windows phone 8 et la sécurité

Donnez votre avis !Depuis votre smartphone, sur : http://notes.mstechdays.fr

De nombreux lots à gagner toutes les heures !!!

Claviers, souris et jeux Microsoft…

Merci de nous aider à améliorer les TechDays

http://notes.mstechdays.fr

Windows Phone 8Sécurité

Thierry PicqBusiness Developement Manager - Innovation

Microsoft France

Entreprise / IT / Serveurs / Réseaux / Sécurité

Le marché

20

80BYOD

Piloté Entreprise

Securité (incl VPN, …)Gestion configurationCoûtApps LOB

Documents et Email

Mobilité et sécurité: des enjeux clefs…

http://www.theregister.co.uk/2012/07/06/mobile_trojan_apple_app_store_shocker/

http://www.indexel.net/actualites/securite-un-million-de-nouveaux-malwares-attaqueront-android-en-2013-3741.html

http://www.microsoft.com/france/mstechdays/programmes/parcours.aspx#SessionID=5350dcc7-4f79-459b-b16a-d743379b94c8

Techdays 2012

Modèle de sécurité

ArchitectureLogicielle

ModèleApplicati

f

Intégration des Services

Privés / Cloud

FondationMatérielle

ModèleInterface

s

Techdays 2012

http://www.microsoft.com/france/mstechdays/programmes/parcours.aspx#SessionID=5350dcc7-4f79-459b-b16a-d743379b94c8

• Aucune application chargée via Marketplace n’a d’activité en arrière-plan (ajouts avec depuis WP7.5: multi-tâches contrôlé).

- Plus difficile d’écrire un malware caché (mais aussi une application de management…)- Les seules activités

• L’utilisateur dispose du contrôle.• Chaque application est isolée des autres (bac à sable) et

dispose de privilèges réduits ainsi que de capacités utilisées explicitement (interdit de solliciter des capacités non déclarées).

En matière de sécurité…

Techdays 2012

http://www.microsoft.com/france/mstechdays/programmes/parcours.aspx#SessionID=5350dcc7-4f79-459b-b16a-d743379b94c8

• Pas de chiffrement des cartes de stockage (mais il n’y en a pas – mécanisme de verrouillage via paire de clefs 128 bits).

• Pas de chiffrement du terminal dans son ensemble (mais alternatives via chiffrement applicatif)

• Pas de synchronisation avec le PC en dehors des contenu média via Zune (Activesync PC / RAPI n’existe plus)

• Pas d’IrDA

• Pas de support des applications non signées (signature Marketplace obligatoire et pas de “side loading”).

• Toute application « externe » est signée et déclare ses « capacités » de manière déterministe

• Pas de “White list” / “Black list” applicative (seules les applications signées s’installent, et l’ouverture du MarketPlace privé permet de contrôler la diffusion d’applications entreprises).

• Pas de mise à jour OTA (mais notification et usage de Zune PC)

• Pas de multitâches (expérience utilisateur n’en souffre pas. Multi-tâches contrôlé avec WP 7.5), mais aucune application chargée via Marketplace n’a d’activité « cachée »

• Un outil de management « Entreprise »???

Finalement que manque-t’il à Windows Phone 7 ?

Techdays 2012

http://www.microsoft.com/france/mstechdays/programmes/parcours.aspx#SessionID=5350dcc7-4f79-459b-b16a-d743379b94c8

• Intégrité système• Sécurité de la plate-forme applicative• Protection des données• Contrôle d’accès• Mesures d’« assainissement »• Management en entreprise

– Applications et terminaux

Agenda

• Permettre une expérience utilisateur riche et contextuelle

• Sécurité de l’utilisateur• Confiance des développeurs• Marketplace riche et de qualité• Conformité

Objectifs de sécurité

• L’expérience utilisateur et l’utilisateur sont clefs !– Si le terminal ne plait pas, l’utilisateur en

choisira un autre– Le focus est donc l’utilisateur…– Heureusement…

Windows Phone 8

Windows Phone 8 et Windows 8: les mêmes gènes !!!

.NET

C#, VB

Windows Phone 7.x

Direct3D, XAudio2, MF,

WASAPI, WIN32, COM

C++

Windows Phone APIWindows Phone 8

Windows Phone

Runtime

C#, VB, C++

Vos appsà votre façon !

Windows Phone 8 Developer Platform

XAML Apps Direct3D Apps

XAML Maps Geolocation Sensors In-App Purchase Direct3D

HTML XML Threading Touch Speech XAudio2

Phone Features Push Camera Video Proximity Media

Foundation

Calendar Wallet Contacts Core Types VoIP STL

Multitasking Live Tiles Memory Async Enterprise CRT

C# and VB C#, VB, and C++ C++

File system, Networking, Graphics, Media

Core Operating System

Investissement dans les API du Windows Runtime

RéseauProximitéAchats In-AppCapteursLocalisationSystème de fichiersCore app modelThreading

• Un cœur partagé pour entre tout l’écosystème Windows– Kernel NT utilisé par Windows 8,

Windows RT, Windows Phone 8, Windows 8 Embedded et Windows Server 2012

– Homogénéisation des expériences– Efficacité pour les développeurs– Diversité pour les constructeurs afin

de se différencier.

Windows Phone 8 et Windows 8: les mêmes gènes …

… et des possibilités partagées !!!

• Basé sur des spécifications standards et bien connues : processeur, mémoire, écran, etc.

• Démarrage de confiance UEFI• TPM 2.0 pour la cryptographie

• Se prémunir des attaques hardware

Matériel de confiance…

Secure UEFI

http://www.uefi.org/specs/

Secure boot

Firmware boot loaders

OEM UEFI applications

Windows Phone boot manager

Power On

Windows Phone 8 OS boot

Windows Phone 8 update OS bootBoot to

flashing mode

Fournisseur SoC

OEM

MSFT

• Pendant la fabrication du terminal– Renseigne le condensé (hash) de la clef

publique utilisée pour signer les boot loaders initiaux

– « scelle » (au sens électronique: « fusibles ») ces informations et provisionne les données UEFI

• Pas de contournement du secure boot pour l’utilisateur

Boot Loader de confiance (trusted)

• Tout est basé sur les Clefs…• Platform Key – PK

– Une fois le PK en place, l’environnement UEFI est activé

• BdD des signatures valides et invalides –DB/DBX– Contrôle le chargement des « images »

• Le KEK (Key Exchange Key) gère les mises à jours de DB/DBX

Démarrage sécurisé UEFI

http://blogs.msdn.com/b/belux/archive/2013/02/05/windows-phone-8-security-deep-dive.aspx

• Le Secure Boot (SB) garantit l’intégrité du système dans sa totalité

• L’implémentation du SB est réalisée par les fournisseurs de SoC (System on a Chip -Qualcomm) et les constructeurs (Nokia, HTC, etc.).– Deux phases:

• Le SB de la plate-forme garantit l’intégrité des mécanismes pré-UEFI (Unified Extensible Firmware Interface)

• UEFI sécurise le démarrage (boot) et garantit l’intégrité des applications OEM UEFI et du système

• Secure Boot limite les risques d’installation de « malware » de bas niveau (type rootkit) sur les terminaux

Secure Boot

http://winsupersite.com/windows-phone/calling-bs-windows-phone-8-handset-asks-installation-disc

Une réalité…

• iOS– Matériel propriétaire (contrôlé)– Jailbreak…

• Android– Besoin de rien…

Et les autres…

• Tous les binaires de Windows Phone 8 doivent être signés par Microsoft pour pouvoir s’exécuter.– Diffère de WP7 ou seules les applications

Microsoft et celles du Marketplace disposaient de signatures.

– Les binaires OEM doivent être signés par Microsoft.

Signature du Code

Rappel: modèle de sécurité Windows Phone 7

Least Privilege Chamber (LPC)

Trusted Computing Base

(TCB)

Elevated Rights

Standard Rights

Permissionsdynamiques

(LPC)

Chambres à permissions

fixes

Centralisation des règlesTriplet {Principal, Droit, Ressource}

Le périmètre de la chambre est une frontière de sécurité4 types de chambres, 3 fixes, une dynamique en function des capacités requises(LPC)

Décrites dans le manifest applicatifPubliées sur le MarketplaceReprésentent les limites de sécurité sur le téléphone

Règles Système

Modèle de Chambre

Capacités

Modèle de sécurité Windows Phone 8

Least Privilege Chamber (LPC)

Trusted Computing Base

(TCB)

DynamicPermissions

(LPC)

Similaire à WP7, en simplifiant les types de chambres

Les chambres WP8 sont bâties sur l’infrastructure de sécurité de Windows

Les services et la applications fonctionnent tous dans le modèle de moindre privilege (pas d’élévation en cas de souci…)WP8 dispose d’une liste de capacités plus riche que WP7

• SmartScreen: filtre anti-hameçonnage– Utilise les données collectées par des

100aines de millions de PC pour bloquer les sites malicieux en temps réel

• Accroissement de performances Javascript vs WP7.5

• Accroissement du support HTML 5 vs WP7.5

Internet Explorer 10

• Secure Boot activé• Modèle de sécurité cohérent avec des

« capacités » étendues• Tous les binaires sont signés• IE10 bénéficie des technologies de

Windows

A ce stade

Sécurité des données

• WP8 utilise les technologies de chiffrement de Windows– Secure Boot nécessaire– Disponible pour tous les terminaux et activé au

premier démarrage par l’IT– L’intégralité du stockage interne est chiffré– Les cartes SD ne sont pas chiffrées• Et c’est logique (enfin explicable… :-)

Chiffrement du terminal

• Contribue au respect de la propriété intellectuelle

• Protège les emails et les documents d’une diffusion illicite

• Exchange server et Sharepoint

Gestion des droits numériques (IRM)

• Exchange ActiveSync avec Exchange Server et Office 365 – Contrôle de l’accès à la messagerie et gestion des

terminaux

• Contrôle des applications et gestion des terminaux avec un Mobile Device Management (MDM) ie: SCCM 2012 et Windows Intune– Distribution d’applications et gestion des règles de sécurité

Contrôle des accès au terminal et aux applications

demoEAS AVEC OFFICE 365

• Toutes les applications de l’entreprise sont signées avec le même certificat propre à l’entreprise.

• Le certificat de l’entreprise est installé sur les téléphones de l’entreprise

• Cela permet :• d’autoriser l’installation de manière sécurisée des

applications sur un téléphone sans utiliser le store (exécution d’un XAP) à partir d’un serveur de l’entreprise (SharePoint), d’un Cloud privé, d’un mail ou d’une carte SD

• Le fonctionnement du « Hub » et des applications de l’entreprise ainsi que la sécurisation de leur distribution.

Principe de sécurisation du déploiement des applications d’entreprise

Gestion des terminaux mobiles avecWindows Intune

Intégré, simple et facile d’accès

Le client d’inscription (réversible) au management d’Entreprise est intégré.Application des règles de sécurité et découverte des applications internes.

App Hub: http://create.msdn.com

Applications d’Entreprise

2. Outils Signature

3. App Catalog

1. Enregistrement

1. Développer une App2. Packager et signer

1.Enregistrement Terminal

2. Accès apps

4. Créer unToken

3. Cert. et ID entreprise

Enregistrement de l‘IT1. L’entreprise s’enregistre auprès de l’App Hub2. Téléchargement des outils3. Microsoft indique à la CA la demande d’enregistrement4. Traitement5. CA verifie le traitement et génère un Certificat pour l’Entreprise

Organisation ITApp Hub Windows Phone

Les étapes !

Déploiement et management

L’utilisateur s’enrôle avec un email

Installation des applications à partir d’URL

A) Déploiement “managé” (avec un MDM)

Production des applications

B) Déploiement non « managé » (sans MDM)

Installation du hub d’entreprise(optionnel)

Déploiement et management avec Windows Intune

Enrôlement de l’utilisateur

Installation des applications via le portail “Self Service”

Désenrôlement de l’utilisateur

Management avec Windows Intune

1.Inscription sur le Dev Center (99$/an)

2. Achat du certificat (Symantec , 299$/an)

3. Dev ou achat des applications

4. Préparation des applications

(Cet exemple est basé sur Windows Intune, les étapes sont similaires avec un MDM tierce)

• Les applications d’entreprise ne sont pas soumises sur le Marketplace

• L’inclusion des applications dans le catalogue d’entreprise est exclusivement sous le contrôle et la responsabilité de cette dernière– Qualité– Impact sur l’expérience globale

• Les outils du Marketplace peuvent être utilisés pour évaluer les applications

• Si une application utilise la localisation il est recommandé d’en informer l’utilisateur et d’obtenir son consentement explicite

« Ingestion » des apps Entreprise

Simple passwordAlphanumeric passwordMinimum password lengthMinimum password complex charactersPassword expirationPassword historyDevice wipe thresholdInactivity timeoutIRM enabledRemote device wipeDevice encryption (new)Disable removable storage card (new) Remote update of business apps (new)Remote or local un-enroll (new)

EASServer configured policy valuesQuery installed enterprise app Device name Device IDOS platform typeFirmware versionOS versionDevice local timeProcessor typeDevice modelDevice manufacturerDevice processor architectureDevice language

Intune Et reporting

Windows Intune: règles et reporting

Intune + SCCM

demoWINDOWS INTUNE

fonctionnalité non managé managé*

Encryption des devices Oui Oui

Distribution privée d’applications Oui Oui

Store d’entrepriseHub d’entreprise créé par

l’entreprise Oui **

Enrôlement sur un certificat/jeton Créé par l’IT Oui

Installation d’applications Créé par l’IT Oui

Effacement du certificat/token Non (NB : les token ont un délai d’expiration) Oui

Inventaire des applications Non Oui

Gestion des mises à jour des applications

Non Oui

Désinstalltion des applications à distance

Non Oui

APIs pour le hub d’entreprise Oui Oui

Maitrise du risque Limité Fort

Cloud Availability Créé par l’IT Intégré

*Exemple de Windows Intune** application Self Service Portal à télécharger et à certifier

Récapitulatif : managé / non managé

*Exemple de Windows Intune / ** application Self Service Portal à télécharger et à certifier

Blog français Windows Phone (Jérôme Dakono): La production et le déploiement des applications d’entreprise sur Windows Phonehttp://blogs.microsoft.fr/windowsphone/la-production-et-le-deploiement-des-applications-dentreprise-sur-windows-phone.html

• Réinitialisation locale ou à distance– Initiée par l’utilisateur ou l’administrateur– Utilise EAS ou MDM

• Windows Update– Uniquement OTA– Potentiellement à l’initiative de

l’utilisateur

• Révocation d’applications– Marketplace et applications d’entreprise

« Assainissement »

Management hétérogène et uniformisé

Devices & Platforms

IT

Windows Intune

Single adminconsole

Mac OS X

Windows PCs(x86/64, Intel SoC),

Windows to Go

Windows RT, Windows Phone 8

Les MDM tiersAirwatch

http://www.marketwatch.com/story/airwatch-to-provide-immediate-device-and-application-management-support-for-windows-phone-8r-2012-10-23 

MobileIron

http://www.mobileiron.com/en/company/press-room/press-releases/2012/366-mobileiron-supports-windows-phone-8-apps-and-devices-

Symantec

http://www.symantec.com/connect/blogs/symantec-provides-day-1-support-windows-phone-8-protect-mobile-enterprise

ZenPrise

http://www.zenprise.com/blog/zenprise-supports-new-enterprise-mobility-era

Sybase Afaria

http://www12.sap.com/corporate-en/press.epx?PressID=19903

• Pas de chiffrement des cartes de stockage (mais il n’y en a pas – mécanisme de verrouillage via paire de clefs 128 bits).

• Pas de chiffrement du terminal dans son ensemble (mais alternatives via chiffrement applicatif)

• Pas de synchronisation avec le PC en dehors des contenu média via Zune (Activesync PC / RAPI n’existe plus)

• Pas d’IrDA

• Pas de support des applications non signées (signature Marketplace obligatoire et pas de “side loading”).

• Toute application « externe » est signée et déclare ses « capacités » de manière déterministe

• Pas de “White list” / “Black list” applicative (seules les applications signées s’installent, et l’ouverture du MarketPlace privé permet de contrôler la diffusion d’applications entreprises).

• Pas de mise à jour OTA (mais notification et usage de Zune PC)

• Pas de multitâches (expérience utilisateur n’en souffre pas. Multi-tâches contrôlé avec WP 7.5), mais aucune application chargée via Marketplace n’a d’activité « cachée »

• Un outil de management « Entreprise »???

• Secure Boot

• Signature de tout le code

• Modèle de « sandboxing »

• Chiffrement

• Révocation d’applications (Store et Entreprise)

Finalement que manque-t’il à Windows Phone 7 / 8 ?

Business Hu

• Business Hub• http://windowsphone.com/

business

Ressources IT

Ressources IT• http://www.windowsphone.com/en-us/business/security

• Building Apps for Windows Phone 8• http://channel9.msdn.com/Series/Building-

Apps-for-Windows-Phone-8-Jump-Start/Building-Apps-for-Windows-Phone-8-Jump-Start-01a-Introducing-Windows-Phone-8-Development-Part-1

• Windows Phone for Business• http://www.windowsphone.com/business

• Windows Phone for Developers• http://dev.windowsphone.com/en-us

Ressources IT

• “Using Windows Intune for Direct Management of Mobile Devices” at http://technet.microsoft.com/en-us/library/jj733632.aspx

• “Customizing the Windows Intune Company Portal” at http://technet.microsoft.com/en-us/library/jj662649.aspx

• VPN WP Nokiahttps://expertcentre.nokia.com/en/articles/kbarticles/Pages/Nokia-VPN-resource-hub.aspx

Ressources IT

Windows Phone

Back to Business !!!

Formez-vous en ligne

Retrouvez nos évènements

Faites-vous accompagner gratuitement

Essayer gratuitement nos solutions IT

Retrouver nos experts Microsoft

Pros de l’ITDéveloppeurs

www.microsoftvirtualacademy.com

http://aka.ms/generation-app

http://aka.ms/evenements-developpeurs

http://aka.ms/itcamps-france

Les accélérateursWindows Azure, Windows Phone,

Windows 8

http://aka.ms/telechargements

La Dev’Team sur MSDNhttp://aka.ms/devteam

L’IT Team sur TechNethttp://aka.ms/itteam