Lors de cette session venez découvrir comment Windows Phone aborde le thème de la sécurité et quels sont les éléments à connaître pour estimer le périmètre de risques liés à ces usages mobiles. Vous y découvrirez toutes les caractéristiques et les spécificités techniques en termes de sécurité de l’OS Windows Phone ainsi que toutes les nouveautés apportées par la dernière version (Windows Phone 8.1).
7. tech.days 2015#mstechdaysSESSION SEC203
Malware
Mebromi, c’est un cheval de Troie et un bootkit
Il infecte les BIOS Award BIOS et contrôle le processus de démarrage.
Propagé en combinaison avec d’autres Malwares
Activité
Mebromi est conçu pour pouvoir rester dans l'ordinateur même si le disque dur est formaté ou remplacé. Le
fonctionnement est assez simple : Mebromi va sauvegarder le BIOS, modifier quelques routines internes et
ensuite flasher le nouveau BIOS, sans que ce soit visible pour l'utilisateur, puis il va infecter automatiquement
le MBR
Si un anti-malware est capable de le supprimer, il se réinstallera via le BIOS
Comment se dissimule-t-il?
En s’installant dans le BIOS, il reste caché pour la plupart des solutions anti-malware
8. tech.days 2015#mstechdaysSESSION SEC203
Unified Extensible Firmware Interface (UEFI)
Qu’est-ce que l’UEFI?
Une évolution moderne du traditionnel BIOS
Un élément indispensable pour une certification Windows et Windows
Phone
Bénéfices
Indépendant de l’architecture
Initialise les périphériques et permet les opérations de plus haut
niveau (ie.; mouse, apps)
Bénéfices clefs en sécurité:
Secure Boot – Assure le démarrage d’OS de confiance, signé
Supprime la menace des bootkits en sécurisant le démarrage des
périphériques.
9. tech.days 2015#mstechdaysSESSION SEC203
La menace : Mimikatz
Objectif
Mimikatz permet d’exporter des certificats depuis un terminal
Ceux-ci peuvent être utilisés pour se faire passer pour leur propriétaire légitime
Son usage
Mimikatz est un outils (pour hacker) prévu pour les PC sous Windows
Utilisable de manière hypothétique sur un Smartphone
S’en protéger
Windows Phone est conçu pour être immunisé contre ce type d’attaque, mais...
…dans le monde actuel il est indispensable d’envisager que les défenses d’un système
d’exploitation puissent être contournées…
Approche : Lier l’information sensible au terminal et y empêcher l’accès si elle est exportée
10. tech.days 2015#mstechdaysSESSION SEC203
Trusted Platform Module (TPM)
Qu’est-ce que le TPM?
Un processeur qui effectue des opérations cryptographiques
Standard international pour réaliser ces opérations
Un élément indispensable pour une certification Windows Phone
Bénéfices :
Offre un moyen de contrôler l’intégrité du matériel et de l’OS
Génére et stocke des clefs pour chiffrement
Intègre des mécanismes de protection (tamper-proofing & anti-hammer)
L’objectif avec Windows Phone 8.1
Utiliser le TPM au-delà du simple chiffrement du terminal
15. tech.days 2015#mstechdaysSESSION SEC203
Augmentation fulgurante des malwares avec une analogie de plus en plus marquée avec les OS Desktop…
http://www.trendmicro.com/vinfo/us/security/news/mobile-safety/masque-
fakeid-and-other-notable-mobile-threats-of-2h-2014
http://www.sophos.com/en-us/medialibrary/PDFs/other/sophos-mobile-
security-threat-report.pdf?la=en
18. tech.days 2015#mstechdaysSESSION SEC203
Malware
Backdoor.AndroidOS.Obad.a est un rootkit ciblant les terminaux Android
Niveau de sophistication élevé
Pratiquement indétectable par les utilisateurs dont les terminaux sont infectés et très difficile voire impossible à supprimer
Activité
Envoi de SMS surtaxés
Télécharge d’autres Malwares
Envoi des informations personnelles à un serveur central
Contrôle à distance du terminal
Se propage à d’autres terminaux via Bluetooth
Dissimulation
Ce Malware s’exécute avec des droits administrateur étendus et n’apparait pas dans la liste des processus privilégiés
Exploite des vulnérabilités du AndroidManifest.xml de façon à s’exécuter sans pouvoir être analysé dynamiquement
Exploite des vulnérabilités des outils d’analyse pour limiter les analyses
19. tech.days 2015#mstechdaysSESSION SEC203
Trusted Boot
Assure un démarrage sécurisé et une intégrité du système d’exploitation dans sa globalité
“Elimine” le risque de rootkit et d’altération des composants systèmes
Trusted Boot et Trusted Apps
Trusted Apps
La plate-forme est architecturée afin d’empêcher l’exécution d’applications qui ne seraient ni de confiance
ni signées
Les applications grand public doivent être signées et doivent être installées via le Store
Les application d’Entreprises doivent être signées avec une signature de confiance. Plusieurs mécanismes
de provisionning existent
UEFI and Option
ROM Firmware
Windows Phone
8.1
OS Loader
Windows Kernel
Windows Phone
8.1
Drivers
Windows System
Components
20. tech.days 2015#mstechdaysSESSION SEC203
• Stockage des certificats
• Shared User Certificate Store – (si l’application dispose de la capacité : SharedUserCertificates)
• App Container – (si l’application ne dispose pas de la capacité : SharedUserCertificates)
• Quel code peut accéder au SharedUserCertificateStore?
• Les applications 1st Party: browser, e-mail client, WiFi, VPN, etc
• Les applications d’Entreprise (sideloaded apps)
• Certaines applications du Store disposant d’une exception de la part de la certification Microsoft (très
rare!)
• Protection des certificats
• Certificats Soft– protection logicielle de la clef privée
• Certificats TPM– la clef privée est stockée par le TPM
• Certificats VSC– la clef privée est stockée par le TPM et protégée par un code PIN utilisateur
Certificats Windows Phone
21. tech.days 2015#mstechdaysSESSION SEC203
Les applications WP8.1 sont, par nature, plus sécurisées.
Ces applications s’exécutent dans un contexte isolé (AppContainer) avec un principe de moindre privilège
Accès aux ressources sur un modèle déclaratif. Capacités limitées et définies dans le manifeste de
l’application
L’usage de “capacités sensibles” demande une validation utilisateur
Communication App à App
Réalisée via une notion de contrat Source et Cible
- Contrat Source : IE dispose d’un contrat Source afin de partager des URL, Image(s), etc
- Contrat Cible : Mail déclare sa capacité à recevoir de l’information et la formater
Applications isolées (sandboxed) provenant de sources de confiance
Windows Phone Store
Toutes les applications Windows Phone 8.1 doivent être signées
Elles doivent être acquises via le Windows Phone Store ou au travers des processus de diffusion Entreprise
Ces applications suivent un processus de certification (Store)
Une application peut être révoquée des terminaux en cas de souci
22. tech.days 2015#mstechdaysSESSION SEC203
Mécanisme d’AppContainer
Pas de Plug-In
Protection des mots de passe via le Credential Locker
Protection “Do Not Track”
Technologie SmartScreen
Service Cloud de réputation d’URL
Supporte Internet Explorer & les Apps Windows Store
Plus de 230 Millions d’alertes d’hameçonnage
Plus de 17 Trillion de vérifications de réputation
25. tech.days 2015#mstechdaysSESSION SEC203
Secure/Multipurpose Internet Mail Extensions
(S/MIME) Support
Windows Phone 8.1 supporte maintenant S/MIME
Création et utilisation d’emails chiffrés et/ou signés
Usage de certificats provisionnés par l’entreprise ou de Virtual Smart
Cards (VSC).
Capacité à imposer l’usage de S/MIME pour signer et/ou chiffrer
27. tech.days 2015#mstechdaysSESSION SEC203
Contrôle des Applications
Même avec les meilleures intentions les utilisateurs
peuvent contribuer à la fuite d’informations
La capacité de « White List / Black List »
permet à l’IT de contrôler l’usage des
applications sur un mécanisme de Policies
(MDM) permettant de valider ou restreindre
l’usage des applications
28. tech.days 2015#mstechdaysSESSION SEC203
Sécurisation des Communications
Chiffrement des Communications avec TLS et SSL
Supporte TLS 1.0 – 1.2 et SSL 3.0
Dispose de plusieurs certificats de confiance connus, extensible manuellement ou via
l’usage de d’un MDM
Virtual Private Network (VPN)
Windows Phone 8.1 introduit le support de VPN
Les connections peuvent être sollicitées par les applications (triggered)
Support de IKEv2, IPsec, et VPN SSL
Support des fournisseurs : Microsoft, Check Point, F5, Juniper, et SonicWall
L’usage de VPN SSL nécessite une application de l’éditeur
Possibilité d’utiliser des certificats provisionnés par l’entreprise, des Virtual Smart Cards ou des
usernames/passwords.
30. tech.days 2015#mstechdaysSESSION SEC203
L’IT au contrôle des données de l’Entreprise
Remote Business Data Removal (RBDR)
Nouveau avec Windows Phone 8.1
Technologie de suppression sélective des données et configuration d’Entreprise
Déclenchée localement dans le cas d’un terminal non “enrôlé” ou via l’IT avec l’usage d’un
MDM
Capacités additionnelles via MDM
Brute force PIN protection
Remote device wipe. (réinitialisation totale du terminal)
Remote lock
Remote ring
Remote password (PIN) reset
Policies afin d’éviter: un-enroll, software device reset, hardware device reset
31. tech.days 2015#mstechdaysSESSION SEC203
L’IT au contrôle des données de l’Entreprise
Applications et
données
personnelles
Les utilisateurs peuvent
enrôler leur terminal
BYOD dans un MDM afin
d’accéder aux données
d’Entreprise
Policies
Applications et
données
d’Entreprise
Management
avec Intune
ou MDM
tiers
Enrôlement
dans le MDM
32. tech.days 2015#mstechdaysSESSION SEC203
L’IT au contrôle des données de l’Entreprise
Applications et
données
personnelles
Le MDM fourni à l’IT le moyen
de contrôler les accès
utilisateurs aux données et
applications.
Les utilisateurs peuvent
enrôler leur terminal
BYOD dans un MDM afin
d’accéder aux données
d’Entreprise
Policies
Applications et
données
d’Entreprise
Management
avec Intune
ou MDM
tiers
Effacement initié
par le MDM
34. tech.days 2015#mstechdaysSESSION SEC203
Identités avec Windows Phone 8.1
Device Unlock
Accès au terminal sur un notion de “déverrouillage” plus que d’authentification utilisateur.
Ce modèle est adapté aux terminaux personnels
Le modèle d’authentification utilisateur est imposé par les terminaux multi sessions tels que
les PC et tablettes
Credential Locker
Espace sécurisé pour stocker les noms et mots de passe
Stocke et Protège les paramètresEmail et les données des comptes
Stocke et Protège les usernames et passwords utilisés dans IE
L’information peut se propager entre les terminaux
Windows pour un même compte
35. tech.days 2015#mstechdaysSESSION SEC203
Identités avec Windows Phone 8.1
Certificats
Utilisables pour l’authentification (VPN, Wi-Fi, S/MIME)
Importés manuellement ou via MDM (recommandé)
Peuvent être liés au terminal et protégés par le TPM
Two Factor Auth – Windows Azure Multi-Factor Authentication
Fourni 2FA pour les applications Cloud ou sur Site
L’utilisateur s’authentifie avec username/password puis…
… l’utilisateur fourni un second élément via appel téléphonique, SMS, app mobile
Two Factor Auth – Virtual Smartcards
Windows Phone 8.1 intègre le support de 2FA avec les Virtual Smartcards
Utilise le TPM du terminal pour protéger le certificat et simule un lecteur de carte et une carte
Simple à déployer, abordable et toujours disponible sur le terminal
Utilisable pour de la consultation sécurisée et du S/MIME
36. tech.days 2015#mstechdaysSESSION SEC203
Sécurité et intégrité ancrés dans les standards matériels
• Firmware et démarrage sécurisés avec l’UEFI
• Le TPM est le garant de l’intégrité du terminal grâce à ses fonctions cryptographique matériel
Protection de
l’information
Matériel de
confiance
Résistance aux
Malwares
Une longueur d’avance
• Intégrité de la plate-forme avec le Trusted Boot et les apps de confiance provenant du Store
• Sécurité sur Internet et protection d’hameçonnage utilisant IE et SmartScreen
Protection de l’information, dans tous ses états
• Le chiffrement persistant permet le partage sécurisé des informations (IRM)
• L’IT conserve le contrôle et la maitrise du terminal et des données d’Entreprise
Identité et
contrôle d’accès
Une plate-forme assumant sa différence, surtout en matière de sécurité
• Certificats pour accéder aux ressources (VPN, Wi-FI, S/MIME)
• 2FA intégré (Virtual Smartcards, Windows Azure MFA)
37. tech.days 2015#mstechdaysSESSION SEC203
• Windows Enterprise windows.com/enterprise &
windowsphone.com/business
Ressources associées
Windows Springboard microsoft.com/springboard
Microsoft Desktop Optimization Package (MDOP)
microsoft.com/mdop
Windows To Go microsoft.com/windows/wtg
Windows Phone Developer developer.windowsphone.com