• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
Windows Phone 8 et la sécurité
 

Windows Phone 8 et la sécurité

on

  • 595 views

 

Statistics

Views

Total Views
595
Views on SlideShare
595
Embed Views
0

Actions

Likes
0
Downloads
6
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment
  • Notation
  • Intro Serveurs / Entreprise / Reseaux / IT
  • L’OEM UEFI estune plate-forme applicative qui vapermettre de developer differentscompposantssécurisés.La production de chaque terminal estcontrôlé et chaque device est uniquePour la mise à jour, le terminal reboot via le secure boot versunebranchespéciale.En cas de souci, celapassedans le flashing mode qui est au sein du secure UEFI
  • Security for Windows Phone 7 Windows® Phone 7 security model - PDF
  • App Hub: create.msdn.com

Windows Phone 8 et la sécurité Windows Phone 8 et la sécurité Presentation Transcript

  • Donnez votre avis ! Depuis votre smartphone, sur : http://notes.mstechdays.frDe nombreux lots à gagner toutes les heures !!! Claviers, souris et jeux Microsoft… Merci de nous aider à améliorer les TechDayshttp://notes.mstechdays.fr
  • Windows Phone 8 Sécurité Thierry Picq Business Developement Manager - Innovation Microsoft FranceEntreprise / IT / Serveurs / Réseaux / Sécurité
  • Le marché Securité (incl VPN, …) Gestion configuration Piloté Entreprise Coût Apps LOB BYOD Documents et Email
  • Mobilité et sécurité: des enjeux clefs…http://www.indexel.net/actualites/securite-un-million-de-nouveaux- http://www.theregister.co.uk/2012/07/06/mobile_trojan_apple_appmalwares-attaqueront-android-en-2013-3741.html _store_shocker/
  • http://www.microsoft.com/france/mstechdays/programmes/parcours.aspx#SessionID=5350dcc7-4f79-459b-b16a-d743379b94c8
  • Modèle de sécurité Intégration des Services Privés / Cloud Modèle Modèle Applicatif Interfaces Architecture Logicielle Fondation Matériellehttp://www.microsoft.com/france/mstechdays/programmes/parcours.aspx#SessionID=5350dcc7-4f79-459b-b16a-d743379b94c8
  • En matière de sécurité… • Aucune application chargée via Marketplace n’a d’activité en arrière-plan (ajouts avec depuis WP7.5: multi-tâches contrôlé). - Plus difficile d’écrire un malware caché (mais aussi une application de management…) - Les seules activités • L’utilisateur dispose du contrôle. • Chaque application est isolée des autres (bac à sable) et dispose de privilèges réduits ainsi que de capacités utilisées explicitement (interdit de solliciter des capacités non déclarées).http://www.microsoft.com/france/mstechdays/programmes/parcours.aspx#SessionID=5350dcc7-4f79-459b-b16a-d743379b94c8
  • Finalement que manque-t’il à Windows Phone 7 ? • Pas de chiffrement des cartes de stockage (mais il n’y en a pas – mécanisme de verrouillage via paire de clefs 128 bits). • Pas de chiffrement du terminal dans son ensemble (mais alternatives via chiffrement applicatif) • Pas de synchronisation avec le PC en dehors des contenu média via Zune (Activesync PC / RAPI n’existe plus) • Pas d’IrDA • Pas de support des applications non signées (signature Marketplace obligatoire et pas de “side loading”). • Toute application « externe » est signée et déclare ses « capacités » de manière déterministe • Pas de “White list” / “Black list” applicative (seules les applications signées s’installent, et l’ouverture du MarketPlace privé permet de contrôler la diffusion d’applications entreprises). • Pas de mise à jour OTA (mais notification et usage de Zune PC) • Pas de multitâches (expérience utilisateur n’en souffre pas. Multi-tâches contrôlé avec WP 7.5), mais aucune application chargée via Marketplace n’a d’activité « cachée » • Un outil de management « Entreprise »???http://www.microsoft.com/france/mstechdays/programmes/parcours.aspx#SessionID=5350dcc7-4f79-459b-b16a-d743379b94c8
  • Agenda• Intégrité système• Sécurité de la plate-forme applicative• Protection des données• Contrôle d’accès• Mesures d’« assainissement »• Management en entreprise – Applications et terminaux
  • Objectifs de sécurité• Permettre une expérience utilisateur riche et contextuelle• Sécurité de l’utilisateur• Confiance des développeurs• Marketplace riche et de qualité• Conformité
  • Windows Phone 8• L’expérience utilisateur et l’utilisateur sont clefs ! – Si le terminal ne plait pas, l’utilisateur en choisira un autre – Le focus est donc l’utilisateur… – Heureusement…
  • Windows Phone 8 et Windows 8: les mêmes gènes !!!
  • Windows Phone 8Windows Phone 7.x Direct3D,Windows Phone XAudio2, MF, .NET Runtime WASAPI, WIN32, COM C#, VB C#, VB, C++ C++
  • Windows Phone 8 Developer Platform XAML Apps Direct3D Apps In-App XAML Maps Geolocation Sensors Direct3D Purchase HTML XML Threading Touch Speech XAudio2Vos apps Phone Features Push Camera Video Proximity Media Foundationà votre Calendar Wallet Contacts Core Types VoIP STL Multitasking Live Tiles Memory Async Enterprise CRTfaçon ! C# and VB C#, VB, and C++ C++ File system, Networking, Graphics, Media Core Operating System
  • Investissement dans les API du Windows Runtime Réseau Proximité Achats In-App Capteurs Localisation Système de fichiers Core app model Threading
  • Windows Phone 8 et Windows 8: les mêmes gènes … … et des possibilités partagées !!!• Un cœur partagé pour entre tout l’écosystème Windows – Kernel NT utilisé par Windows 8, Windows RT, Windows Phone 8, Windows 8 Embedded et Windows Server 2012 – Homogénéisation des expériences – Efficacité pour les développeurs – Diversité pour les constructeurs afin de se différencier.
  • Matériel de confiance…• Basé sur des spécifications standards et bien connues : processeur, mémoire, écran, etc.• Démarrage de confiance UEFI• TPM 2.0 pour la cryptographie• Se prémunir des attaques hardware
  • Secure boot Power On Windows Phone 8 OS Firmware Windows OEM UEFI boot boot Phone boot applications loaders manager Windows Phone 8 update OS Fournisseur SoC Boot to boot flashing OEM mode MSFThttp://www.uefi.org/specs/
  • Boot Loader de confiance (trusted)• Pendant la fabrication du terminal – Renseigne le condensé (hash) de la clef publique utilisée pour signer les boot loaders initiaux – « scelle » (au sens électronique: « fusibles ») ces informations et provisionne les données UEFI• Pas de contournement du secure boot pour l’utilisateur
  • Démarrage sécurisé UEFI• Tout est basé sur les Clefs…• Platform Key – PK – Une fois le PK en place, l’environnement UEFI est activé• BdD des signatures valides et invalides –DB/DBX – Contrôle le chargement des « images »• Le KEK (Key Exchange Key) gère les mises à jours de DB/DBX
  • Secure Boot • Le Secure Boot (SB) garantit l’intégrité du système dans sa totalité • L’implémentation du SB est réalisée par les fournisseurs de SoC (System on a Chip -Qualcomm) et les constructeurs (Nokia, HTC, etc.). – Deux phases: • Le SB de la plate-forme garantit l’intégrité des mécanismes pré-UEFI (Unified Extensible Firmware Interface) • UEFI sécurise le démarrage (boot) et garantit l’intégrité des applications OEM UEFI et du système • Secure Boot limite les risques d’installation de « malware » de bas niveau (type rootkit) sur les terminauxhttp://blogs.msdn.com/b/belux/archive/2013/02/05/windows-phone-8-security-deep-dive.aspx
  • Une réalité…http://winsupersite.com/windows-phone/calling-bs-windows-phone-8-handset-asks-installation-disc
  • Et les autres…• iOS – Matériel propriétaire (contrôlé) – Jailbreak…• Android – Besoin de rien…
  • Signature du Code• Tous les binaires de Windows Phone 8 doivent être signés par Microsoft pour pouvoir s’exécuter. – Diffère de WP7 ou seules les applications Microsoft et celles du Marketplace disposaient de signatures. – Les binaires OEM doivent être signés par Microsoft.
  • Rappel: modèle de sécurité Windows Phone 7 Centralisation des règles Triplet {Principal, Droit, Ressource} Le périmètre de la chambre est une frontière de sécurité 4 types de chambres, 3 fixes, une dynamique en function des capacités requises(LPC) Décrites dans le manifest applicatif Publiées sur le Marketplace Représentent les limites de sécurité sur le téléphone
  • Modèle de sécurité Windows Phone 8 Les services et la applications fonctionnent tous dans le modèle de moindre privilege (pas d’élévation en cas de souci…) WP8 dispose d’une liste de capacités plus riche que WP7
  • Internet Explorer 10• SmartScreen: filtre anti-hameçonnage – Utilise les données collectées par des 100aines de millions de PC pour bloquer les sites malicieux en temps réel• Accroissement de performances Javascript vs WP7.5• Accroissement du support HTML 5 vs WP7.5
  • A ce stade• Secure Boot activé• Modèle de sécurité cohérent avec des « capacités » étendues• Tous les binaires sont signés• IE10 bénéficie des technologies de Windows
  • Sécurité des données
  • Chiffrement du terminal• WP8 utilise les technologies de chiffrement de Windows – Secure Boot nécessaire – Disponible pour tous les terminaux et activé au premier démarrage par l’IT – L’intégralité du stockage interne est chiffré – Les cartes SD ne sont pas chiffrées • Et c’est logique (enfin explicable… :-)
  • Contrôle des accès au terminal et auxapplications • Exchange ActiveSync avec Exchange Server et Office 365 – Contrôle de l’accès à la messagerie et gestion des terminaux • Contrôle des applications et gestion des terminaux avec un Mobile Device Management (MDM) ie: SCCM 2012 et Windows Intune – Distribution d’applications et gestion des règles de sécurité
  • EAS AVEC OFFICE 365
  • Principe de sécurisation du déploiement des applications d’entreprise• Toutes les applications de l’entreprise sont signées avec le même certificat propre à l’entreprise.• Le certificat de l’entreprise est installé sur les téléphones de l’entreprise• Cela permet : • d’autoriser l’installation de manière sécurisée des applications sur un téléphone sans utiliser le store (exécution d’un XAP) à partir d’un serveur de l’entreprise (SharePoint), d’un Cloud privé, d’un mail ou d’une carte SD • Le fonctionnement du « Hub » et des applications de l’entreprise ainsi que la sécurisation de leur distribution.
  • Gestion des terminaux mobiles avec Windows Intune Intégré, simple et facile d’accès Le client d’inscription (réversible) au management d’Entreprise est intégré. Application des règles de sécurité et découverte des applications internes.
  • Applications d’Entreprise 1. L’entreprise s’enregistre auprès de l’App Hub 2. Téléchargement des outils 3. Microsoft indique à la CA la demande d’enregistrement 4. Traitement 5. CA verifie le traitement et génère un Certificat pour l’EntrepriseApp Hub: http://create.msdn.com
  • Les étapes !
  • « Ingestion » des apps Entreprise• Les applications d’entreprise ne sont pas soumises sur le Marketplace• L’inclusion des applications dans le catalogue d’entreprise est exclusivement sous le contrôle et la responsabilité de cette dernière – Qualité – Impact sur l’expérience globale• Les outils du Marketplace peuvent être utilisés pour évaluer les applications• Si une application utilise la localisation il est recommandé d’en informer l’utilisateur et d’obtenir son consentement explicite
  • Windows Intune: règles et reportingEAS Intune Intune + SCCM Et reporting    Simple password Server configured policy values    Alphanumeric password Query installed enterprise app    Minimum password length Device name    Minimum password complex characters Device ID   Password expiration OS platform type   Password history Firmware version    Device wipe threshold OS version    Inactivity timeout Device local time  IRM enabled Processor type    Remote device wipe Device model    Device encryption (new) Device manufacturer  Disable removable storage card (new) Device processor architecture   Remote update of business apps (new) Device language   Remote or local un-enroll (new)
  • WINDOWS INTUNE
  • Récapitulatif : managé / non managé Blog français Windows Phone (Jérôme Dakono): La production et le déploiement des applications d’entreprise sur Windows Phone http://blogs.microsoft.fr/windowsphone/la-production-et-le-deploiement-des-applications-dentreprise-sur-windows-phone.html*Exemple de Windows Intune / ** application Self Service Portal à télécharger et àIntune *Exemple de Windows certifier ** application Self Service Portal à télécharger et à certifier
  • « Assainissement »• Réinitialisation locale ou à distance – Initiée par l’utilisateur ou l’administrateur – Utilise EAS ou MDM• Windows Update – Uniquement OTA – Potentiellement à l’initiative de l’utilisateur• Révocation d’applications – Marketplace et applications d’entreprise
  • Management hétérogène et uniformisé Devices & Platforms Single admin console Windows Intune
  • Les MDM tiers Airwatch http://www.marketwatch.com/story/airwatch-to-provide-immediate-device-and- application-management-support-for-windows-phone-8r-2012-10-23 MobileIron http://www.mobileiron.com/en/company/press-room/press-releases/2012/366- mobileiron-supports-windows-phone-8-apps-and-devices- Symantec http://www.symantec.com/connect/blogs/symantec-provides-day-1-support- windows-phone-8-protect-mobile-enterprise ZenPrise http://www.zenprise.com/blog/zenprise-supports-new-enterprise-mobility-era Sybase Afaria http://www12.sap.com/corporate-en/press.epx?PressID=19903
  • Finalement que manque-t’il à Windows Phone 7 / 8? • Pas de chiffrement des cartes de stockage (mais il n’y en a pas – mécanisme de verrouillage via paire de clefs 128 bits). • Pas de chiffrement du terminal dans son ensemble (mais alternatives via chiffrement applicatif) • Pas de synchronisation avec le PC en dehors des contenu média via Zune (Activesync PC / RAPI n’existe plus) • Pas d’IrDA • Pas de support des applications non signées (signature Marketplace obligatoire et pas de “side loading”). • Toute application « externe » est signée et déclare ses « capacités » de manière déterministe • Pas de “White list” / “Black list” applicative (seules les applications signées s’installent, et l’ouverture du MarketPlace privé permet de contrôler la diffusion d’applications entreprises). • Pas de mise à jour OTA (mais notification et usage de Zune PC) • Pas de multitâches (expérience utilisateur n’en souffre pas. Multi-tâches contrôlé avec WP 7.5), mais aucune application chargée via Marketplace n’a d’activité « cachée » • Un outil de management « Entreprise »??? • Secure Boot • Signature de tout le code • Modèle de « sandboxing » • Chiffrement • Révocation d’applications (Store et Entreprise)
  • Ressources IT• Business Hub• http://windowsphone.com/businessBusiness Hu
  • Ressources IT• http://www.windowsphone.com/en-us/business/security
  • Ressources IT• Building Apps for Windows Phone 8• http://channel9.msdn.com/Series/Building-Apps-for-Windows- Phone-8-Jump-Start/Building-Apps-for-Windows-Phone-8- Jump-Start-01a-Introducing-Windows-Phone-8-Development- Part-1• Windows Phone for Business• http://www.windowsphone.com/business• Windows Phone for Developers• http://dev.windowsphone.com/en-us
  • Ressources IT• “Using Windows Intune for Direct Management of Mobile Devices” at http://technet.microsoft.com/en-us/library/jj733632.aspx• “Customizing the Windows Intune Company Portal” at http://technet.microsoft.com/en-us/library/jj662649.aspx• VPN WP Nokia https://expertcentre.nokia.com/en/articles/kbarticles/Pages/Nokia- VPN-resource-hub.aspx
  • Windows PhoneBack to Business !!!
  • Développeurs Pros de l’IT http://aka.ms/generation-app Formez-vous en ligne www.microsoftvirtualacademy.com http://aka.ms/evenements- developpeurs Retrouvez nos évènements http://aka.ms/itcamps-france Les accélérateurs Faites-vous accompagnerWindows Azure, Windows Phone, gratuitement Windows 8 Essayer gratuitement nos http://aka.ms/telechargements solutions IT La Dev’Team sur MSDN Retrouver nos experts L’IT Team sur TechNet http://aka.ms/devteam Microsoft http://aka.ms/itteam