Windows Phone 8 et la sécurité

Sécurité

Windows Phone 8Sécurité

Jugoslav Stevic – PFE SécuritéJean-Yves Grasset – Chief Security Advisor– CISSP/CCSK

Thierry Picq - Business Developement Manager - Innovation

Microsoft France

[email protected] [email protected]

[email protected]

#mstechdaysSécurité

Depuis votre smartphone sur :http://notes.mstechdays.fr

De nombreux lots à gagner toute les heures !!!Claviers, souris et jeux Microsoft…

Merci de nous aider à améliorer les Techdays !

Donnez votre avis !

#mstechdaysSécurité

http://www.kaspersky.co.uk/internet-security-center/threats/mobile

Sécurité#mstechdays

http://www.cisco.com/web/offers/lp/2014-annual-security-report/index.html

#mstechdaysSécurité

iOS aussi…

http://blog.mktlines.com/starbucks-will-fix-iphone-app-currently-threat-user%E2%80%99s-security-4264/

Entre 2007 et 2013, 238 vulnérabilités ont été reportées sur iOShttp://www.cvedetails.com/ La majorité de ces failles permettait l’exécution de code malicieuxJusqu’ici une seule vulnérabilité reportée pour Windows Phone

iOS

#mstechdaysSécurité

https://www.enisa.europa.eu/activities/Resilience-and-CIIP/critical-applications/smartphone-security-1/top-ten-risks

Sécurité#mstechdays

http://www.microsoft.com/france/mstechDays/programmes/2013/fiche-session.aspx?ID=be540b8f-68cf-4885-9b5c-393b59cfebd9

Techdays 2013

#mstechdaysSécurité

• Intégrité système• Sécurité de la plate-forme applicative• Protection des données• Contrôle d’accès• Mesures d’« assainissement »• Management en entreprise

– Applications et terminaux

Agenda

#mstechdaysSécurité

• Expérience utilisateur riche et contextuelle• Sécurité de l’utilisateur

Objectifs de sécurité

• Confiance des développeurs

• Store riche et de qualité

• Conformité

#mstechdaysSécurité

• Un cœur partagé pour entre tout l’écosystème Windows– Kernel NT utilisé par Windows 8,

Windows RT, Windows Phone 8, Windows 8 Embedded et Windows Server 2012

– Homogénéisation des expériences– Efficacité pour les développeurs– Diversité pour les constructeurs afin

de se différencier

Windows Phone 8 et Windows 8: les mêmes gènes …

… et des possibilités partagées !!!

#mstechdaysSécurité

• Basé sur des spécifications standards et bien connues : processeur, mémoire, écran, etc.

• Démarrage de confiance UEFI• TPM 2.0 pour la cryptographie• Objectif : se prémunir des

attaques hardware

Matériel de confiance…

UEFI : Unified Extensible Firmware Interface ForumTPM : Trusted Platform Module

#mstechdaysSécurité

Processus de démarrage de confiance

Secure UEFI

OEM UEFI application

s

Windows Phone boot manager

Power On

Windows Phone 8 OS

boot

Windows Phone 8

update OS bootBoot to

flashing mode

SoC Vendor

OEM

Microsoft

http://www.uefi.org/specifications/

Firmware boot loaders

#mstechdaysSécurité

Une réalité…

http://winsupersite.com/windows-phone/calling-bs-windows-phone-8-handset-asks-installation-disc

#mstechdaysSécurité

• Pendant la fabrication du terminal, l’OEM– Renseigne le condensé (hash) de la clé publique utilisée

pour signer les boot loaders initiaux– « scelle » (au sens électronique: « fusibles ») ces

informations et provisionne les données UEFI

• Chaque appareil possède sa propre clé de chiffrement

• Pas de contournement du secure boot pour l’utilisateur

Boot Loader de confiance

#mstechdaysSécurité

• Tout est basé sur les clés…• Platform Key – PK

– Une fois le PK en place, l’environnement UEFI est activé

• BdD des signatures valides et invalides –DB/DBX– Contrôle le chargement des « images »

• Le KEK (Key Exchange Key) gère les mises à jour de DB/DBX

Démarrage sécurisé UEFI

#mstechdaysSécurité

• Le Secure Boot (SB) garantit l’intégrité du système dans sa totalité

• Implémentation réalisée par– les fournisseurs de SoC (System on a Chip -Qualcomm)– les constructeurs (Nokia, HTC, etc.).

• Deux phases: – Le SB de la plate-forme garantit l’intégrité des mécanismes pré-UEFI– UEFI sécurise le démarrage et garantit l’intégrité des applications

OEM UEFI et du système

• Secure Boot limite les risques d’installation de « malware » de bas niveau (type rootkit)

http://blogs.msdn.com/b/belux/archive/2013/02/05/windows-phone-8-security-deep-dive.aspx

Secure Boot

#mstechdaysSécurité

• iOS– Matériel

propriétaire (contrôlé)

– Jailbreak…

• Android– Besoin de rien…

Et les autres…

Barcelone 2013

#mstechdaysSécurité

• Tous les binaires de Windows Phone 8 doivent être signés par Microsoft pour pouvoir s’exécuter– Diffère de WP7 ou seules les applications

Microsoft et celles du Marketplace disposaient de signatures.

– Les binaires OEM doivent être signés par Microsoft.

Signature du Code

#mstechdaysSécurité

Modèle de sécurité Windows Phone 8

Least Privilege Chamber (LPC)

Trusted Computing Base

(TCB)

DynamicPermissions

(LPC)

Trusted Computing Base

Least Privilege Chamber• Les services et les applications

fonctionnent tous dans le modèle de moindre privilège (pas d’élévation en cas de souci…)

• WP8 dispose d’une liste de capacités définies par un manifest (WMAppManifest.xml) et vérifiées lors de la certification du WP Store.msdn.microsoft.com/en-us/library/windowsphone/develop/jj206936(v=vs.105).aspx

• Kernel et drivers en mode noyau (Kernel)

Sandboxing• Système de fichier “caché”, stockage

isolé

X

Chambre

App A

Chambre

App B

Système de fichier local pour App A

Système de fichier local pour App B

X

URI, fichiers

#mstechdaysSécurité

• SmartScreen: filtre anti-hameçonnage– Utilise les données collectées

par des 100aines de millions de PC pour bloquer les sites malicieux en temps réel

• Un des navigateurs HTML5 le plus performant

• Isolé dans une “chambre” (sandbox) sans plug-in

Internet Explorer 10

#mstechdaysSécurité

• Secure Boot activé• Modèle de sécurité cohérent avec des

« capacités » étendues• Tous les binaires sont signés• IE10 bénéficie des technologies de

Windows

A ce stade

Sécurité#mstechdays

SÉCURITÉ DES DONNÉES

#mstechdaysSécurité

• WP8 utilise les technologies de chiffrement de Windows– Secure Boot nécessaire– Disponible pour tous les terminaux et activé au

premier démarrage par l’IT– L’intégralité du stockage interne est chiffré (AES

128)– Les cartes SD ne sont pas chiffrées• Et c’est logique (enfin explicable… :-)

Chiffrement du terminal

#mstechdaysSécurité

• Contribue au respect de la propriété intellectuelle

• Protège les emails et les documents d’une diffusion illicite

• Exchange server et Sharepoint

Gestion des droits numériques (IRM)

#mstechdaysSécurité

• Exchange ActiveSync avec Exchange Server et Office 365 – Contrôle de l’accès à la messagerie et gestion des terminaux

• Contrôle des applications et gestion des terminaux avec un Mobile Device Management (MDM) ie: SCCM 2012 et Windows Intune– Distribution d’applications et gestion des règles de sécurité

Contrôle des accès au terminal et aux applications

démo

Design/UX/UI#mstechdays

Sécurité

SMARTSCREENEAS AVEC OFFICE 365

Sécurité#mstechdays

GESTION DES APPAREILSDÉPLOIEMENT DES APPLICATIONS

#mstechdaysSécurité

• Toutes les applications de l’entreprise sont signées avec le même certificat propre à l’entreprise.

• Le certificat de l’entreprise est installé sur les téléphones de l’entreprise– Cela permet :

• d’autoriser l’installation de manière sécurisée des applications sur un téléphone sans utiliser le store (exécution d’un XAP) à partir d’un serveur de l’entreprise (SharePoint), d’un Cloud privé, d’un mail ou d’une carte SD

• Le fonctionnement du « Hub » et des applications de l’entreprise ainsi que la sécurisation de leur distribution.

Principe de sécurisation du déploiement des applications d’entreprise

#mstechdaysSécurité

• App Hub: http://create.msdn.com

Applications d’Entreprise

2. Outils Signature

3. App Catalog

1. Enregistrement

1. Développer une App2. Packager et signer

1.Enregistrement Terminal

2. Accès apps

4. Créer un Token

3. Cert. et ID entreprise

Enregistrement de l‘IT1. L’entreprise s’enregistre auprès de l’App Hub2. Téléchargement des outils3. Microsoft indique à la CA la demande d’enregistrement4. Traitement5. CA vérifie le traitement et génère un Certificat pour

l’Entreprise

Organisation ITApp Hub Windows Phone

#mstechdaysSécurité

Les étapes !

Déploiement et management

L’utilisateur s’enrôle avec un email

Installation des applications à partir d’URL

A) Déploiement “managé” (avec un MDM)

Production des applications

B) Déploiement non « managé » (sans MDM)

Installation du hub d’entreprise(optionnel)

Déploiement et management avec Windows Intune

Enrôlement de l’utilisateur

Installation des applications via le portail “Self Service”

Désenrôlement de l’utilisateur

Management avec Windows Intune

1.Inscription sur le Dev Center (99$/an)

2. Achat du certificat (Symantec , 299$/an)

3. Dev ou achat des applications

4. Préparation des applications

(Cet exemple est basé sur Windows Intune, les étapes sont similaires avec un MDM tierce)

#mstechdaysSécurité

• Les applications d’entreprise ne sont pas soumises sur le Store

• L’inclusion des applications dans le catalogue d’entreprise est exclusivement sous le contrôle et la responsabilité de cette dernière– Qualité– Impact sur l’expérience globale

• Les outils du Store peuvent être utilisés pour évaluer les applications

• Si une application utilise la localisation il est recommandé d’en informer l’utilisateur et d’obtenir son consentement explicite

« Ingestion » des apps Entreprise

#mstechdaysSécurité

Gestion des mobiles avec Windows Intune

Intégré, simple et facile d’accès

• Le client d’inscription (réversible) au management d’Entreprise est intégré.

• Application des règles de sécurité et découverte des applications internes.

#mstechdaysSécurité

Simple passwordAlphanumeric passwordMinimum password lengthMinimum password complex charactersPassword expirationPassword historyDevice wipe thresholdInactivity timeoutIRM enabledRemote device wipeDevice encryption (new)Disable removable storage card (new) Remote update of business apps (new)Remote or local un-enroll (new)

EASServer configured policy valuesQuery installed enterprise app Device name Device IDOS platform typeFirmware versionOS versionDevice local timeProcessor typeDevice modelDevice manufacturerDevice processor architectureDevice language

Intune Et reporting

Windows Intune: règles et reporting

Intune + SCCM

#mstechdaysSécurité

• Réinitialisation locale ou à distance– Initiée par l’utilisateur ou l’administrateur– Utilise EAS ou MDM

• Windows Update– Uniquement OTA– Potentiellement à l’initiative de l’utilisateur

• Révocation d’applications– Store et applications d’entreprise

« Assainissement »

#mstechdaysSécurité

Enterprise Feature Pack

Cœur et sécurité partagés

Expérience homogène pour tous les appareils

Sous contrôle de l’IT

Gestion complète du cycle de vie des apps

Productivité depuis n’importe où• Mise à jour gratuite (1er semestre

2014)• S/MIME pour la signature et le

chiffrement des emails• VPN auto-déclenché• Wi-Fi entreprise avec EAP-TLS• Politiques MDM avancées• Gestion des certificats pour la

demande, le renouvellement et la révocation des certificats pour l’authentification utilisateur

• Extension du support de 18 à 36 mois

#mstechdaysSécurité

Airwatch

http://www.marketwatch.com/story/airwatch-to-provide-immediate-device-and-application-management-support-for-windows-phone-8r-2012-10-23 

MobileIron

http://www.mobileiron.com/en/company/press-room/press-releases/2012/366-mobileiron-supports-windows-phone-8-apps-and-devices-

Symantec

http://www.symantec.com/connect/blogs/symantec-provides-day-1-support-windows-phone-8-protect-mobile-enterprise

ZenPrise

http://www.zenprise.com/blog/zenprise-supports-new-enterprise-mobility-era

Sybase Afaria

http://www12.sap.com/corporate-en/press.epx?PressID=19903

Les MDM tiers

#mstechdaysSécurité

Windows Phone 8 face aux « Dix risques majeurs (Enisa) »

#mstechdaysSécurité

Windows Phone pour l'entrepriseMercredi 12 février : 15h15-16h00 http://www.microsoft.com/france/mstechdays/programmes/2014/fiche-session.aspx?ID=cc05d911-f857-4981-89ce-93ecec15e83d#sYSDTB48tLvABxeH.99

Les autres sessions IT & Windows Phone

Protéger vos données dans un contexte BYOD/Office 365 avec le nouveau service Microsoft RMSMercredi 12 février : 15h15-16h00http://www.microsoft.com/france/mstechdays/programmes/2014/fiche-session.aspx?ID=f3fdf034-7753-4d31-b9e9-1f292a948fa2#uyLLfm5ML8sxmXKU.99PCIT: Comment gérer les appareils

mobiles avec System Center 2012 R2 Configuration Manager et Intune?Mercredi 12 février : 12h15-13h00 http://www.microsoft.com/france/mstechdays/programmes/2014/fiche-session.aspx?ID=43a09d9e-f6b2-4330-9521-8b4aa0775b33#EbhgT4xFFQeuUXEu.99

#mstechdaysSécurité

http://www.windowsphone.com/fr-FR/business/for-business

Ressources IT

#mstechdaysSécurité

Ressources IThttp://www.windowsphone.com/en-us/business/security

#mstechdaysSécurité

• “Using Windows Intune for Direct Management of Mobile Devices” at http://technet.microsoft.com/en-us/library/jj733632.aspx

• “Customizing the Windows Intune Company Portal” at http://technet.microsoft.com/en-us/library/jj662649.aspx

• VPN WP Nokiahttps://expertcentre.nokia.com/en/articles/kbarticles/Pages/Nokia-VPN-resource-hub.aspx

• Crypto ++ : manipuler les algorithmes de chiffrement via vos applicationshttp://developer.nokia.com/community/wiki/Using_Crypto%2B%2B_library_with_Windows_Phone_8

Ressources IT

© 2014 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

Digital is business