEFI sécurise le démarrage et garantit l’intégrité des applications
OEM UEFI et du système
• Secure Boot limite les risques d’installation de
« malware » de bas niveau (type rootkit)
http://blogs.msdn.com/b/belux/archive/2013/02/05/windows-phone-8-security-deep-dive.aspx
#mstechdays
Sécurité
18. Et les autres…
• iOS
– Matériel propriétaire
(contrôlé)
– Jailbreak…
• Android
– Besoin de rien…
Barcelone
2013
#mstechdays
Sécurité
19. Signature du Code
• Tous les binaires de Windows
Phone 8 doivent être signés par
Microsoft pour pouvoir s’exécuter
– Diffère de WP7 ou seules les applications
Microsoft et celles du Marketplace
disposaient de signatures.
– Les binaires OEM doivent être signés par
Microsoft.
#mstechdays
Sécurité
20. Modèle de sécurité Windows Phone 8
Trusted Computing Base
• Kernel et drivers en mode noyau (Kernel)
X
URI, fichiers
Chambre
Chambre
App A
App B
• Les services et les applications fonctionnent tous
dans le modèle de moindre privilège (pas
d’élévation en cas de souci…)
• WP8 dispose d’une liste de capacités définies
par un manifest (WMAppManifest.xml) et
vérifiées lors de la certification du WP Store.
msdn.microsoft.com/en-us/library/windowsphone/develop/jj206936(v=vs.105).aspx
X
Système de fichier
local pour App A
#mstechdays
Système de fichier
local pour App B
• Système de fichier “caché”, stockage isolé
Sécurité
21. Internet Explorer 10
• SmartScreen: filtre antihameçonnage
– Utilise les données collectées par
des 100aines de millions de PC
pour bloquer les sites malicieux en
temps réel
• Un des navigateurs HTML5 le
plus performant
• Isolé dans une “chambre”
(sandbox) sans plug-in
#mstechdays
Sécurité
22. A ce stade
• Secure Boot activé
• Modèle de sécurité cohérent avec des
« capacités » étendues
• Tous les binaires sont signés
• IE10 bénéficie des technologies de
Windows
#mstechdays
Sécurité
24. Chiffrement du terminal
• WP8 utilise les technologies de chiffrement
de Windows
– Secure Boot nécessaire
– Disponible pour tous les terminaux et activé au premier
démarrage par l’IT
– L’intégralité du stockage interne est chiffré (AES 128)
– Les cartes SD ne sont pas chiffrées
• Et c’est logique (enfin explicable… :-)
#mstechdays
Sécurité
25.
26. Contrôle des accès au terminal et aux applications
• Exchange ActiveSync avec Exchange Server et
Office 365
– Contrôle de l’accès à la messagerie et gestion des terminaux
• Contrôle des applications et gestion des
terminaux avec un Mobile Device Management
(MDM) ie: SCCM 2012 et Windows Intune
– Distribution d’applications et gestion des règles de sécurité
#mstechdays
Sécurité
29. Principe de sécurisation du déploiement des
applications d’entreprise
•
•
Toutes les applications de l’entreprise sont
signées avec le même certificat propre à
l’entreprise.
Le certificat de l’entreprise est installé sur les
téléphones de l’entreprise
– Cela permet :
• d’autoriser l’installation de manière
sécurisée des applications sur un
téléphone sans utiliser le store
(exécution d’un XAP) à partir d’un
serveur de l’entreprise (SharePoint), d’un
Cloud privé, d’un mail ou d’une carte SD
• Le fonctionnement du « Hub » et des
applications de l’entreprise ainsi que la
sécurisation de leur distribution.
#mstechdays
Sécurité
30. Applications d’Entreprise
• App Hub: http://create.msdn.com
App Hub
Organisation IT
1. Enregistrement
Windows Phone
1.Enregistrement Terminal
2. Outils Signature
2. Accès apps
3. Cert. et ID
1. Développer une App
entreprise
2. Packager et signer
3. App Catalog
4. Créer un Token
Enregistrement de l‘IT
1.
2.
3.
4.
5.
L’entreprise s’enregistre auprès de l’App Hub
Téléchargement des outils
Microsoft indique à la CA la demande d’enregistrement
Traitement
CA vérifie le traitement et génère un Certificat pour l’Entreprise
#mstechdays
Sécurité
32. « Ingestion » des apps Entreprise
• Les applications d’entreprise ne sont pas soumises sur le Store
• L’inclusion des applications dans le catalogue d’entreprise est
exclusivement sous le contrôle et la responsabilité de cette
dernière
– Qualité
– Impact sur l’expérience globale
• Les outils du Store peuvent être utilisés pour évaluer les
applications
• Si une application utilise la localisation il est recommandé d’en
informer l’utilisateur et d’obtenir son consentement explicite
#mstechdays
Sécurité
33. Gestion des mobiles avec Windows Intune
Intégré, simple et facile d’accès
• Le client d’inscription (réversible) au
management d’Entreprise est intégré.
• Application des règles de sécurité et
découverte des applications internes.
#mstechdays
Sécurité
34. Windows Intune: règles et reporting
EAS Intune Intune + SCCM
#mstechdays
Et reporting
Simple password
Alphanumeric password
Minimum password length
Minimum password complex characters
Password expiration
Password history
Device wipe threshold
Inactivity timeout
IRM enabled
Remote device wipe
Device encryption (new)
Disable removable storage card (new)
Remote update of business apps (new)
Remote or local un-enroll (new)
Sécurité
Server configured policy values
Query installed enterprise app
Device name
Device ID
OS platform type
Firmware version
OS version
Device local time
Processor type
Device model
Device manufacturer
Device processor architecture
Device language
35. « Assainissement »
• Réinitialisation locale ou à distance
– Initiée par l’utilisateur ou l’administrateur
– Utilise EAS ou MDM
• Windows Update
– Uniquement OTA
– Potentiellement à l’initiative de l’utilisateur
• Révocation d’applications
– Store et applications d’entreprise
#mstechdays
Sécurité
36. Expérience homogène
pour tous les appareils
Enterprise Feature Pack
• Mise à jour gratuite (1er semestre
2014)
• S/MIME pour la signature et le
chiffrement des emails
• VPN auto-déclenché
• Wi-Fi entreprise avec EAP-TLS
• Politiques MDM avancées
• Gestion des certificats pour la
demande, le renouvellement et la
révocation des certificats pour
l’authentification utilisateur
• Extension du support de 18 à 36 mois
#mstechdays
Sécurité
Sous
contrôle de
l’IT
Productiv
depuis
n’importe
où
Cœur et
sécurité
partagés
Gestion complète du c
de vie des apps
38. Windows Phone 8 face aux « Dix risques majeurs (Enisa) »
#mstechdays
Sécurité
39. Les autres sessions IT & Windows Phone
Windows Phone pour l'entreprise
Mercredi 12 février : 15h15-16h00
http://www.microsoft.com/france/mstechday
s/programmes/2014/fichesession.aspx?ID=cc05d911-f857-498189ce93ecec15e83d#sYSDTB48tLvABxeH.99
Protéger vos données dans un contexte
BYOD/Office 365 avec le nouveau
service Microsoft RMS
Mercredi 12 février : 15h15-16h00
http://www.microsoft.com/france/mstechday
s/programmes/2014/fichesession.aspx?ID=f3fdf034-7753-4d31b9e91f292a948fa2#uyLLfm5ML8sxmXKU.99
PCIT: Comment gérer les appareils mobiles
avec System Center 2012 R2 Configuration
Manager et Intune?
Mercredi 12 février : 12h15-13h00
http://www.microsoft.com/france/mstechdays/progr
ammes/2014/fiche-session.aspx?ID=43a09d9ef6b2-4330-95218b4aa0775b33#EbhgT4xFFQeuUXEu.99
#mstechdays
Sécurité
42. Ressources IT
• “Using Windows Intune for Direct Management of Mobile Devices” at
http://technet.microsoft.com/en-us/library/jj733632.aspx
• “Customizing the Windows Intune Company Portal” at
http://technet.microsoft.com/en-us/library/jj662649.aspx
• VPN WP Nokia
https://expertcentre.nokia.com/en/articles/kbarticles/Pages/NokiaVPN-resource-hub.aspx
• Crypto ++ : manipuler les algorithmes de chiffrement via vos
applications
http://developer.nokia.com/community/wiki/Using_Crypto%2B%2B_lib
rary_with_Windows_Phone_8
#mstechdays
Sécurité