Migrer de 2003 à 2012 R2, adopter HyperV ou Microsoft Azure : comment réalise...
Windows Phone 8 et la sécurité
1. Donnez votre avis !
Depuis votre smartphone, sur :
http://notes.mstechdays.fr
De nombreux lots à gagner toutes les heures !!!
Claviers, souris et jeux Microsoft…
Merci de nous aider à améliorer les TechDays
http://notes.mstechdays.fr
2. Windows Phone 8
Sécurité
Thierry Picq
Business Developement Manager - Innovation
Microsoft France
Entreprise / IT / Serveurs / Réseaux / Sécurité
3. Le marché
Securité (incl VPN, …)
Gestion configuration
Piloté Entreprise
Coût
Apps LOB
BYOD
Documents et Email
4. Mobilité et sécurité: des enjeux clefs…
http://www.indexel.net/actualites/securite-un-million-de-nouveaux- http://www.theregister.co.uk/2012/07/06/mobile_trojan_apple_app
malwares-attaqueront-android-en-2013-3741.html _store_shocker/
6. Modèle de sécurité
Intégration des
Services
Privés / Cloud
Modèle Modèle
Applicatif Interfaces
Architecture
Logicielle
Fondation
Matérielle
http://www.microsoft.com/france/mstechdays/programmes/parcours.aspx#SessionID=5350dcc7-4f79-459b-b16a-d743379b94c8
7. En matière de sécurité…
• Aucune application chargée via Marketplace n’a d’activité en
arrière-plan (ajouts avec depuis WP7.5: multi-tâches contrôlé).
- Plus difficile d’écrire un malware caché (mais aussi une application de management…)
- Les seules activités
• L’utilisateur dispose du contrôle.
• Chaque application est isolée des autres (bac à sable) et dispose
de privilèges réduits ainsi que de capacités utilisées
explicitement (interdit de solliciter des capacités non déclarées).
http://www.microsoft.com/france/mstechdays/programmes/parcours.aspx#SessionID=5350dcc7-4f79-459b-b16a-d743379b94c8
8. Finalement que manque-t’il à
Windows Phone 7 ?
• Pas de chiffrement des cartes de stockage (mais il n’y en a pas – mécanisme de verrouillage via paire
de clefs 128 bits).
• Pas de chiffrement du terminal dans son ensemble (mais alternatives via chiffrement applicatif)
• Pas de synchronisation avec le PC en dehors des contenu média via Zune (Activesync PC / RAPI
n’existe plus)
• Pas d’IrDA
• Pas de support des applications non signées (signature Marketplace obligatoire et pas de “side
loading”).
• Toute application « externe » est signée et déclare ses « capacités » de manière déterministe
• Pas de “White list” / “Black list” applicative (seules les applications signées s’installent, et l’ouverture du
MarketPlace privé permet de contrôler la diffusion d’applications entreprises).
• Pas de mise à jour OTA (mais notification et usage de Zune PC)
• Pas de multitâches (expérience utilisateur n’en souffre pas. Multi-tâches contrôlé avec WP 7.5), mais
aucune application chargée via Marketplace n’a d’activité « cachée »
• Un outil de management « Entreprise »???
http://www.microsoft.com/france/mstechdays/programmes/parcours.aspx#SessionID=5350dcc7-4f79-459b-b16a-d743379b94c8
9. Agenda
• Intégrité système
• Sécurité de la plate-forme applicative
• Protection des données
• Contrôle d’accès
• Mesures d’« assainissement »
• Management en entreprise
– Applications et terminaux
10. Objectifs de sécurité
• Permettre une expérience utilisateur riche
et contextuelle
• Sécurité de l’utilisateur
• Confiance des développeurs
• Marketplace riche et de qualité
• Conformité
11. Windows Phone 8
• L’expérience utilisateur et l’utilisateur sont
clefs !
– Si le terminal ne plait pas, l’utilisateur en choisira un
autre
– Le focus est donc l’utilisateur…
– Heureusement…
13. Windows Phone 8
Windows Phone 7.x
Direct3D,
Windows Phone XAudio2, MF,
.NET
Runtime WASAPI, WIN32,
COM
C#, VB
C#, VB, C++ C++
14. Windows Phone 8 Developer Platform
XAML Apps Direct3D Apps
In-App
XAML Maps Geolocation Sensors Direct3D
Purchase
HTML XML Threading Touch Speech XAudio2
Vos apps Phone
Features
Push Camera Video Proximity
Media
Foundation
à votre Calendar Wallet Contacts Core Types VoIP STL
Multitasking Live Tiles Memory Async Enterprise CRT
façon !
C# and VB C#, VB, and C++ C++
File system, Networking, Graphics, Media
Core Operating System
15. Investissement dans les API du Windows
Runtime
Réseau
Proximité
Achats In-App
Capteurs
Localisation
Système de fichiers
Core app model
Threading
16. Windows Phone 8 et Windows 8: les mêmes gènes …
… et des possibilités partagées !!!
• Un cœur partagé pour entre tout
l’écosystème Windows
– Kernel NT utilisé par Windows 8,
Windows RT, Windows Phone 8,
Windows 8 Embedded et Windows
Server 2012
– Homogénéisation des expériences
– Efficacité pour les développeurs
– Diversité pour les constructeurs afin
de se différencier.
17. Matériel de confiance…
• Basé sur des spécifications standards et bien
connues : processeur, mémoire, écran, etc.
• Démarrage de confiance UEFI
• TPM 2.0 pour la cryptographie
• Se prémunir des attaques hardware
18. Secure boot
Power On
Windows
Phone 8 OS
Firmware Windows
OEM UEFI boot
boot Phone boot
applications
loaders manager
Windows
Phone 8
update OS
Fournisseur SoC Boot to boot
flashing
OEM
mode
MSFT
http://www.uefi.org/specs/
19. Boot Loader de confiance (trusted)
• Pendant la fabrication du terminal
– Renseigne le condensé (hash) de la clef publique
utilisée pour signer les boot loaders initiaux
– « scelle » (au sens électronique: « fusibles ») ces informations et
provisionne les données UEFI
• Pas de contournement du secure boot pour
l’utilisateur
20. Démarrage sécurisé UEFI
• Tout est basé sur les Clefs…
• Platform Key – PK
– Une fois le PK en place, l’environnement UEFI est activé
• BdD des signatures valides et invalides –DB/DBX
– Contrôle le chargement des « images »
• Le KEK (Key Exchange Key) gère les mises à jours
de DB/DBX
21. Secure Boot
• Le Secure Boot (SB) garantit l’intégrité du système dans sa
totalité
• L’implémentation du SB est réalisée par les fournisseurs de SoC
(System on a Chip -Qualcomm) et les constructeurs (Nokia,
HTC, etc.).
– Deux phases:
• Le SB de la plate-forme garantit l’intégrité des mécanismes pré-UEFI
(Unified Extensible Firmware Interface)
• UEFI sécurise le démarrage (boot) et garantit l’intégrité des applications
OEM UEFI et du système
• Secure Boot limite les risques d’installation de « malware » de
bas niveau (type rootkit) sur les terminaux
http://blogs.msdn.com/b/belux/archive/2013/02/05/windows-phone-8-security-deep-dive.aspx
23. Et les autres…
• iOS
– Matériel propriétaire (contrôlé)
– Jailbreak…
• Android
– Besoin de rien…
24. Signature du Code
• Tous les binaires de Windows Phone 8
doivent être signés par Microsoft pour
pouvoir s’exécuter.
– Diffère de WP7 ou seules les applications Microsoft et
celles du Marketplace disposaient de signatures.
– Les binaires OEM doivent être signés par Microsoft.
25. Rappel: modèle de sécurité Windows Phone 7
Centralisation des règles
Triplet {Principal, Droit, Ressource}
Le périmètre de la chambre est une frontière de
sécurité
4 types de chambres, 3 fixes, une dynamique en
function des capacités requises(LPC)
Décrites dans le manifest applicatif
Publiées sur le Marketplace
Représentent les limites de sécurité sur le
téléphone
26. Modèle de sécurité Windows Phone 8
Les services et la applications fonctionnent tous dans le
modèle de moindre privilege (pas d’élévation en cas de
souci…)
WP8 dispose d’une liste de capacités plus riche que WP7
27. Internet Explorer 10
• SmartScreen: filtre anti-hameçonnage
– Utilise les données collectées par des
100aines de millions de PC pour bloquer
les sites malicieux en temps réel
• Accroissement de performances
Javascript vs WP7.5
• Accroissement du support HTML 5 vs
WP7.5
28. A ce stade
• Secure Boot activé
• Modèle de sécurité cohérent avec des
« capacités » étendues
• Tous les binaires sont signés
• IE10 bénéficie des technologies de Windows
30. Chiffrement du terminal
• WP8 utilise les technologies de chiffrement
de Windows
– Secure Boot nécessaire
– Disponible pour tous les terminaux et activé au premier
démarrage par l’IT
– L’intégralité du stockage interne est chiffré
– Les cartes SD ne sont pas chiffrées
• Et c’est logique (enfin explicable… :-)
31.
32. Contrôle des accès au terminal et aux
applications
• Exchange ActiveSync avec Exchange Server
et Office 365
– Contrôle de l’accès à la messagerie et gestion des
terminaux
• Contrôle des applications et gestion des
terminaux avec un Mobile Device
Management (MDM) ie: SCCM 2012 et Windows
Intune
– Distribution d’applications et gestion des règles de
sécurité
34. Principe de sécurisation du déploiement des
applications d’entreprise
• Toutes les applications de l’entreprise sont signées
avec le même certificat propre à l’entreprise.
• Le certificat de l’entreprise est installé sur les
téléphones de l’entreprise
• Cela permet :
• d’autoriser l’installation de manière sécurisée des
applications sur un téléphone sans utiliser le
store (exécution d’un XAP) à partir d’un serveur
de l’entreprise (SharePoint), d’un Cloud privé,
d’un mail ou d’une carte SD
• Le fonctionnement du « Hub » et des
applications de l’entreprise ainsi que la
sécurisation de leur distribution.
35. Gestion des terminaux mobiles avec
Windows Intune
Intégré, simple et facile
d’accès
Le client d’inscription (réversible) au management
d’Entreprise est intégré.
Application des règles de sécurité et découverte des
applications internes.
36. Applications d’Entreprise
1. L’entreprise s’enregistre auprès de l’App Hub
2. Téléchargement des outils
3. Microsoft indique à la CA la demande d’enregistrement
4. Traitement
5. CA verifie le traitement et génère un Certificat pour l’Entreprise
App Hub: http://create.msdn.com
38. « Ingestion » des apps Entreprise
• Les applications d’entreprise ne sont pas soumises sur le
Marketplace
• L’inclusion des applications dans le catalogue d’entreprise est
exclusivement sous le contrôle et la responsabilité de cette
dernière
– Qualité
– Impact sur l’expérience globale
• Les outils du Marketplace peuvent être utilisés pour évaluer les
applications
• Si une application utilise la localisation il est recommandé d’en
informer l’utilisateur et d’obtenir son consentement explicite
39. Windows Intune: règles et reporting
EAS Intune Intune + SCCM Et reporting
Simple password Server configured policy values
Alphanumeric password Query installed enterprise app
Minimum password length Device name
Minimum password complex characters Device ID
Password expiration OS platform type
Password history Firmware version
Device wipe threshold OS version
Inactivity timeout Device local time
IRM enabled Processor type
Remote device wipe Device model
Device encryption (new) Device manufacturer
Disable removable storage card (new) Device processor architecture
Remote update of business apps (new) Device language
Remote or local un-enroll (new)
41. Récapitulatif : managé / non managé
Blog français Windows Phone (Jérôme Dakono): La production et le déploiement des applications d’entreprise sur Windows Phone
http://blogs.microsoft.fr/windowsphone/la-production-et-le-deploiement-des-applications-dentreprise-sur-windows-phone.html
*Exemple de Windows Intune / ** application Self Service Portal à télécharger et àIntune
*Exemple de Windows certifier
** application Self Service Portal à télécharger et à certifier
42. « Assainissement »
• Réinitialisation locale ou à
distance
– Initiée par l’utilisateur ou l’administrateur
– Utilise EAS ou MDM
• Windows Update
– Uniquement OTA
– Potentiellement à l’initiative de l’utilisateur
• Révocation d’applications
– Marketplace et applications d’entreprise
45. Finalement que manque-t’il à Windows Phone 7 / 8
?
• Pas de chiffrement des cartes de stockage (mais il n’y en a pas – mécanisme de verrouillage via paire de clefs 128 bits).
• Pas de chiffrement du terminal dans son ensemble (mais alternatives via chiffrement applicatif)
• Pas de synchronisation avec le PC en dehors des contenu média via Zune (Activesync PC / RAPI n’existe plus)
• Pas d’IrDA
• Pas de support des applications non signées (signature Marketplace obligatoire et pas de “side loading”).
• Toute application « externe » est signée et déclare ses « capacités » de manière déterministe
• Pas de “White list” / “Black list” applicative (seules les applications signées s’installent, et l’ouverture du MarketPlace privé
permet de contrôler la diffusion d’applications entreprises).
• Pas de mise à jour OTA (mais notification et usage de Zune PC)
• Pas de multitâches (expérience utilisateur n’en souffre pas. Multi-tâches contrôlé avec WP 7.5), mais aucune application
chargée via Marketplace n’a d’activité « cachée »
• Un outil de management « Entreprise »???
• Secure Boot
• Signature de tout le code
• Modèle de « sandboxing »
• Chiffrement
• Révocation d’applications (Store et Entreprise)
46. Ressources IT
• Business Hub
• http://windowsphone.com/business
Business Hu
47. Ressources IT
• http://www.windowsphone.com/en-us/business/security
48. Ressources IT
• Building Apps for Windows Phone 8
• http://channel9.msdn.com/Series/Building-Apps-for-Windows-
Phone-8-Jump-Start/Building-Apps-for-Windows-Phone-8-
Jump-Start-01a-Introducing-Windows-Phone-8-Development-
Part-1
• Windows Phone for Business
• http://www.windowsphone.com/business
• Windows Phone for Developers
• http://dev.windowsphone.com/en-us
49. Ressources IT
• “Using Windows Intune for Direct Management of Mobile Devices” at
http://technet.microsoft.com/en-us/library/jj733632.aspx
• “Customizing the Windows Intune Company Portal” at
http://technet.microsoft.com/en-us/library/jj662649.aspx
• VPN WP Nokia
https://expertcentre.nokia.com/en/articles/kbarticles/Pages/Nokia-
VPN-resource-hub.aspx
51. Développeurs Pros de l’IT
http://aka.ms/generation-app Formez-vous en ligne www.microsoftvirtualacademy.com
http://aka.ms/evenements-
developpeurs Retrouvez nos évènements http://aka.ms/itcamps-france
Les accélérateurs
Faites-vous accompagner
Windows Azure, Windows Phone,
gratuitement
Windows 8
Essayer gratuitement nos http://aka.ms/telechargements
solutions IT
La Dev’Team sur MSDN Retrouver nos experts L’IT Team sur TechNet
http://aka.ms/devteam Microsoft http://aka.ms/itteam
Notas do Editor
Notation
Intro Serveurs / Entreprise / Reseaux / IT
L’OEM UEFI estune plate-forme applicative qui vapermettre de developer differentscompposantssécurisés.La production de chaque terminal estcontrôlé et chaque device est uniquePour la mise à jour, le terminal reboot via le secure boot versunebranchespéciale.En cas de souci, celapassedans le flashing mode qui est au sein du secure UEFI
Security for Windows Phone 7 Windows® Phone 7 security model - PDF