Windows 10 intégrera bien EMET pour réduire le risque d'exploitation des failles

Windows 10 intégrera bien EMET pour réduire le risque d’exploitation des failles

Kaspersky aime ça

Avatar de l'auteur
Vincent Hermann

Publié dans

Logiciel

28/06/2017 6 minutes
23

Windows 10 intégrera bien EMET pour réduire le risque d'exploitation des failles

Microsoft a confirmé que la prochaine évolution majeure de Windows 10 intègrera une partie des outils présents dans EMET, un kit permettant de réduire les possibilités de piratage. Une récupération prévisible et qui faisait récemment d’ailleurs l’objet de rumeurs.

EMET, pour Enhanced Mitigation Experience Toolkit, est un ensemble d’outils connu des utilisateurs avancés, experts en sécurité et autres administrateurs. Il ne s’agit clairement pas d’un kit conçu pour le grand public, puisqu’il agit sur de nombreux paramètres et peut entrainer divers soucis de compatibilité avec les applications. Son objectif, atténuer les risques d’exploitation des failles.

Ces outils ont longtemps été une référence chez Microsoft, tant et si bien que de nombreux descriptifs de failles dans les bulletins mensuels donnaient les niveaux de dangerosité pour Windows et pour le système accompagné d’EMET. Aussi, quand l’éditeur a annoncé début novembre qu’il allait mettre fin au kit, de nombreuses voix se sont élevées pour lui demander de reconsidérer sa position. Mais l’entreprise avait en fait des plans déjà arrêtés le concernant.

Plusieurs capacités d’EMET intégrées dans Windows 10

En fait, Windows 10 contient déjà une partie d’EMET. La ligne de communication de Microsoft était alors claire : EMET lui-même devenait superflu. Mais contrairement au kit une fois installé, le paramétrage et l’administration des mesures de sécurité peut laisser à désirer.

Par exemple, l’un des intérêts d’EMET a été pendant longtemps de pouvoir forcer l’activation de l’ASLR (Address space layout randomization) sur n’importe quelle application, y compris quand elle n’avait pas été développée pour en tenir compte. Pour rappel, ce mécanisme de sécurité déplace les données importantes dans une zone mémoire aléatoire, pour qu’un malware ne sache pas où chercher. Certaines applications avaient des problèmes de compatibilité avec cette fonction. Le déplacement de la mesure dans Windows 10 a fait perdre la possibilité de la paramétrer finement.

La future Fall Creators Update (FCU), attendue pour septembre, introduira donc Windows Defender Exploit Guard (Microsoft ajoute « Windows Defender » devant tous les noms de fonctionnalités liées à la sécurité, ce que nous ne ferons plus pour le reste de l’article). Exploit Guard reprend une bonne partie des outils présents dans EMET (présenté désormais comme « nativement intégré ») et en ajoute de nouveaux, avec les outils et règles pour les manier.

Application Guard et Device Guard eux aussi rapatriés

Dans un vaste mouvement qui risque très clairement de faire pester Kaspersky, Microsoft ajoutera deux autres briques importantes pour la sécurité de son système. Application Guard doit ainsi empêcher les pirates d’établir une tête de pont dans la machine. La protection permet en théorie une isolation de la menace, qu’il s’agisse de l’exploitation d’une faille 0-day ou du téléchargement d’un malware via le navigateur, en bloquant l’accès à la mémoire, au stockage, aux applications installées et autres ressources.

Point intéressant, AG aura un écho particulier pour Edge. Le navigateur devait déjà bénéficier de cette protection dans la Creators Update, mais Microsoft a repoussé ce rapprochement. Dans la FCU, Edge en bénéficiera et fonctionnera de manière isolée dès qu’une ressource sera considérée comme non fiable. Elle sera alors lue dans une instance miniature de Windows, comprenant le noyau et une version minimale du Windows Platform Service pour qu’Edge s’y exécute.

Application Guard est particulièrement lié à Exploit Guard. Les deux font appel à l’Intelligent Security Graph, à savoir la mise en relation des comportements et éléments de sécurité réunis par Microsoft de son côté. Il s’agit d’un type de protection qui prend de l’ampleur depuis plusieurs années, la détection statique des menaces n’étant plus suffisante. De nombreux éditeurs de solutions de sécurité ont recours désormais à ce type d’analyse.

Device Guard sera de son côté intégré dans Advanced Threat Protection. Le module doit permettre aux administrateurs de vérifier plus facilement les listes d’applications autorisées et de repérer plus rapidement un code qui n’est pas censé être exécuté. Le fonctionnement peut être manuel ou automatisé, ce dernier mode étant basé ici encore sur l’Intelligent Security Graph.

L’ensemble de ces nouveaux outils provoque l’apparition de nouveaux contrôles dans System Center Configuration Manager. Il faut préciser que la majeure partie de ces protections et de leur paramétrage restera réservé aux entreprises.

Évolution de la sécurité et concurrence

Bien entendu, Microsoft profite allègrement de son billet d’explications pour vanter les mérites de nouvelle vision de la sécurité. Il faudra s’y faire désormais, une bonne partie des défenses de Windows 10 seront liées au cloud et au traitement des informations par Microsoft, qui indique se baser sur « des milliers de milliards de signaux ».

Se pose évidemment la délicate question de la concurrence. Comme l’a montré récemment la plainte de Kaspersky pour abus de position dominante, l’intégration de Windows Defender ne plait pas à tout le monde. On attend encore de voir si elle va se mouvoir en action de groupe, l’éditeur russe ayant appelé les autres entreprises concernées à le rejoindre dans ce combat. Mais avec le renforcement qui s’annonce, on peut se demander si Microsoft n’est pas en train de tendre le bâton pour se faire battre.

L’éditeur pourra toujours rétorquer que Windows Defender ATP est déjà utilisé pour plusieurs des services hébergés, notamment Office 365 et Azure, et qu’il ne s’agit que d’aligner un produit supplémentaire, et particulièrement celui qui est le plus exposé aux menaces. L’entreprise évoque également l’arrivée prochaine de nouvelles API qui permettront aux éditeurs tiers de venir se brancher sur ces nouvelles métriques pour créer des solutions d’automatisation ou qui complèteront le tout.

Dans tous les cas, la firme semble décidée à avancer sur ce terrain, que la concurrence se plaigne ou non. Il est possible d’ailleurs que Kaspersky réagisse puisque ces nouvelles fonctionnalités pourraient bien apporter de l’eau à son moulin. La vidéo de présentation insiste d'ailleurs particulièrement sur deux points : Microsoft se pose comme champion novateur de la sécurité, et l'intégration à Windows 10 y est très marquée.

23

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Plusieurs capacités d’EMET intégrées dans Windows 10

Application Guard et Device Guard eux aussi rapatriés

Évolution de la sécurité et concurrence

Le brief de ce matin n'est pas encore là

Partez acheter vos croissants
Et faites chauffer votre bouilloire,
Le brief arrive dans un instant,
Tout frais du matin, gardez espoir.

Commentaires (23)


Nom de Zeus ! <img data-src=" />


gros changement en vu. Je l’avais essayé au boulot mais j’avais du l’enlever car j’avais des appli pro qui ne fonctionnait plus.


Je suis pro-Microsoft mais on leur reproche de sécuriser leur système ?

Autant le navigateur c’est une fonctionnalité mais la sécurité c’est normal qu’ils améliorent non ??


Pro-Microsoft c’est la première fois que j’entend ça, c’est assez drôle. A part avoir des parts dans une entreprise, je n’arrive pas à comprendre comment on peut être aussi sectaire. La sécurité est un domaine hyper important, sont amélioration est centrale bien sûr, ici ont par la mise à disposition au grand publique d’une technologie principalement dédié aux professionels.








MoonRa a écrit :



Pro-Microsoft c’est la première fois que j’entend ça, c’est assez drôle. A part avoir des parts dans une entreprise, je n’arrive pas à comprendre comment on peut être aussi sectaire. La sécurité est un domaine hyper important, sont amélioration est centrale bien sûr, ici ont par la mise à disposition au grand publique d’une technologie principalement dédié aux professionels.







Vu tout ce qui se passe actuellement, tout ce qui permet de sécuriser nos pc devrait arriver partout, entreprises ou grand public.



Certain éditeurs d’antivirus reproche a Microsoft d’empiéter sur leurs terrain.


Si c’est bien intégré (logiquement ça devrait), c’est une excellente nouvelle.


Ils vont avoir mal au cul avec ce qui arrive, l’augmentation du niveau de sécurité drastique de windows va leur faire mal au porte monnaie


mais c’est une excellente nouvelle ça ! l’outil est vraiment puissant, par contre j’avais tenter l’expérience d’intégration sur notre parc, j’avais eu quelques soucis avec des applis internes, ça demandais beaucoup de temps pour le rendre fonctionnel la boite n’avais pas valider le projet dommage.








BrainBSOD a écrit :



&nbsp;la boite n’avais pas valider le projet dommage.





Attend, avec la vague de ransonware actuelle, ils vont bientôt le faire ….. ou il sera peut être trop tard <img data-src=" />



Je comprends la position de Kapersky de vouloir défendre son gagne pain, mais comment reprocher à Microsoft d’intégrer des outils dans Windows permettant de le sécuriser davantage ?



Surtout avec l’actualité en ce moment.


Ben yaka se rappeler de l’histoire de wmp. (media player)


C’est clair.

Ils ont bâti leur business sur les “lacunes” de Windows.

Maintenant que Microsoft tente de les combler, c’est à eux de s’adapter…


C’est un peu comme si un fournisseur de médicaments contre les intoxications alimentaires reprochait à un fabricant de rillettes d’améliorer la qualité de ses contrôles en usine








levhieu a écrit :



C’est un peu comme si un fournisseur de médicaments contre les intoxications alimentaires reprochait à un fabricant de rillettes d’améliorer la qualité de ses contrôles en usine





belle analogie <img data-src=" />



Pour ceux qui sont encore sous Windows 7 et qui seraient tentés par un test, l’ANSSI a publié il y a déjà un certain temps un guide explicatif sur les différentes options, leurs apports, et comment mettre ça en place au niveau d’une entreprise. Très instructif :



http://www.ssi.gouv.fr/entreprise/guide/deploiement-et-configuration-centralises…








L4igleNo1r a écrit :



Certain éditeurs d’antivirus reproche a Microsoft d’empiéter sur leurs terrain.





Qui est la sécurisation de Windows? Je comprends pas…







MoonRa a écrit :



Pro-Microsoft c’est la première fois que j’entend ça, c’est assez drôle. A part avoir des parts dans une entreprise, je n’arrive pas à comprendre comment on peut être aussi sectaire. La sécurité est un domaine hyper important, sont amélioration est centrale bien sûr, ici ont par la mise à disposition au grand publique d’une technologie principalement dédié aux professionels.





Il manquait évidemment un “pas”, sous-entendu “j’ai du mal avec cette boîte” <img data-src=" />

Mais pour ce sujet je comprends pas







levhieu a écrit :



C’est un peu comme si un fournisseur de médicaments contre les intoxications alimentaires reprochait à un fabricant de rillettes d’améliorer la qualité de ses contrôles en usine





Voilà, exactement



Tout à fait, EMET (Doc Brown ?) est puissant mais requiert du doigté et peut-être lourd.



Toutefois, j’espère que MS va vraiment soigner l’intégration à Windows 10 (quand bien même il ne s’agit que d’une version allégé), sinon, ca risque de foutre un sacré bordel.








jb18v a écrit :



Nom de Zeus ! <img data-src=" />





<img data-src=" />







tifounon a écrit :



Tout à fait, EMET (Doc Brown ?)





Presque, c’est Emmett Brownhttps://fr.wikipedia.org/wiki/Emmett_Brown .



doc :) c’est aussi un peu ma crainte