Windows Phone 8 et la sécurité
Post on 22-Jun-2015
192 Views
Preview:
DESCRIPTION
Transcript
Sécurité
Windows Phone 8Sécurité
Jugoslav Stevic – PFE SécuritéJean-Yves Grasset – Chief Security Advisor– CISSP/CCSK
Thierry Picq - Business Developement Manager - Innovation
Microsoft France
Jugoslav.Stevic@microsoft.com Jean-Yves.Grasset@microsoft.com
Thierry.Picq@microsoft.com
#mstechdaysSécurité
Depuis votre smartphone sur :http://notes.mstechdays.fr
De nombreux lots à gagner toute les heures !!!Claviers, souris et jeux Microsoft…
Merci de nous aider à améliorer les Techdays !
Donnez votre avis !
#mstechdaysSécurité
http://www.kaspersky.co.uk/internet-security-center/threats/mobile
Sécurité#mstechdays
http://www.cisco.com/web/offers/lp/2014-annual-security-report/index.html
#mstechdaysSécurité
iOS aussi…
http://blog.mktlines.com/starbucks-will-fix-iphone-app-currently-threat-user%E2%80%99s-security-4264/
Entre 2007 et 2013, 238 vulnérabilités ont été reportées sur iOShttp://www.cvedetails.com/ La majorité de ces failles permettait l’exécution de code malicieuxJusqu’ici une seule vulnérabilité reportée pour Windows Phone
iOS
#mstechdaysSécurité
https://www.enisa.europa.eu/activities/Resilience-and-CIIP/critical-applications/smartphone-security-1/top-ten-risks
Sécurité#mstechdays
http://www.microsoft.com/france/mstechDays/programmes/2013/fiche-session.aspx?ID=be540b8f-68cf-4885-9b5c-393b59cfebd9
Techdays 2013
#mstechdaysSécurité
• Intégrité système• Sécurité de la plate-forme applicative• Protection des données• Contrôle d’accès• Mesures d’« assainissement »• Management en entreprise
– Applications et terminaux
Agenda
#mstechdaysSécurité
• Expérience utilisateur riche et contextuelle• Sécurité de l’utilisateur
Objectifs de sécurité
• Confiance des développeurs
• Store riche et de qualité
• Conformité
#mstechdaysSécurité
• Un cœur partagé pour entre tout l’écosystème Windows– Kernel NT utilisé par Windows 8,
Windows RT, Windows Phone 8, Windows 8 Embedded et Windows Server 2012
– Homogénéisation des expériences– Efficacité pour les développeurs– Diversité pour les constructeurs afin
de se différencier
Windows Phone 8 et Windows 8: les mêmes gènes …
… et des possibilités partagées !!!
#mstechdaysSécurité
• Basé sur des spécifications standards et bien connues : processeur, mémoire, écran, etc.
• Démarrage de confiance UEFI• TPM 2.0 pour la cryptographie• Objectif : se prémunir des
attaques hardware
Matériel de confiance…
UEFI : Unified Extensible Firmware Interface ForumTPM : Trusted Platform Module
#mstechdaysSécurité
Processus de démarrage de confiance
Secure UEFI
OEM UEFI application
s
Windows Phone boot manager
Power On
Windows Phone 8 OS
boot
Windows Phone 8
update OS bootBoot to
flashing mode
SoC Vendor
OEM
Microsoft
http://www.uefi.org/specifications/
Firmware boot loaders
#mstechdaysSécurité
Une réalité…
http://winsupersite.com/windows-phone/calling-bs-windows-phone-8-handset-asks-installation-disc
#mstechdaysSécurité
• Pendant la fabrication du terminal, l’OEM– Renseigne le condensé (hash) de la clé publique utilisée
pour signer les boot loaders initiaux– « scelle » (au sens électronique: « fusibles ») ces
informations et provisionne les données UEFI
• Chaque appareil possède sa propre clé de chiffrement
• Pas de contournement du secure boot pour l’utilisateur
Boot Loader de confiance
#mstechdaysSécurité
• Tout est basé sur les clés…• Platform Key – PK
– Une fois le PK en place, l’environnement UEFI est activé
• BdD des signatures valides et invalides –DB/DBX– Contrôle le chargement des « images »
• Le KEK (Key Exchange Key) gère les mises à jour de DB/DBX
Démarrage sécurisé UEFI
#mstechdaysSécurité
• Le Secure Boot (SB) garantit l’intégrité du système dans sa totalité
• Implémentation réalisée par– les fournisseurs de SoC (System on a Chip -Qualcomm)– les constructeurs (Nokia, HTC, etc.).
• Deux phases: – Le SB de la plate-forme garantit l’intégrité des mécanismes pré-UEFI– UEFI sécurise le démarrage et garantit l’intégrité des applications
OEM UEFI et du système
• Secure Boot limite les risques d’installation de « malware » de bas niveau (type rootkit)
http://blogs.msdn.com/b/belux/archive/2013/02/05/windows-phone-8-security-deep-dive.aspx
Secure Boot
#mstechdaysSécurité
• iOS– Matériel
propriétaire (contrôlé)
– Jailbreak…
• Android– Besoin de rien…
Et les autres…
Barcelone 2013
#mstechdaysSécurité
• Tous les binaires de Windows Phone 8 doivent être signés par Microsoft pour pouvoir s’exécuter– Diffère de WP7 ou seules les applications
Microsoft et celles du Marketplace disposaient de signatures.
– Les binaires OEM doivent être signés par Microsoft.
Signature du Code
#mstechdaysSécurité
Modèle de sécurité Windows Phone 8
Least Privilege Chamber (LPC)
Trusted Computing Base
(TCB)
DynamicPermissions
(LPC)
Trusted Computing Base
Least Privilege Chamber• Les services et les applications
fonctionnent tous dans le modèle de moindre privilège (pas d’élévation en cas de souci…)
• WP8 dispose d’une liste de capacités définies par un manifest (WMAppManifest.xml) et vérifiées lors de la certification du WP Store.msdn.microsoft.com/en-us/library/windowsphone/develop/jj206936(v=vs.105).aspx
• Kernel et drivers en mode noyau (Kernel)
Sandboxing• Système de fichier “caché”, stockage
isolé
X
Chambre
App A
Chambre
App B
Système de fichier local pour App A
Système de fichier local pour App B
X
URI, fichiers
#mstechdaysSécurité
• SmartScreen: filtre anti-hameçonnage– Utilise les données collectées
par des 100aines de millions de PC pour bloquer les sites malicieux en temps réel
• Un des navigateurs HTML5 le plus performant
• Isolé dans une “chambre” (sandbox) sans plug-in
Internet Explorer 10
#mstechdaysSécurité
• Secure Boot activé• Modèle de sécurité cohérent avec des
« capacités » étendues• Tous les binaires sont signés• IE10 bénéficie des technologies de
Windows
A ce stade
Sécurité#mstechdays
SÉCURITÉ DES DONNÉES
#mstechdaysSécurité
• WP8 utilise les technologies de chiffrement de Windows– Secure Boot nécessaire– Disponible pour tous les terminaux et activé au
premier démarrage par l’IT– L’intégralité du stockage interne est chiffré (AES
128)– Les cartes SD ne sont pas chiffrées• Et c’est logique (enfin explicable… :-)
Chiffrement du terminal
#mstechdaysSécurité
• Contribue au respect de la propriété intellectuelle
• Protège les emails et les documents d’une diffusion illicite
• Exchange server et Sharepoint
Gestion des droits numériques (IRM)
#mstechdaysSécurité
• Exchange ActiveSync avec Exchange Server et Office 365 – Contrôle de l’accès à la messagerie et gestion des terminaux
• Contrôle des applications et gestion des terminaux avec un Mobile Device Management (MDM) ie: SCCM 2012 et Windows Intune– Distribution d’applications et gestion des règles de sécurité
Contrôle des accès au terminal et aux applications
démo
Design/UX/UI#mstechdays
Sécurité
SMARTSCREENEAS AVEC OFFICE 365
Sécurité#mstechdays
GESTION DES APPAREILSDÉPLOIEMENT DES APPLICATIONS
#mstechdaysSécurité
• Toutes les applications de l’entreprise sont signées avec le même certificat propre à l’entreprise.
• Le certificat de l’entreprise est installé sur les téléphones de l’entreprise– Cela permet :
• d’autoriser l’installation de manière sécurisée des applications sur un téléphone sans utiliser le store (exécution d’un XAP) à partir d’un serveur de l’entreprise (SharePoint), d’un Cloud privé, d’un mail ou d’une carte SD
• Le fonctionnement du « Hub » et des applications de l’entreprise ainsi que la sécurisation de leur distribution.
Principe de sécurisation du déploiement des applications d’entreprise
#mstechdaysSécurité
• App Hub: http://create.msdn.com
Applications d’Entreprise
2. Outils Signature
3. App Catalog
1. Enregistrement
1. Développer une App2. Packager et signer
1.Enregistrement Terminal
2. Accès apps
4. Créer un Token
3. Cert. et ID entreprise
Enregistrement de l‘IT1. L’entreprise s’enregistre auprès de l’App Hub2. Téléchargement des outils3. Microsoft indique à la CA la demande d’enregistrement4. Traitement5. CA vérifie le traitement et génère un Certificat pour
l’Entreprise
Organisation ITApp Hub Windows Phone
#mstechdaysSécurité
Les étapes !
Déploiement et management
L’utilisateur s’enrôle avec un email
Installation des applications à partir d’URL
A) Déploiement “managé” (avec un MDM)
Production des applications
B) Déploiement non « managé » (sans MDM)
Installation du hub d’entreprise(optionnel)
Déploiement et management avec Windows Intune
Enrôlement de l’utilisateur
Installation des applications via le portail “Self Service”
Désenrôlement de l’utilisateur
Management avec Windows Intune
1.Inscription sur le Dev Center (99$/an)
2. Achat du certificat (Symantec , 299$/an)
3. Dev ou achat des applications
4. Préparation des applications
(Cet exemple est basé sur Windows Intune, les étapes sont similaires avec un MDM tierce)
#mstechdaysSécurité
• Les applications d’entreprise ne sont pas soumises sur le Store
• L’inclusion des applications dans le catalogue d’entreprise est exclusivement sous le contrôle et la responsabilité de cette dernière– Qualité– Impact sur l’expérience globale
• Les outils du Store peuvent être utilisés pour évaluer les applications
• Si une application utilise la localisation il est recommandé d’en informer l’utilisateur et d’obtenir son consentement explicite
« Ingestion » des apps Entreprise
#mstechdaysSécurité
Gestion des mobiles avec Windows Intune
Intégré, simple et facile d’accès
• Le client d’inscription (réversible) au management d’Entreprise est intégré.
• Application des règles de sécurité et découverte des applications internes.
#mstechdaysSécurité
Simple passwordAlphanumeric passwordMinimum password lengthMinimum password complex charactersPassword expirationPassword historyDevice wipe thresholdInactivity timeoutIRM enabledRemote device wipeDevice encryption (new)Disable removable storage card (new) Remote update of business apps (new)Remote or local un-enroll (new)
EASServer configured policy valuesQuery installed enterprise app Device name Device IDOS platform typeFirmware versionOS versionDevice local timeProcessor typeDevice modelDevice manufacturerDevice processor architectureDevice language
Intune Et reporting
Windows Intune: règles et reporting
Intune + SCCM
#mstechdaysSécurité
• Réinitialisation locale ou à distance– Initiée par l’utilisateur ou l’administrateur– Utilise EAS ou MDM
• Windows Update– Uniquement OTA– Potentiellement à l’initiative de l’utilisateur
• Révocation d’applications– Store et applications d’entreprise
« Assainissement »
#mstechdaysSécurité
Enterprise Feature Pack
Cœur et sécurité partagés
Expérience homogène pour tous les appareils
Sous contrôle de l’IT
Gestion complète du cycle de vie des apps
Productivité depuis n’importe où• Mise à jour gratuite (1er semestre
2014)• S/MIME pour la signature et le
chiffrement des emails• VPN auto-déclenché• Wi-Fi entreprise avec EAP-TLS• Politiques MDM avancées• Gestion des certificats pour la
demande, le renouvellement et la révocation des certificats pour l’authentification utilisateur
• Extension du support de 18 à 36 mois
#mstechdaysSécurité
Airwatch
http://www.marketwatch.com/story/airwatch-to-provide-immediate-device-and-application-management-support-for-windows-phone-8r-2012-10-23
MobileIron
http://www.mobileiron.com/en/company/press-room/press-releases/2012/366-mobileiron-supports-windows-phone-8-apps-and-devices-
Symantec
http://www.symantec.com/connect/blogs/symantec-provides-day-1-support-windows-phone-8-protect-mobile-enterprise
ZenPrise
http://www.zenprise.com/blog/zenprise-supports-new-enterprise-mobility-era
Sybase Afaria
http://www12.sap.com/corporate-en/press.epx?PressID=19903
Les MDM tiers
#mstechdaysSécurité
Windows Phone 8 face aux « Dix risques majeurs (Enisa) »
#mstechdaysSécurité
Windows Phone pour l'entrepriseMercredi 12 février : 15h15-16h00 http://www.microsoft.com/france/mstechdays/programmes/2014/fiche-session.aspx?ID=cc05d911-f857-4981-89ce-93ecec15e83d#sYSDTB48tLvABxeH.99
Les autres sessions IT & Windows Phone
Protéger vos données dans un contexte BYOD/Office 365 avec le nouveau service Microsoft RMSMercredi 12 février : 15h15-16h00http://www.microsoft.com/france/mstechdays/programmes/2014/fiche-session.aspx?ID=f3fdf034-7753-4d31-b9e9-1f292a948fa2#uyLLfm5ML8sxmXKU.99PCIT: Comment gérer les appareils
mobiles avec System Center 2012 R2 Configuration Manager et Intune?Mercredi 12 février : 12h15-13h00 http://www.microsoft.com/france/mstechdays/programmes/2014/fiche-session.aspx?ID=43a09d9e-f6b2-4330-9521-8b4aa0775b33#EbhgT4xFFQeuUXEu.99
#mstechdaysSécurité
http://www.windowsphone.com/fr-FR/business/for-business
Ressources IT
#mstechdaysSécurité
Ressources IThttp://www.windowsphone.com/en-us/business/security
#mstechdaysSécurité
• “Using Windows Intune for Direct Management of Mobile Devices” at http://technet.microsoft.com/en-us/library/jj733632.aspx
• “Customizing the Windows Intune Company Portal” at http://technet.microsoft.com/en-us/library/jj662649.aspx
• VPN WP Nokiahttps://expertcentre.nokia.com/en/articles/kbarticles/Pages/Nokia-VPN-resource-hub.aspx
• Crypto ++ : manipuler les algorithmes de chiffrement via vos applicationshttp://developer.nokia.com/community/wiki/Using_Crypto%2B%2B_library_with_Windows_Phone_8
Ressources IT
© 2014 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
Digital is business
top related