Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Windows 10 : Microsoft vise haut pour la sécurité en entreprise

Et pour le commun des mortels ?
Logiciel 5 min
Windows 10 : Microsoft vise haut pour la sécurité en entreprise

Un nouveau billet sur un blog de Microsoft se penche sur une partie des améliorations de Windows 10 sur le chapitre de la sécurité, et plus particulièrement pour les entreprises. Protections des données, identification, résistance aux malwares ou encore contrôle fin du parc applicatif sont autant de thèmes abordés.

Mieux protéger l'identification en utilisant la machine comme partie de la clé

Le premier chapitre est celui de l’identification. Microsoft est consciente que les méthodes actuelles prouvent sans cesse leurs limites. Les vols de mots de passe sont légion et l’actualité ne fait que se renforcer, des sociétés du classement Fortune 500 étant désormais touchées, malgré toutes les protections mises en place.

 

L’idée est de modifier la manière dont on perçoit l’authentification à deux facteurs, qui en entreprise est souvent à des solutions telles que les smartcards. Comment ? En faisant de la machine elle-même et de l’utilisateur le duo qui sert à identifier ce dernier. L’ordinateur, la tablette ou le téléphone devient une partie de la clé, tandis que l’utilisateur fournit un code PIN ou, mieux, une empreinte digitale. Microsoft espère donc que ce type de lecteur se répandra encore davantage.

 

Cette situation correspond essentiellement à une protection d’entreprise, où la machine professionnelle représente donc une partie de l’équation. La seconde partie peut par contre venir du smartphone de l’utilisateur. C’est donc le téléphone qui agira comme une smartcard et déverrouillera l’accès à la machine, à des logiciels et services, à un réseau et ainsi de suite.

 

Cette solution peut prendre appui sur deux types infrastructures :

  • Windows fournit lui-même de manière chiffrée une paire de clés
  • Elle est installée comme une extension d’une infrastructure PKI (clé publique) existante

La firme ajoute que de nombreux produits dont les comptes Microsoft, Active Directory ou encore Azure Active Directory, seront mis à jour pour prendre en compte ce nouveau type d’authentification. Elle ajoute d’ailleurs que cette technologie a été pensée pour s’adapter sur d’autres plateformes et infrastructures, ce qu’il conviendra de vérifier quand elle sera réellement disponible.

Les jetons d'identification seront stockés dans un conteneur virtualisé 

La protection de l’identification enchaine naturellement sur celle de l’identité, qui circule dans le système sous la forme d’un jeton. Microsoft indique qu’il existe de nombreux types d’attaques qui visent à récupérer ces jetons puisqu’ils permettent de déverrouiller les ressources auxquelles un utilisateur a droit, sans posséder ses identifiants. De fait, améliorer la protection de l’identification ne servirait à rien si les vecteurs classiques d’attaques continuaient de fonctionner.

 

L’idée de l’éditeur est de changer l’architecture de stockage des jetons. Plutôt que de les enregistrer dans une zone protégée classique, Windows 10 va utiliser l’hyperviseur Hyper-V afin de créer un conteneur spécial et isolé. Microsoft explique que cette solution a pour avantage d’interdire toute extraction des données, y compris quand le noyau lui-même a été corrompu.

Séparer les données personnelles et professionnelles 

Après la protection de l’identification puis de l’identité elle-même, Microsoft passe ensuite à celle des données. Le problème est le suivant : les données sont souvent protégées tant qu’elles restent sur la machine, mais comment assurer qu’elles le restent quand elles en sortent. Une solution comme BitLocker (chiffrement intégral du disque dur) n’agit que de manière locale, et d’autres comme Azure Rights Management services et Information Rights Management requièrent au final que chaque utilisateur active bien la protection.

 

Dans Windows 10, on retrouvera une solution qui n’est pas sans rappeler ce que propose BlackBerry 10 : une séparation des données personnelles et professionnelles. Une fois la solution mise à jour, il sera simplement demandé aux utilisateurs à la création d’un document s’il s’agit d’un travail personnel ou qui concerne l’entreprise. Des règles peuvent dans tous les cas être mises en place à l’échelle de toute l’entreprise pour forcer tous les documents à être traités comme des données professionnelles, ce qui chiffre alors tous les échanges. Il sera également possible de bloquer toute copie d’un contenu protégé vers un document qui ne l’est pas ou vers une destination externe. Le processus est utilisable pour l’ensemble des applications professionnelles, données, emails et ainsi de suite.

De la souplesse pour les appareils mobiles et les VPN 

Puisqu’il s’agit d’une nouveauté liée à Windows 10 et que le système doit être présent également sur les tablettes et smartphones, ces derniers seront compatibles notamment avec les données chiffrées et protégées par ce biais. Les smartphones obéiront aux mêmes règles que les ordinateurs dans l’entreprise et l’administrateur pourra par exemple définir quelles applications ont le droit d’accéder à ces précieuses données.

 

La connectivité mobile amène également la question des VPN. Microsoft indique avoir reçu à ce sujet de nombreuses demandes pour assouplir leur utilisation. De nouvelles options ont donc été ajoutées pour permettre, par exemple, une connectivité permanente via un VPN ou au contraire une limitation du réseau privé aux seules applications qui ont été autorisées. D’ailleurs, l’administrateur pourra construire deux types de listes, l’une pour les applications autorisées (opt-in), l’autre pour les applications interdites (opt-out).

Le choix d'un environnement où tout est contrôlé

La dernière partie du billet est consacrée à la résistance aux malwares, et ici les choses se compliquent un peu. Windows 10 peut autoriser en effet les entreprises à bloquer complètement le fonctionnement des machines pour n’autoriser expressément qu’un petit nombre d’applications et de services dont les signatures ont été reconnues par la société de Redmond. L’accès au service de signature se fera par un processus d’examen dont la firme indique qu’il sera similaire à celui utilisé pour ses boutiques d’applications, quand elle se renseigne sur l’éditeur qui souhaite publier sa création.

 

Il s’agirait donc d’un environnement ultra-contrôlé dans lequel l’ensemble des applications et services devrait « montrer patte blanche » et prouver ce qu’ils sont. Mais à la différence de Windows Phone, le système sera applicable à tout ce qui est capable de s’exécuter sur le bureau de Windows 10, ce qui signifie bien sûr les applications ModernUI, mais également tout ce qui touche à Win32. Une manière pour Microsoft de confirmer ce qui avait été annoncé en septembre : le bureau de Windows 10 doit réconcilier tous les utilisateurs.

 

On remarquera cependant que la grande majorité de ce qui est présenté dans ce billet concerne surtout l’entreprise. On imagine que la nouvelle authentification à deux facteurs pourra tout à fait être utilisée par le grand public, mais l’infrastructure prévue pour résister aux malwares est inexploitable chez l’utilisateur lambda. Il est cependant précisé que Microsoft n’a pas tout dit sur le chapitre de la sécurité et on attend donc de voir ce que le système aura à offrir pour le commun des mortels.

67 commentaires
Avatar de 5h31k INpactien
Avatar de 5h31k5h31k- 23/10/14 à 12:36:14

article a écrit :

La dernière partie du billet est consacrée à la résistance aux malwares, et ici les choses se compliquent un peu. Windows 10 peut autoriser en effet les entreprises à bloquer complètement le fonctionnement des machines pour n’autoriser expressément qu’un petit nombre d’applications et de services dont les signatures ont été reconnues par la société de Redmond.

On pourra enfin empêcher Windows de discuter avec le reste du monde? (comme sur un GNU/Linux)

Enfin, que de bonne nouvelle tout ça.

Avatar de Jaer INpactien
Avatar de JaerJaer- 23/10/14 à 12:37:26

C'est vrai que Microsoft fais tout pour se réconcilier avec les entreprises suite au flop windows 8, qui n'avait pas convaincu.
De plus, les adeptes de la sécurité apprécieront.

Avatar de Lafisk INpactien
Avatar de LafiskLafisk- 23/10/14 à 12:42:38

Windows 8 n'etait pas destine aux entreprises a la base ... c'etait concentre sur les usages multimedias donc bon normal que les entreprises n'y est pas switche de toute facon beaucoup venaient a peine de switcher sur w7 il etait donc previsible qu'elles feraient l'impasse sur w8.

Avatar de MasterDav INpactien
Avatar de MasterDavMasterDav- 23/10/14 à 12:43:35

tandis que l’utilisateur fournit [...] une empreinte digitale. Microsoft espère donc que ce type de lecteur se répandra encore davantage.

Vaudrait mieux que ça se démocratise, parce qu'au jour d'aujourd'hui il n'y a rien d'accessible simplement sur le marché pour les particuliers.
Le pire c'est que Microsoft a arrêté la vente de son lecteur d'empreintes il y a belle lurette.
Et bien sûr, les logiciels fournis sont très limités et ne permettent pas de se passer entièrement des mots de passe...

edit: d'ailleurs si quelqu'un connait un moyen simple et fiable de remplacer tous ses mots de passes par un swipe sur le lecteur d'empreintes, que ça soit pour la session windows, internet, les jeux et les applis, je suis preneur.
En tous cas perso j'ai cherché mais j'ai pas trouvé.

Édité par MasterDav le 23/10/2014 à 12:47
Avatar de Soltek INpactien
Avatar de SoltekSoltek- 23/10/14 à 12:46:13

Et pour le commun des mortels ?

Il s'en fout.

MasterDav a écrit :

Vaudrait mieux que ça se démocratise, parce qu'au jour d'aujourd'hui il n'y a rien d'accessible simplement sur le marché pour les particuliers.

Ça tombe bien c'est destiné aux entreprises.

Avatar de charon.G Abonné
Avatar de charon.Gcharon.G- 23/10/14 à 12:47:14

Par rapport au paragraphe sur les jetons d'identifications dans un conteneur virtualisé ça ressemble fortement au fonctionnement de NGSCB 

« With Windows 10 we aim to eliminate this type of attack with an architectural solution that stores user access tokens  within a secure container running on top of Hyper-V technology. This solution prevents the tokens from being extracted from  devices even in cases where the Windows kernel itself has been compromised. »

  Source     Source2     « The Nexus may be implemented, for example, by combining a virtual-machine hypervisor with a trusted guest operating system» Source3 « Prototyped a guest-partition authorization infrastructure that integrated components from the Singularity research 
operating system, the SecPAL authorization engine, and the Hyper-V hypervisor. »

                  Source4                        
  NGSCB était un os de sécurité qui tournait séparément de Windows dans une machine virtuelle pour gérer la sécurité dans Windows.
Par la suite ils ont bossé sur un projet similaire qui se base sur un noyau Singularity et SecPal.

Édité par charon.G le 23/10/2014 à 12:51
Avatar de maverick78 Abonné
Avatar de maverick78maverick78- 23/10/14 à 12:48:16

MasterDav a écrit :

Et bien sûr, les logiciels fournis sont très limités et ne permettent pas de se passer entièrement des mots de passe...

En entreprise, remplacer le mot de passe n'est jamais le but, c'est plutôt d'avoir des moyens d'authentification multi-facteurs.

Avatar de MasterDav INpactien
Avatar de MasterDavMasterDav- 23/10/14 à 12:49:01

Ça tombe pas bien, c'est juste débile de réserver les lecteurs d'empreintes digitales aux seules entreprises.
Surtout que même les smartphones commencent à s'y mettre...

Avatar de MasterDav INpactien
Avatar de MasterDavMasterDav- 23/10/14 à 12:50:00

C'est pas faute d'avoir précisé "pour les particuliers".

Avatar de eliumnick INpactien
Avatar de eliumnickeliumnick- 23/10/14 à 12:53:25

Dans ma boite, on a déjà tout un tas de "règles de sécurités" tellement bien pensé, que pour pouvoir faire notre boulot on est obligé de les contourner. Avec ce que propose MS pour windows 10, je sais que ma boite va se jeter dessus, et la on ne pourra plus rien faire du tout.

A force de vouloir tout "sécuriser" il ne faut pas oublier qu'un ordinateur est un outil, et que donc il doit pouvoir servir à travailler :(

Il n'est plus possible de commenter cette actualité.
Page 1 / 7
  • Introduction
  • Mieux protéger l'identification en utilisant la machine comme partie de la clé
  • Les jetons d'identification seront stockés dans un conteneur virtualisé 
  • Séparer les données personnelles et professionnelles 
  • De la souplesse pour les appareils mobiles et les VPN 
  • Le choix d'un environnement où tout est contrôlé
S'abonner à partir de 3,75 €