Sécurité : des chercheurs demandent à Microsoft de ne pas abandonner EMET

Sécurité : des chercheurs demandent à Microsoft de ne pas abandonner EMET

EMET dans le Brown

Avatar de l'auteur
Vincent Hermann

Publié dans

Logiciel

24/11/2016 6 minutes
40

Sécurité : des chercheurs demandent à Microsoft de ne pas abandonner EMET

Début novembre, Microsoft annonçait le retrait de son outil de sécurité EMET à la fin de son cycle actuel de vie, soit en juillet 2018. Un outil apprécié dont certains craignent déjà le départ. Des chercheurs demandent ainsi à l’éditeur de renoncer à cette retraite.

La sécurité de Windows est probablement l’un des sujets les plus débattus et les plus riches. Avec une part de marché écrasante, le poids pesant sur les épaules de Microsoft est difficilement comparable à celui des autres systèmes. Non qu’il faille plaindre l’entreprise : elle a œuvré dans ce sens. Mais en 2004 et 2005, quand son Windows XP a commencé à crouler sous les attaques, elle a dû changer son fusil d’épaule.

La marche continue (et forcée) de la sécurité sous Windows

L’explosion d’Internet au début des années 2000 a largement simplifié l’exploitation des failles. Il n’était plus vraiment question de circulation de CD ou de DVD, mais d’une activation distante. Ce fut notamment la grande époque des vers Blaster et Sasser, qui pouvaient attaquer en quelques minutes n’importe quel Windows XP connecté et qui n’avait pas la mise à jour idoine. À tel point que Microsoft avait pratiquement stoppé le développement de Vista pour se concentrer sur le Service Pack 2 de XP.

Depuis, chaque Windows a intégré un nombre croissant de protections. Le SP2 avait par exemple implémenté une version maison du « NX bit », la DEP (Data Execution Prevention). Vista est allé plus loin avec l’un des principaux apports dans ce domaine, l’ASLR (Address space layout randomization), qui permet d’affecter des zones mémoire aléatoires à des composants clés afin que les malwares ne puissent plus les chercher sur cette seule information.

EMET, l'outil d'atténuation des risques

Cependant, et c’est ici qu’EMET (Enhanced Mitigation Experience Toolkit) intervient, il existe une limite à ce que peut faire un système d’exploitation – dans l’état actuel des choses – sans rendre l’utilisation du produit plus « pénible » pour l’utilisateur. C’est la difficile thématique du curseur se déplaçant entre la sécurité et la facilité d’utilisation.

EMET est donc un outil proposé depuis longtemps par Microsoft pour ceux qui veulent renforcer la sécurité, au détriment parfois de la simplicité. Il permet de forcer différents niveaux de protection sur les composants et logiciels, en forçant par exemple ces derniers à utiliser des techniques comme le DEP et l’ASLR, même quand ils n’ont pas été prévus pour. Avec parfois bien sûr un risque de mauvais fonctionnement, mais une barrière plus ou moins forte en cas de faille 0-day contre un élément n'ayant encore aucun correctif.

Microsoft veut arrêter EMET, l'université Carnegie Mellon pointe le danger

Or, Microsoft veut se débarrasser d’EMET. Pourquoi ? Parce que Windows 10 est arrivé entre temps. Dans son billet du 3 novembre, l’éditeur fait la liste des protections intégrées au système et qui n’étaient pas présentes avant, notamment dans Windows 7 qui sert souvent pour les comparaisons. Conscient toutefois de la grogne des utilisateurs d’EMET, la firme avait indiqué que la date initiale d’arrêt, le 27 janvier prochain, avait été repoussée au 31 juillet 2018.

Pour les chercheurs de l’université de Carnegie Mellon, ce n’est pas suffisant. Leur CERT (Computer emergency response teams) a publié récemment un véritable plaidoyer pour que Microsoft revienne sur sa décision. Pourquoi ? Parce que Windows, même dans sa version 10, sera toujours beaucoup mieux protégé avec EMET que sans. D’ailleurs, dans un tableau qui fait l’inventaire des fonctionnalités, on voit clairement que Windows 7 avec EMET reste bien mieux protégé qu’un Windows 10 classique (mais moins qu’un Windows 10 avec EMET).

Les chercheurs accusent Microsoft de mentir quand elle explique que Windows 10 n’a plus besoin d’EMET et que toutes les protections ont été intégrées. Ce qui est vrai pour le « tronc principal », mais l’entreprise omet un point important : la possibilité de forcer ces sécurités pour chaque application. Windows 10 n’offre effectivement par cette capacité, à moins justement qu’on ne lui adjoigne EMET.

Windows emet
Crédits : Carnegie Mellon

Le problème des sécurités forcées

Le CERT de l’université tient à faire le distinguo sur l’importance de l’outil. Les chercheurs reconnaissent que Windows 10 intègre effectivement de très bons outils de sécurité et autres mesures d’atténuation des risques, mais les logiciels doivent avoir été spécifiquement compilés pour en tirer parti. EMET, à l’inverse, force automatiquement les mesures, au risque de créer parfois une incompatibilité.

En prévoyant l’arrêt du support d’EMET pour juillet 2018, Microsoft laisse certes 18 mois supplémentaires aux entreprises pour s’y adapter. Mais les chercheurs pointent le danger inhérent à ce recul : quand le support s’arrêtera, d’autres logiciels de Microsoft, notamment Office 2007, ne seront plus supportés non plus. D’où l’intérêt de continuer à proposer l’outil, qui atténue sérieusement le risque de voir des failles 0-day exploitées.

Certaines mesures peuvent être manuellement appliquées

L’université précise cependant plusieurs points. D’abord, que l’arrêt du support d’EMET ne signifie pas qu’il arrêtera de fonctionner. Il ne sera cependant plus mis à jour, Microsoft ne fournira plus d’aide, et il sera sans doute plus difficile à télécharger. Ensuite, que d’un simple point de vue atténuation des risques, migrer vers Windows 10 est une bonne idée, de même qu’installer EMET tant que c’est possible (et si le besoin s’en fait sentir).

Enfin, que certaines actions accomplies par EMET peuvent être réalisées manuellement. C’est notamment le cas de l’activation du DEP et de l’ASLR à l’échelle du système entier. Les chercheurs fournissent la marche à suivre, qui passe par une commande et l’édition du registre. Mais attention, certains logiciels peuvent ne pas être compatibles, auxquels cas ils ne fonctionneront plus. Il n’y aura alors pas de solution miracle : désactiver la protection « fautive » ou se passer du logiciel.

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

La marche continue (et forcée) de la sécurité sous Windows

EMET, l'outil d'atténuation des risques

Microsoft veut arrêter EMET, l'université Carnegie Mellon pointe le danger

Le problème des sécurités forcées

Certaines mesures peuvent être manuellement appliquées

Commentaires (40)


Putain le sous titre&nbsp;<img data-src=" /><img data-src=" /><img data-src=" />



La news n’a pas la moindre importance auj regard de ce sous titre&nbsp;<img data-src=" />


Ah EMET ! Un outil Microsoft qui arrivait à faire planter toutes mes appli Office 365 quand je les lançais. Vite désinstallé à l’époque.


Si j’ai bien compris EMET force la sécurité quand des logiciels ont conçus sans cette optique et les utilisateurs râlent car son abandon signifie qu’il faudrait demander à tous les éditeurs de se remettre à concevoir leur logiciel dans un soucis de sécurité.



&nbsp;Je comprends que MS souhaite se débarrasser de sa dette historique et il faudrait que les utilisateurs l’acceptent aussi: windows XP ne marchera pas Ad vitam æternam et les logiciels basé sur win32 n’ont plus.


Ah les bonnes références!


EMET est une plaie à configurer. Je conseille MalwareBytes anti Exploit et un firewall avec HIPS.


Jamais eu de pb avec EMET depuis 4 ans que je l’utilise avec tout à max… sauf une fois sur win2003 avec office 2003. Réduire les réglages a suffi








Soriatane a écrit :



Si j’ai bien compris EMET force la sécurité quand des logiciels ont conçus sans cette optique et les utilisateurs râlent car son abandon signifie qu’il faudrait demander à tous les éditeurs de se remettre à concevoir leur logiciel dans un soucis de sécurité.



&nbsp;Je comprends que MS souhaite se débarrasser de sa dette historique et il faudrait que les utilisateurs l’acceptent aussi: windows XP ne marchera pas Ad vitam æternam et les logiciels basé sur win32 n’ont plus.







EMET n’a pas été développé pour les utilisateurs lambda mais plus pour les power users et encore.



<img data-src=" /> et c’est uniquement parce qu’on n’a pas le :douze:








Poppu78 a écrit :



<img data-src=" /> et c’est uniquement parce qu’on n’a pas le :douze:





Faudrait le “88”&nbsp;<img data-src=" />



Oui, mais EMET dédoigne les éditeurs de concevoir des logiciels qui intègre la sécurité dès sa conception.



Et sa suppression obligerait les éditeurs à se bouger le cul.


Je ne connaissais pas EMET, comme sans doute 99% des utilisateurs Windows. C’est vraiment utile ? ou bien un truc plus chiant à configurer qu’autre chose ?








Soriatane a écrit :



Oui, mais EMET dédoigne les éditeurs de concevoir des logiciels qui intègre la sécurité dès sa conception.



Et sa suppression obligerait les éditeurs à se bouger le cul.







Ça les dedoines déjà, l’arrêt ne changera pas grand chose pour les softs dev sans DEP et/ou ASLR.







spidermoon a écrit :



Je ne connaissais pas EMET, comme sans doute 99% des utilisateurs Windows. C’est vraiment utile ? ou bien un truc plus chiant à configurer qu’autre chose ?







Ce n’est pas faut pour les utilisateurs lambda, pour ça que c’est peu connu.

Pour donner une idée, je crois que aucun IE avec EMET actif n’est tombé lors des concours de crack.




Plus chiant à configurer qu’autre chose… Mais c’est comme ça.. Généralement une bonne sécurité implique de mettre les mains dans le cambouis et de pas tout laisser en conf par défaut…


sous titre de compétition <img data-src=" />


Ce sous titre de la folie ! Un bon 12.21 / &nbsp;10 !&nbsp;




Ah au fait :&nbsp;      





“Ce qui est vrai pour le «&nbsp;tronc principal&nbsp;», mais l’entreprise omet un point important&nbsp;: la possibilité de forcer ces sécurités pour chaque application.&nbsp;Windows 10&nbsp;n’offre effectivement par cette capacité, à moins justement qu’on ne lui adjoigne&nbsp;EMET justement.”



&nbsp;Justement.








Mr.Nox a écrit :



Pour donner une idée, je crois que aucun IE avec EMET actif n’est tombé lors des concours de crack.





Il y a eu quelques contournements d’EMET dans le passé :&nbsp;

https://www.exploit-db.com/exploits/35273/

https://bromiumlabs.files.wordpress.com/2014/02/bypassing-emet-4-1.pdf



Mais ça ne m’empêche pas de l’utiliser, ça protège de tous les exploits génériques des toolkits.









spidermoon a écrit :



Je ne connaissais pas EMET, comme sans doute 99% des utilisateurs Windows. C’est vraiment utile ? ou bien un truc plus chiant à configurer qu’autre chose ?





C’est utile comme d’avoir un anti-virus ou tes logiciels à jour. La différence est que contrairement aux anti-virus et mises à jours de sécurité, lui fait de la prévention en bouchant les trous de façon génériques, alors que les mises à jours de sécurité bouchent les trous lorsque quelqu’un les a trouvés, et les antivirus lorsque un virus qui utilise les trous est trouvé. Comme les gros éditeurs sont normalement assez réactifs pour les corrections, c’est surtout utile si tu utilises des logiciels qui ne sont pas ou mal maintenus. C’est également intéressant si tu travailles sur quelque chose de critique, qui fait que tu as plus de risque d’être attaqués par des gens susceptibles de connaitre de nouvelles failles non connus des éditeurs, donc non-patchées.&nbsp;



&nbsp;



mooms a écrit :



EMET est une plaie à configurer. Je conseille MalwareBytes anti Exploit et un firewall avec HIPS.



Je me souviens vraiment pas avoir eu du mal à le configurer, je pense que ça dépend des logiciels que tu utilises. Que fait MalwareBytes anti-exploit comparé à EMET ?&nbsp;





Soriatane a écrit :



Si j’ai bien compris EMET force la sécurité quand des logiciels ont conçus sans cette optique et les utilisateurs râlent car son abandon signifie qu’il faudrait demander à tous les éditeurs de se remettre à concevoir leur logiciel dans un soucis de sécurité.



&nbsp;Je comprends que MS souhaite se débarrasser de sa dette historique et il faudrait que les utilisateurs l’acceptent aussi: windows XP ne marchera pas Ad vitam æternam et les logiciels basé sur win32 n’ont plus.





Le problème c’est qu’EMET ajoute de la sécurité a des logiciels qui ne sont plus maintenus, mais qui fonctionnent toujours sur des windows maintenus. C’est forcément dommage de perdre cet outils. Microsoft a voulu intégrer les fonctionnalités d’EMET dans Windows pour s’en débarrasser, mais n’a pas tout mis donc au final on a une régression.









Soriatane a écrit :



Oui, mais EMET dédoigne les éditeurs de concevoir des logiciels qui intègre la sécurité dès sa conception.



Et sa suppression obligerait les éditeurs à se bouger le cul.





Vu le nombre d’éditeur qui demandent la suppression manuelle des protection, je ne parierai pas la dessus









Soriatane a écrit :



Oui, mais EMET dédoigne les éditeurs de concevoir des logiciels qui intègre la sécurité dès sa conception. Et sa suppression obligerait les éditeurs à se bouger le cul.









  1. A part une démonstration formelle (pour des cas très particuliers), il n’existe pas de moyen d’écrire une application sans AUCUNE erreur. Bref, on peut poser comme postulat que toute application a au moins une erreur… et donc une probabilité non nulle que cette erreur puisse être utilisée pour contourner une sécurité.



  2. La sécurité ne se résume pas à un éditeur qui fournit une application sans aucun bug. Il y a aussi la configuration de l’application, son intégration avec d’autres applications, et son exploitation par l’utilisateur final. Tous ces maillons sont potentiellement une cause d’erreur… et donc une probabilité bla bla bla…



    C’est pour cela qu’on ne peut pas se reposer sur l’idée de la “sécurité par conception”. La sécurité c’est surtout “a l’usage” =&gt; des procédures, des règles et des outils dédiés a maintenir la sécurité.



C’est un vrai retour vers le futur cette news…..

Bravo le sous titre….


Pareil, j’ai pas lu la news, je ne sais même pas ce qu’est EMET, mais le sous titre mérite le détour&nbsp;<img data-src=" />



Bon je lirais ça demain quand même.


&nbsp; À propos de win32 :

Jamais il ne sera abandonné, il y a trop de logiciels pro qui tournent là-dessus. Si un jour microsoft sort une version de windows qui ne supporte pas win32 ce sera un échec commercial, comme windows rt.

Recoder toutes ces applications prendrait des années pour un gain de productivité nul. En 2100 il y aura encore des applications win32.








H2O a écrit :



Recoder toutes ces applications prendrait des années pour un gain de productivité nul.





tu as pris en compte le fait que Microsoft a fourni un outil permettant de “convertir” une application Win32 en UWP?



Oùlà, ça pique ! Dédouane s’il vous plaît !



Sinon, oui EMET est un très bon outils et en le mettant à fond, je n’ai jamais eu de problème non-plus.


Ce n’est pas une conversion, juste un encapsulage pour rajouter la sécurité inhérente au Store à des applications win32.



L’étape suivante, ça sera d’utiliser des contenaires win32 qui seront isolés du reste du système. Et à terme, tout en UWP.


pour ça que j’ai mis convertir entre guillemets :p


Merci, enfin un post correctif juste ^^!








zethoun a écrit :



tu as pris en compte le fait que Microsoft a fourni un outil permettant de “convertir” une application Win32 en UWP?





Tu as pris en compte le fait que certaines applications professionnelles codées en win32 utilisent du hardware spécialisé comme des cartes GPIO accessibles via des instructions IN et OUT ? On met un Arduino à la place ?



D’accord que la sécurité n’est pas donné par un outil magique, mais je trouve que certains éditeurs sont plus que léger quand ils conçoivent leur logiciel qui manipule des données destinées à être confidentiel.


Nom de zeus!<img data-src=" />


Non, on ne met pas un Arduino, on sépare l’application et le driver. Bref, on fait du logiciel, pas de la bidouille.








fred42 a écrit :



Non, on ne met pas un Arduino, on sépare l’application et le driver. Bref, on fait du logiciel, pas de la bidouille.





Bien. T’expliqueras ça au fabricant des spectromètres de masse que le labo doit utiliser.

&nbsp;





[…] mais les logiciels doivent avoir été spécifiquement compilés pour en tirer parti.



Quelqu’un peut m’en dire plus à ce sujet ? Les applications développées sous la plateforme .NET en bénéficie automatiquement ?


En fait EMET fournit des algorithmes améliorés de DEP/ASLR. Ce sont toutes des technologies qui luttent contre les buffer overflow. A moins que tu es spécifiquement intégré du code unsafe. Les applications .NET ne sont pas concernées. Tu n’as pas de buffer overflow possible en .NET.


Merci pour ta réponse. Donc toutes les applications .NET fonctionnent automatiquement avec EMET ? C’est bon à savoir.


Elles ne fonctionnent pas avec EMET. C’est juste qu’il est inutile pour ces applications.


tu ne devrais pas plutôt dire “elle ne tire aucun parti de EMET”? là ça donne l’impression qu’activer EMET va empecher toutes applis .NET de fonctionner <img data-src=" />


Oui en effet ma phrase laissait à désirer <img data-src=" />

fatigue^^


Possible si on ne veut plus changer l’application. Mais qu’est-ce que le développeur va faire pour sa prochaine mise à jour ? Utiliser win32 ou bien faire un frankenstein win32/uwp ? Probablement pas.

Oui on peut “encapsuler” win32 certes, mais ce sera toujours du win32 qu’il faudra utiliser et coder.


Très bon article <img data-src=" />