Windows 10 : Microsoft vise haut pour la sécurité en entreprise

Et pour le commun des mortels ?
Logiciel 5 min
Windows 10 : Microsoft vise haut pour la sécurité en entreprise

Un nouveau billet sur un blog de Microsoft se penche sur une partie des améliorations de Windows 10 sur le chapitre de la sécurité, et plus particulièrement pour les entreprises. Protections des données, identification, résistance aux malwares ou encore contrôle fin du parc applicatif sont autant de thèmes abordés.

Mieux protéger l'identification en utilisant la machine comme partie de la clé

Le premier chapitre est celui de l’identification. Microsoft est consciente que les méthodes actuelles prouvent sans cesse leurs limites. Les vols de mots de passe sont légion et l’actualité ne fait que se renforcer, des sociétés du classement Fortune 500 étant désormais touchées, malgré toutes les protections mises en place.

 

L’idée est de modifier la manière dont on perçoit l’authentification à deux facteurs, qui en entreprise est souvent à des solutions telles que les smartcards. Comment ? En faisant de la machine elle-même et de l’utilisateur le duo qui sert à identifier ce dernier. L’ordinateur, la tablette ou le téléphone devient une partie de la clé, tandis que l’utilisateur fournit un code PIN ou, mieux, une empreinte digitale. Microsoft espère donc que ce type de lecteur se répandra encore davantage.

 

Cette situation correspond essentiellement à une protection d’entreprise, où la machine professionnelle représente donc une partie de l’équation. La seconde partie peut par contre venir du smartphone de l’utilisateur. C’est donc le téléphone qui agira comme une smartcard et déverrouillera l’accès à la machine, à des logiciels et services, à un réseau et ainsi de suite.

 

Cette solution peut prendre appui sur deux types infrastructures :

  • Windows fournit lui-même de manière chiffrée une paire de clés
  • Elle est installée comme une extension d’une infrastructure PKI (clé publique) existante

La firme ajoute que de nombreux produits dont les comptes Microsoft, Active Directory ou encore Azure Active Directory, seront mis à jour pour prendre en compte ce nouveau type d’authentification. Elle ajoute d’ailleurs que cette technologie a été pensée pour s’adapter sur d’autres plateformes et infrastructures, ce qu’il conviendra de vérifier quand elle sera réellement disponible.

Les jetons d'identification seront stockés dans un conteneur virtualisé 

La protection de l’identification enchaine naturellement sur celle de l’identité, qui circule dans le système sous la forme d’un jeton. Microsoft indique qu’il existe de nombreux types d’attaques qui visent à récupérer ces jetons puisqu’ils permettent de déverrouiller les ressources auxquelles un utilisateur a droit, sans posséder ses identifiants. De fait, améliorer la protection de l’identification ne servirait à rien si les vecteurs classiques d’attaques continuaient de fonctionner.

 

L’idée de l’éditeur est de changer l’architecture de stockage des jetons. Plutôt que de les enregistrer dans une zone protégée classique, Windows 10 va utiliser l’hyperviseur Hyper-V afin de créer un conteneur spécial et isolé. Microsoft explique que cette solution a pour avantage d’interdire toute extraction des données, y compris quand le noyau lui-même a été corrompu.

Séparer les données personnelles et professionnelles 

Après la protection de l’identification puis de l’identité elle-même, Microsoft passe ensuite à celle des données. Le problème est le suivant : les données sont souvent protégées tant qu’elles restent sur la machine, mais comment assurer qu’elles le restent quand elles en sortent. Une solution comme BitLocker (chiffrement intégral du disque dur) n’agit que de manière locale, et d’autres comme Azure Rights Management services et Information Rights Management requièrent au final que chaque utilisateur active bien la protection.

 

Dans Windows 10, on retrouvera une solution qui n’est pas sans rappeler ce que propose BlackBerry 10 : une séparation des données personnelles et professionnelles. Une fois la solution mise à jour, il sera simplement demandé aux utilisateurs à la création d’un document s’il s’agit d’un travail personnel ou qui concerne l’entreprise. Des règles peuvent dans tous les cas être mises en place à l’échelle de toute l’entreprise pour forcer tous les documents à être traités comme des données professionnelles, ce qui chiffre alors tous les échanges. Il sera également possible de bloquer toute copie d’un contenu protégé vers un document qui ne l’est pas ou vers une destination externe. Le processus est utilisable pour l’ensemble des applications professionnelles, données, emails et ainsi de suite.

De la souplesse pour les appareils mobiles et les VPN 

Puisqu’il s’agit d’une nouveauté liée à Windows 10 et que le système doit être présent également sur les tablettes et smartphones, ces derniers seront compatibles notamment avec les données chiffrées et protégées par ce biais. Les smartphones obéiront aux mêmes règles que les ordinateurs dans l’entreprise et l’administrateur pourra par exemple définir quelles applications ont le droit d’accéder à ces précieuses données.

 

La connectivité mobile amène également la question des VPN. Microsoft indique avoir reçu à ce sujet de nombreuses demandes pour assouplir leur utilisation. De nouvelles options ont donc été ajoutées pour permettre, par exemple, une connectivité permanente via un VPN ou au contraire une limitation du réseau privé aux seules applications qui ont été autorisées. D’ailleurs, l’administrateur pourra construire deux types de listes, l’une pour les applications autorisées (opt-in), l’autre pour les applications interdites (opt-out).

Le choix d'un environnement où tout est contrôlé

La dernière partie du billet est consacrée à la résistance aux malwares, et ici les choses se compliquent un peu. Windows 10 peut autoriser en effet les entreprises à bloquer complètement le fonctionnement des machines pour n’autoriser expressément qu’un petit nombre d’applications et de services dont les signatures ont été reconnues par la société de Redmond. L’accès au service de signature se fera par un processus d’examen dont la firme indique qu’il sera similaire à celui utilisé pour ses boutiques d’applications, quand elle se renseigne sur l’éditeur qui souhaite publier sa création.

 

Il s’agirait donc d’un environnement ultra-contrôlé dans lequel l’ensemble des applications et services devrait « montrer patte blanche » et prouver ce qu’ils sont. Mais à la différence de Windows Phone, le système sera applicable à tout ce qui est capable de s’exécuter sur le bureau de Windows 10, ce qui signifie bien sûr les applications ModernUI, mais également tout ce qui touche à Win32. Une manière pour Microsoft de confirmer ce qui avait été annoncé en septembre : le bureau de Windows 10 doit réconcilier tous les utilisateurs.

 

On remarquera cependant que la grande majorité de ce qui est présenté dans ce billet concerne surtout l’entreprise. On imagine que la nouvelle authentification à deux facteurs pourra tout à fait être utilisée par le grand public, mais l’infrastructure prévue pour résister aux malwares est inexploitable chez l’utilisateur lambda. Il est cependant précisé que Microsoft n’a pas tout dit sur le chapitre de la sécurité et on attend donc de voir ce que le système aura à offrir pour le commun des mortels.

Vous n'avez pas encore de notification

Page d'accueil
Options d'affichage
Actualités
Abonné
Des thèmes sont disponibles :
Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !