Chris Hallum, responsable de la sécurité pour Windows et Windows Phone chez Microsoft, est intervenu il y a quelques jours chez TechRadar pour expliquer en détails la sécurité qui serait proposée aux entreprises sous Windows 10. Tout reposera sur un mini système d’exploitation et des conteneurs sécurisés.
Virtual Secure Mode, un système dans le système
Pour Microsoft, Windows 10 représentera avant tout un important bond en avant dans la sécurité : la firme n’espère rien de moins que la quasi-défense ultime contre les malwares avec un système de conteneurs qui seront complètement isolés du reste de Windows. Ces conteneurs pourront embarquer de nombreuses données sensibles, mais les explications données par Chris Hallum sont pour l’instant surtout valables dans le monde de l’entreprise.
Il s’agit un peu de la résurgence du programme NGSCB (Next-Generation Secure Computing Base) et les conséquences en seront nombreuses. Au sein de Windows 10 Enterprise, on trouvera ainsi un autre système d’exploitation miniature, qui tiendra dans environ 1 Go de mémoire vive et fonctionnera dans une machine virtuelle gérée par Hyper-V. Ce « mini OS », nommé Virtual Secure Mode (VSM), sera chargé de créer des conteneurs sécurisés en fonction du contexte et des demandes de l’utilisateur.
L’un des cas d’utilisation les plus importants concernera la gestion des identifiants. Qu’il s’agisse d’un code personnel, professionnel ou encore bancaire, chacun sera géré par un conteneur différent. Pour déverrouiller ces boites blindées, il faudra utiliser une authentification à deux facteurs, le second étant la puce TPM (Trusted Platform Module) que l’on trouve souvent dans les ordinateurs professionnels, un lecteur d’empreintes digitales ou encore le smartphone (Windows Phone, Android, iOS et plus tard BlackBerry sans doute). La session Windows sera également concernée et un code PIN pourra être paramétré, mais plus question de quatre chiffres : la chaine pourra compter jusqu’à 20 caractères, incluant les chiffres, les lettres (majuscules et minuscules), les espaces ainsi que les symboles.
Pour Chris Hallum, l’avantage de la solution retenue est qu’elle est flexible puisqu’elle peut utiliser tous les moyens d’authentification actuellement disponibles. Il espère d’ailleurs que cette facilité d’intégration encouragera les administrateurs à mettre en place systématiquement ces moyens. En outre, le système devrait recevoir l’estampille de l’alliance FIDO (Fast IDentity Online). Il ajoute : « Ce sera une réussite. Vous allez voir un grand nombre de services grand public comme Netflix [l'employer]. Ils savent combien cela est important pour les transactions, pour le contenu et pour les services ». En outre, les applications, si elles ont été développées correctement, devraient automatiquement être compatibles. On imagine évidemment que les éditeurs devront vérifier ce point.
Des jetons en théorie hors de portée des pirates
Mais le système de conteneurs a de plus amples répercussions que sur la seule gestion des identifiants. Les jetons (tokens) de sécurité seront également pris en charge. Par exemple, ceux concernant les droits locaux et les droits Active Directory seront séparés, au sein du Virtual Secure Mode (le mini système). Hallum explique : « Une fois que les pirates ont un jeton, ils ont votre identité, c’est aussi efficace que d’avoir votre identifiant et votre mot de passe. Ils obtiennent des droits administrateur et exécutent un outil pour extraire le jeton et le prendre, et ils peuvent ensuite se déplacer dans le réseau pour accéder à tous les serveurs sans jamais qu’on leur demande le moindre mot de passe ». Une technique connue sous le nom de « Pass the Hash ».
La différence avec la gestion actuelle est que les mots de passe se trouvent dans un magasin spécial qui reste, en dépit de ses protections, susceptible d’être compromis par des malwares ou des applications possédant un haut degré de privilèges. Les conteneurs sont au contraire isolés et ne peuvent pas être accédés de cette manière, pas même par le noyau de Windows s’il devait à son tour être compromis.
Isoler aussi le service de vérification d'intégrité du code
Les conteneurs peuvent également être utilisés pour le Windows 10 Enterprise Lockdown. Dans ce cas, ce service de vérification d’intégrité du code autorisé à être exécuté sera lui aussi isolé. Même bénéfice alors que précédemment : même en cas de noyau corrompu, un attaquant ne pourrait pas faire exécuter du code non autorisé, ou couper le service qui effectue cette vérification. On parle ici d’applications signées et expressément autorisées par l’entreprise. Notez que ces fonctionnalités ne pourront être utilisées que par des machines disposant d’un UEFI et d’un processeur supportant l’accélération matérielle de la virtualisation (ce qui est le cas de tous les processeurs récents).
Ajoutons enfin que les conteneurs pourront embarquer également les fichiers chiffrés, à raison d'un par fichier.
Microsoft ne veut pas écarter tous les risques pour autant
Chris Hallum prévient cependant que même s’il s’agit d’une avancée majeure dans la sécurité, aucun système n’est infaillible : « Nous ne pouvons pas promettre que la technique Pass the Hash deviendra impossible, il pourrait y avoir des bugs dans notre implémentation. Mais il s’agit d’une solution architecturelle conçue pour la prévenir plutôt qu’une simple défense qui ne faisait que la rendre plus difficile. […] Je ne veux pas dire que nous avons résolu le problème de l’identité, mais c’est tellement considérable comparé à tout ce que nous avons fait par le passé ».
Signalons quand même que si Microsoft détaille largement ce qui sera mis en place pour les entreprises, il lui reste à fournir ce même degré d’informations pour le grand public. Comme le précise Chris Hallum en effet, toutes ces fonctionnalités ne seront utilisables que dans un environnement Windows 10 Server, ce qui laisse supposer que les informations n’ont pas fini de pleuvoir.