SSTIC 2012 - Windows 8 et la sécurité
Windows 8 et la sécurité : aperçu des nouvelles fonctionnalités
Il s’agit d’une présentation tronqué ne se voulant pas exhaustive de la sécurité de Windows 8. La sécurité applicative des appcontainer ne sera pas abordée dans le détail. Bien sûr il ne s’agit pas de la version finale.
L’objectif de Windows 8 est d’apporter une meilleur sécurité de bout en bout pour permettre la protection des données sensibles et l’accès aux ressources. Bien entendu, la résistance aux malwares est au coeur de la problématique, et Windows 8 se vera adjoint de série un anti-malware (Windows Security Essential version light?).
La cryptographie est une autre problématique, et le chiffrement des terminaux à évolué au sein de windows (Bitlocker notamment). Et pour finir, le contrôle d’accès qui, nous l’avont vu avec RDP, et l’AD est loin d’être une tâche simple.
Le slogan : sécurité pour des « styles de travail flexibles », et le BYOD viens d’être lâché. Sécuriser terminaux, connexions & ressources.
La résitance aux malwares est un vrai problème face à la diffusion massive d’outil de génération de malware, et de distribution (exploit kits n’ co). Vu que le malware essaye de se charger avant l’anti-virus voir même avant l’OS dans certains cas. Windows 8 va donc faire reposer une partie de sa sécurité sur l’UEFI et la puce TPM.
L’UEFI va permettre par exemple de garder dans une zone mémoire sécurisée la passphrase permettant de déverouiller le disque d’un serveur au reboot dans le cas d’un disque chiffré par bitlocker sur ce dernier. Apparament l’UEFI n’a que des avantages aux yeux de microsoft (boot graphique du bios, gestion des disques de grosse capacité, boot plus rapide etc…)
TPM de son coté à connu des évolutions, notamment la mise à jour des algo de chiffrement pour être compatibles avec les contraintes étatiques comme les algo du gouvernement chinois ou la possibilité pour les états d’imposer tel ou tel algo au distributeur du TPM. (NDLR: de là à dire que les algos en question contiennent des failles les rendant cassable…).
Pour aller avec l’UEFI et le TPM, Microsoft veut introduire un boot ELAM anti-malware miniature qui démarrera avant tout autre driver de l’OS pour pouvoir empécher un rootkit de contourner l’anti-malware (NDLR: on peut aussi imaginer une backdoor utilisant la même fonctionnalité.)
Grâce à TPM, il est possible de valider l’enchainement du boot, et de refuser le boot en cas de modification dans la chaine des composants lancés.
Une fois le BOOT sécurisé, TPM va permettre la mise en place de cartes à puce virtuelles. Ainsi un certain nombre de certificats seront chiffrés avec des clefs stockées dans le TPM. Et ainsi, on pourra avoir une authentification à deux facteurs sans utilisation de carte à puce externe.
DirectAccess est une fonctionnalité reposant sur IPV6 pour obtenir une communication chiffrée de bout en bout entre le terminal et le Système d’Information. La combinaison des deux est censé assurer un meilleur niveau de sécurité dans l’établissement des connexions.
Coté données et accès, BitLocker (et BitLocker to Go) présent depuis vista posent des problèmes de provisionnement et de préparation pour fournir des PC avec disque chiffré aux utilisateurs (le chiffrement complet du disque prend beaucoup de temps.). Vienne s’ajouter à l’existant, le support des SAN et des clusters de disque, ainsi que la mise à disposition d’un volume chiffré. Le problème avec bitlocker, c’est l’autonomie, vu que la crypto requiert du CPU, qui vient bouffer la batterie. La possibilité de chiffrer uniquement l’espace utilisé et non le contenu entier, ou bien le chiffrement du disque à l’install.
Pour les postes sans TPM, un Protector par mot de passe permet l’utilisation de bitlocker sur ces derniers. Un networkprotector viens s’adjoindre pour permettre l’utilisation d’un compte AD ou un groupe AD pour déverouiller un volume chiffré.
La récupération d’un volume chiffré lors de la perte de la clef ou d’une passphrase par l’utilisateur est un vrai problème pour un utilisateur final qui n’a pas la possibilité de stocker ses clefs dans l’AD… il pourra donc backuper ses clefs dans le cloud via SkyDrive. (NDLR: donne tes clefs aux USA…)
Protéger l’accès aux ressources, il s’agit d’ajouter au droits et permissions, une notion de contexte dynamique permettant par exemple de ne pas effectuer telle ou telle action si je me situe dans un lieu, réseau ou pays à risque. Il s’agit bien là d’une solution au BYOD, car il sera possible de décrire une politique sur la base de droits, de ressources mais aussi d’un contexte particulier avec la possibilité d’avoir des élèments d’expression d’une logique booléene classique (AND, OR…). (ndlr: debug de politiques de sécurité en vue).