Windows Phone 8 et la sécurité
-
Upload
microsoft-technet-france -
Category
Technology
-
view
192 -
download
3
description
Transcript of Windows Phone 8 et la sécurité
![Page 1: Windows Phone 8 et la sécurité](https://reader035.fdocuments.us/reader035/viewer/2022062405/5586eefad8b42a2f468b4684/html5/thumbnails/1.jpg)
![Page 2: Windows Phone 8 et la sécurité](https://reader035.fdocuments.us/reader035/viewer/2022062405/5586eefad8b42a2f468b4684/html5/thumbnails/2.jpg)
Sécurité
Windows Phone 8Sécurité
Jugoslav Stevic – PFE SécuritéJean-Yves Grasset – Chief Security Advisor– CISSP/CCSK
Thierry Picq - Business Developement Manager - Innovation
Microsoft France
![Page 3: Windows Phone 8 et la sécurité](https://reader035.fdocuments.us/reader035/viewer/2022062405/5586eefad8b42a2f468b4684/html5/thumbnails/3.jpg)
#mstechdaysSécurité
Depuis votre smartphone sur :http://notes.mstechdays.fr
De nombreux lots à gagner toute les heures !!!Claviers, souris et jeux Microsoft…
Merci de nous aider à améliorer les Techdays !
Donnez votre avis !
![Page 4: Windows Phone 8 et la sécurité](https://reader035.fdocuments.us/reader035/viewer/2022062405/5586eefad8b42a2f468b4684/html5/thumbnails/4.jpg)
#mstechdaysSécurité
http://www.kaspersky.co.uk/internet-security-center/threats/mobile
![Page 5: Windows Phone 8 et la sécurité](https://reader035.fdocuments.us/reader035/viewer/2022062405/5586eefad8b42a2f468b4684/html5/thumbnails/5.jpg)
Sécurité#mstechdays
http://www.cisco.com/web/offers/lp/2014-annual-security-report/index.html
![Page 6: Windows Phone 8 et la sécurité](https://reader035.fdocuments.us/reader035/viewer/2022062405/5586eefad8b42a2f468b4684/html5/thumbnails/6.jpg)
#mstechdaysSécurité
iOS aussi…
http://blog.mktlines.com/starbucks-will-fix-iphone-app-currently-threat-user%E2%80%99s-security-4264/
Entre 2007 et 2013, 238 vulnérabilités ont été reportées sur iOShttp://www.cvedetails.com/ La majorité de ces failles permettait l’exécution de code malicieuxJusqu’ici une seule vulnérabilité reportée pour Windows Phone
iOS
![Page 7: Windows Phone 8 et la sécurité](https://reader035.fdocuments.us/reader035/viewer/2022062405/5586eefad8b42a2f468b4684/html5/thumbnails/7.jpg)
#mstechdaysSécurité
https://www.enisa.europa.eu/activities/Resilience-and-CIIP/critical-applications/smartphone-security-1/top-ten-risks
![Page 8: Windows Phone 8 et la sécurité](https://reader035.fdocuments.us/reader035/viewer/2022062405/5586eefad8b42a2f468b4684/html5/thumbnails/8.jpg)
Sécurité#mstechdays
http://www.microsoft.com/france/mstechDays/programmes/2013/fiche-session.aspx?ID=be540b8f-68cf-4885-9b5c-393b59cfebd9
Techdays 2013
![Page 9: Windows Phone 8 et la sécurité](https://reader035.fdocuments.us/reader035/viewer/2022062405/5586eefad8b42a2f468b4684/html5/thumbnails/9.jpg)
#mstechdaysSécurité
• Intégrité système• Sécurité de la plate-forme applicative• Protection des données• Contrôle d’accès• Mesures d’« assainissement »• Management en entreprise
– Applications et terminaux
Agenda
![Page 10: Windows Phone 8 et la sécurité](https://reader035.fdocuments.us/reader035/viewer/2022062405/5586eefad8b42a2f468b4684/html5/thumbnails/10.jpg)
#mstechdaysSécurité
• Expérience utilisateur riche et contextuelle• Sécurité de l’utilisateur
Objectifs de sécurité
• Confiance des développeurs
• Store riche et de qualité
• Conformité
![Page 11: Windows Phone 8 et la sécurité](https://reader035.fdocuments.us/reader035/viewer/2022062405/5586eefad8b42a2f468b4684/html5/thumbnails/11.jpg)
#mstechdaysSécurité
• Un cœur partagé pour entre tout l’écosystème Windows– Kernel NT utilisé par Windows 8,
Windows RT, Windows Phone 8, Windows 8 Embedded et Windows Server 2012
– Homogénéisation des expériences– Efficacité pour les développeurs– Diversité pour les constructeurs afin
de se différencier
Windows Phone 8 et Windows 8: les mêmes gènes …
… et des possibilités partagées !!!
![Page 12: Windows Phone 8 et la sécurité](https://reader035.fdocuments.us/reader035/viewer/2022062405/5586eefad8b42a2f468b4684/html5/thumbnails/12.jpg)
#mstechdaysSécurité
• Basé sur des spécifications standards et bien connues : processeur, mémoire, écran, etc.
• Démarrage de confiance UEFI• TPM 2.0 pour la cryptographie• Objectif : se prémunir des
attaques hardware
Matériel de confiance…
UEFI : Unified Extensible Firmware Interface ForumTPM : Trusted Platform Module
![Page 13: Windows Phone 8 et la sécurité](https://reader035.fdocuments.us/reader035/viewer/2022062405/5586eefad8b42a2f468b4684/html5/thumbnails/13.jpg)
#mstechdaysSécurité
Processus de démarrage de confiance
Secure UEFI
OEM UEFI application
s
Windows Phone boot manager
Power On
Windows Phone 8 OS
boot
Windows Phone 8
update OS bootBoot to
flashing mode
SoC Vendor
OEM
Microsoft
http://www.uefi.org/specifications/
Firmware boot loaders
![Page 14: Windows Phone 8 et la sécurité](https://reader035.fdocuments.us/reader035/viewer/2022062405/5586eefad8b42a2f468b4684/html5/thumbnails/14.jpg)
#mstechdaysSécurité
Une réalité…
http://winsupersite.com/windows-phone/calling-bs-windows-phone-8-handset-asks-installation-disc
![Page 15: Windows Phone 8 et la sécurité](https://reader035.fdocuments.us/reader035/viewer/2022062405/5586eefad8b42a2f468b4684/html5/thumbnails/15.jpg)
#mstechdaysSécurité
• Pendant la fabrication du terminal, l’OEM– Renseigne le condensé (hash) de la clé publique utilisée
pour signer les boot loaders initiaux– « scelle » (au sens électronique: « fusibles ») ces
informations et provisionne les données UEFI
• Chaque appareil possède sa propre clé de chiffrement
• Pas de contournement du secure boot pour l’utilisateur
Boot Loader de confiance
![Page 16: Windows Phone 8 et la sécurité](https://reader035.fdocuments.us/reader035/viewer/2022062405/5586eefad8b42a2f468b4684/html5/thumbnails/16.jpg)
#mstechdaysSécurité
• Tout est basé sur les clés…• Platform Key – PK
– Une fois le PK en place, l’environnement UEFI est activé
• BdD des signatures valides et invalides –DB/DBX– Contrôle le chargement des « images »
• Le KEK (Key Exchange Key) gère les mises à jour de DB/DBX
Démarrage sécurisé UEFI
![Page 17: Windows Phone 8 et la sécurité](https://reader035.fdocuments.us/reader035/viewer/2022062405/5586eefad8b42a2f468b4684/html5/thumbnails/17.jpg)
#mstechdaysSécurité
• Le Secure Boot (SB) garantit l’intégrité du système dans sa totalité
• Implémentation réalisée par– les fournisseurs de SoC (System on a Chip -Qualcomm)– les constructeurs (Nokia, HTC, etc.).
• Deux phases: – Le SB de la plate-forme garantit l’intégrité des mécanismes pré-UEFI– UEFI sécurise le démarrage et garantit l’intégrité des applications
OEM UEFI et du système
• Secure Boot limite les risques d’installation de « malware » de bas niveau (type rootkit)
http://blogs.msdn.com/b/belux/archive/2013/02/05/windows-phone-8-security-deep-dive.aspx
Secure Boot
![Page 18: Windows Phone 8 et la sécurité](https://reader035.fdocuments.us/reader035/viewer/2022062405/5586eefad8b42a2f468b4684/html5/thumbnails/18.jpg)
#mstechdaysSécurité
• iOS– Matériel
propriétaire (contrôlé)
– Jailbreak…
• Android– Besoin de rien…
Et les autres…
Barcelone 2013
![Page 19: Windows Phone 8 et la sécurité](https://reader035.fdocuments.us/reader035/viewer/2022062405/5586eefad8b42a2f468b4684/html5/thumbnails/19.jpg)
#mstechdaysSécurité
• Tous les binaires de Windows Phone 8 doivent être signés par Microsoft pour pouvoir s’exécuter– Diffère de WP7 ou seules les applications
Microsoft et celles du Marketplace disposaient de signatures.
– Les binaires OEM doivent être signés par Microsoft.
Signature du Code
![Page 20: Windows Phone 8 et la sécurité](https://reader035.fdocuments.us/reader035/viewer/2022062405/5586eefad8b42a2f468b4684/html5/thumbnails/20.jpg)
#mstechdaysSécurité
Modèle de sécurité Windows Phone 8
Least Privilege Chamber (LPC)
Trusted Computing Base
(TCB)
DynamicPermissions
(LPC)
Trusted Computing Base
Least Privilege Chamber• Les services et les applications
fonctionnent tous dans le modèle de moindre privilège (pas d’élévation en cas de souci…)
• WP8 dispose d’une liste de capacités définies par un manifest (WMAppManifest.xml) et vérifiées lors de la certification du WP Store.msdn.microsoft.com/en-us/library/windowsphone/develop/jj206936(v=vs.105).aspx
• Kernel et drivers en mode noyau (Kernel)
Sandboxing• Système de fichier “caché”, stockage
isolé
X
Chambre
App A
Chambre
App B
Système de fichier local pour App A
Système de fichier local pour App B
X
URI, fichiers
![Page 21: Windows Phone 8 et la sécurité](https://reader035.fdocuments.us/reader035/viewer/2022062405/5586eefad8b42a2f468b4684/html5/thumbnails/21.jpg)
#mstechdaysSécurité
• SmartScreen: filtre anti-hameçonnage– Utilise les données collectées
par des 100aines de millions de PC pour bloquer les sites malicieux en temps réel
• Un des navigateurs HTML5 le plus performant
• Isolé dans une “chambre” (sandbox) sans plug-in
Internet Explorer 10
![Page 22: Windows Phone 8 et la sécurité](https://reader035.fdocuments.us/reader035/viewer/2022062405/5586eefad8b42a2f468b4684/html5/thumbnails/22.jpg)
#mstechdaysSécurité
• Secure Boot activé• Modèle de sécurité cohérent avec des
« capacités » étendues• Tous les binaires sont signés• IE10 bénéficie des technologies de
Windows
A ce stade
![Page 23: Windows Phone 8 et la sécurité](https://reader035.fdocuments.us/reader035/viewer/2022062405/5586eefad8b42a2f468b4684/html5/thumbnails/23.jpg)
Sécurité#mstechdays
SÉCURITÉ DES DONNÉES
![Page 24: Windows Phone 8 et la sécurité](https://reader035.fdocuments.us/reader035/viewer/2022062405/5586eefad8b42a2f468b4684/html5/thumbnails/24.jpg)
#mstechdaysSécurité
• WP8 utilise les technologies de chiffrement de Windows– Secure Boot nécessaire– Disponible pour tous les terminaux et activé au
premier démarrage par l’IT– L’intégralité du stockage interne est chiffré (AES
128)– Les cartes SD ne sont pas chiffrées• Et c’est logique (enfin explicable… :-)
Chiffrement du terminal
![Page 25: Windows Phone 8 et la sécurité](https://reader035.fdocuments.us/reader035/viewer/2022062405/5586eefad8b42a2f468b4684/html5/thumbnails/25.jpg)
#mstechdaysSécurité
• Contribue au respect de la propriété intellectuelle
• Protège les emails et les documents d’une diffusion illicite
• Exchange server et Sharepoint
Gestion des droits numériques (IRM)
![Page 26: Windows Phone 8 et la sécurité](https://reader035.fdocuments.us/reader035/viewer/2022062405/5586eefad8b42a2f468b4684/html5/thumbnails/26.jpg)
#mstechdaysSécurité
• Exchange ActiveSync avec Exchange Server et Office 365 – Contrôle de l’accès à la messagerie et gestion des terminaux
• Contrôle des applications et gestion des terminaux avec un Mobile Device Management (MDM) ie: SCCM 2012 et Windows Intune– Distribution d’applications et gestion des règles de sécurité
Contrôle des accès au terminal et aux applications
![Page 27: Windows Phone 8 et la sécurité](https://reader035.fdocuments.us/reader035/viewer/2022062405/5586eefad8b42a2f468b4684/html5/thumbnails/27.jpg)
démo
Design/UX/UI#mstechdays
Sécurité
SMARTSCREENEAS AVEC OFFICE 365
![Page 28: Windows Phone 8 et la sécurité](https://reader035.fdocuments.us/reader035/viewer/2022062405/5586eefad8b42a2f468b4684/html5/thumbnails/28.jpg)
Sécurité#mstechdays
GESTION DES APPAREILSDÉPLOIEMENT DES APPLICATIONS
![Page 29: Windows Phone 8 et la sécurité](https://reader035.fdocuments.us/reader035/viewer/2022062405/5586eefad8b42a2f468b4684/html5/thumbnails/29.jpg)
#mstechdaysSécurité
• Toutes les applications de l’entreprise sont signées avec le même certificat propre à l’entreprise.
• Le certificat de l’entreprise est installé sur les téléphones de l’entreprise– Cela permet :
• d’autoriser l’installation de manière sécurisée des applications sur un téléphone sans utiliser le store (exécution d’un XAP) à partir d’un serveur de l’entreprise (SharePoint), d’un Cloud privé, d’un mail ou d’une carte SD
• Le fonctionnement du « Hub » et des applications de l’entreprise ainsi que la sécurisation de leur distribution.
Principe de sécurisation du déploiement des applications d’entreprise
![Page 30: Windows Phone 8 et la sécurité](https://reader035.fdocuments.us/reader035/viewer/2022062405/5586eefad8b42a2f468b4684/html5/thumbnails/30.jpg)
#mstechdaysSécurité
• App Hub: http://create.msdn.com
Applications d’Entreprise
2. Outils Signature
3. App Catalog
1. Enregistrement
1. Développer une App2. Packager et signer
1.Enregistrement Terminal
2. Accès apps
4. Créer un Token
3. Cert. et ID entreprise
Enregistrement de l‘IT1. L’entreprise s’enregistre auprès de l’App Hub2. Téléchargement des outils3. Microsoft indique à la CA la demande d’enregistrement4. Traitement5. CA vérifie le traitement et génère un Certificat pour
l’Entreprise
Organisation ITApp Hub Windows Phone
![Page 31: Windows Phone 8 et la sécurité](https://reader035.fdocuments.us/reader035/viewer/2022062405/5586eefad8b42a2f468b4684/html5/thumbnails/31.jpg)
#mstechdaysSécurité
Les étapes !
Déploiement et management
L’utilisateur s’enrôle avec un email
Installation des applications à partir d’URL
A) Déploiement “managé” (avec un MDM)
Production des applications
B) Déploiement non « managé » (sans MDM)
Installation du hub d’entreprise(optionnel)
Déploiement et management avec Windows Intune
Enrôlement de l’utilisateur
Installation des applications via le portail “Self Service”
Désenrôlement de l’utilisateur
Management avec Windows Intune
1.Inscription sur le Dev Center (99$/an)
2. Achat du certificat (Symantec , 299$/an)
3. Dev ou achat des applications
4. Préparation des applications
(Cet exemple est basé sur Windows Intune, les étapes sont similaires avec un MDM tierce)
![Page 32: Windows Phone 8 et la sécurité](https://reader035.fdocuments.us/reader035/viewer/2022062405/5586eefad8b42a2f468b4684/html5/thumbnails/32.jpg)
#mstechdaysSécurité
• Les applications d’entreprise ne sont pas soumises sur le Store
• L’inclusion des applications dans le catalogue d’entreprise est exclusivement sous le contrôle et la responsabilité de cette dernière– Qualité– Impact sur l’expérience globale
• Les outils du Store peuvent être utilisés pour évaluer les applications
• Si une application utilise la localisation il est recommandé d’en informer l’utilisateur et d’obtenir son consentement explicite
« Ingestion » des apps Entreprise
![Page 33: Windows Phone 8 et la sécurité](https://reader035.fdocuments.us/reader035/viewer/2022062405/5586eefad8b42a2f468b4684/html5/thumbnails/33.jpg)
#mstechdaysSécurité
Gestion des mobiles avec Windows Intune
Intégré, simple et facile d’accès
• Le client d’inscription (réversible) au management d’Entreprise est intégré.
• Application des règles de sécurité et découverte des applications internes.
![Page 34: Windows Phone 8 et la sécurité](https://reader035.fdocuments.us/reader035/viewer/2022062405/5586eefad8b42a2f468b4684/html5/thumbnails/34.jpg)
#mstechdaysSécurité
Simple passwordAlphanumeric passwordMinimum password lengthMinimum password complex charactersPassword expirationPassword historyDevice wipe thresholdInactivity timeoutIRM enabledRemote device wipeDevice encryption (new)Disable removable storage card (new) Remote update of business apps (new)Remote or local un-enroll (new)
EASServer configured policy valuesQuery installed enterprise app Device name Device IDOS platform typeFirmware versionOS versionDevice local timeProcessor typeDevice modelDevice manufacturerDevice processor architectureDevice language
Intune Et reporting
Windows Intune: règles et reporting
Intune + SCCM
![Page 35: Windows Phone 8 et la sécurité](https://reader035.fdocuments.us/reader035/viewer/2022062405/5586eefad8b42a2f468b4684/html5/thumbnails/35.jpg)
#mstechdaysSécurité
• Réinitialisation locale ou à distance– Initiée par l’utilisateur ou l’administrateur– Utilise EAS ou MDM
• Windows Update– Uniquement OTA– Potentiellement à l’initiative de l’utilisateur
• Révocation d’applications– Store et applications d’entreprise
« Assainissement »
![Page 36: Windows Phone 8 et la sécurité](https://reader035.fdocuments.us/reader035/viewer/2022062405/5586eefad8b42a2f468b4684/html5/thumbnails/36.jpg)
#mstechdaysSécurité
Enterprise Feature Pack
Cœur et sécurité partagés
Expérience homogène pour tous les appareils
Sous contrôle de l’IT
Gestion complète du cycle de vie des apps
Productivité depuis n’importe où• Mise à jour gratuite (1er semestre
2014)• S/MIME pour la signature et le
chiffrement des emails• VPN auto-déclenché• Wi-Fi entreprise avec EAP-TLS• Politiques MDM avancées• Gestion des certificats pour la
demande, le renouvellement et la révocation des certificats pour l’authentification utilisateur
• Extension du support de 18 à 36 mois
![Page 37: Windows Phone 8 et la sécurité](https://reader035.fdocuments.us/reader035/viewer/2022062405/5586eefad8b42a2f468b4684/html5/thumbnails/37.jpg)
#mstechdaysSécurité
Airwatch
http://www.marketwatch.com/story/airwatch-to-provide-immediate-device-and-application-management-support-for-windows-phone-8r-2012-10-23
MobileIron
http://www.mobileiron.com/en/company/press-room/press-releases/2012/366-mobileiron-supports-windows-phone-8-apps-and-devices-
Symantec
http://www.symantec.com/connect/blogs/symantec-provides-day-1-support-windows-phone-8-protect-mobile-enterprise
ZenPrise
http://www.zenprise.com/blog/zenprise-supports-new-enterprise-mobility-era
Sybase Afaria
http://www12.sap.com/corporate-en/press.epx?PressID=19903
Les MDM tiers
![Page 38: Windows Phone 8 et la sécurité](https://reader035.fdocuments.us/reader035/viewer/2022062405/5586eefad8b42a2f468b4684/html5/thumbnails/38.jpg)
#mstechdaysSécurité
Windows Phone 8 face aux « Dix risques majeurs (Enisa) »
![Page 39: Windows Phone 8 et la sécurité](https://reader035.fdocuments.us/reader035/viewer/2022062405/5586eefad8b42a2f468b4684/html5/thumbnails/39.jpg)
#mstechdaysSécurité
Windows Phone pour l'entrepriseMercredi 12 février : 15h15-16h00 http://www.microsoft.com/france/mstechdays/programmes/2014/fiche-session.aspx?ID=cc05d911-f857-4981-89ce-93ecec15e83d#sYSDTB48tLvABxeH.99
Les autres sessions IT & Windows Phone
Protéger vos données dans un contexte BYOD/Office 365 avec le nouveau service Microsoft RMSMercredi 12 février : 15h15-16h00http://www.microsoft.com/france/mstechdays/programmes/2014/fiche-session.aspx?ID=f3fdf034-7753-4d31-b9e9-1f292a948fa2#uyLLfm5ML8sxmXKU.99PCIT: Comment gérer les appareils
mobiles avec System Center 2012 R2 Configuration Manager et Intune?Mercredi 12 février : 12h15-13h00 http://www.microsoft.com/france/mstechdays/programmes/2014/fiche-session.aspx?ID=43a09d9e-f6b2-4330-9521-8b4aa0775b33#EbhgT4xFFQeuUXEu.99
![Page 40: Windows Phone 8 et la sécurité](https://reader035.fdocuments.us/reader035/viewer/2022062405/5586eefad8b42a2f468b4684/html5/thumbnails/40.jpg)
#mstechdaysSécurité
http://www.windowsphone.com/fr-FR/business/for-business
Ressources IT
![Page 41: Windows Phone 8 et la sécurité](https://reader035.fdocuments.us/reader035/viewer/2022062405/5586eefad8b42a2f468b4684/html5/thumbnails/41.jpg)
#mstechdaysSécurité
Ressources IThttp://www.windowsphone.com/en-us/business/security
![Page 42: Windows Phone 8 et la sécurité](https://reader035.fdocuments.us/reader035/viewer/2022062405/5586eefad8b42a2f468b4684/html5/thumbnails/42.jpg)
#mstechdaysSécurité
• “Using Windows Intune for Direct Management of Mobile Devices” at http://technet.microsoft.com/en-us/library/jj733632.aspx
• “Customizing the Windows Intune Company Portal” at http://technet.microsoft.com/en-us/library/jj662649.aspx
• VPN WP Nokiahttps://expertcentre.nokia.com/en/articles/kbarticles/Pages/Nokia-VPN-resource-hub.aspx
• Crypto ++ : manipuler les algorithmes de chiffrement via vos applicationshttp://developer.nokia.com/community/wiki/Using_Crypto%2B%2B_library_with_Windows_Phone_8
Ressources IT
![Page 43: Windows Phone 8 et la sécurité](https://reader035.fdocuments.us/reader035/viewer/2022062405/5586eefad8b42a2f468b4684/html5/thumbnails/43.jpg)
© 2014 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
Digital is business