Produits et Services PRODUITS & SERVICES

Les nouveaux standards de sécurité de Windows 10 Microsoft : kézako ?

Microsoft a précisé les caractéristiques du hardware que les fabricants de PC devraient adopter, pour sécuriser au maximum les ordinateurs Windows. Selon Microsoft et les nouveaux standards de sécurité de Windows 10, un PC sécurisé devrait avoir un processeur Intel ou AMD 64 bits de 7ème génération ou plus récent (Skylake ou A-Series/Athlon) et disposer d'au moins 8 Go de RAM.

Cette semaine, Microsoft a précisé les caractéristiques des hardwares qu’il pense que les fabricants de PC devraient adopter, pour s’assurer que les ordinateurs Windows soient “hautement sécurisés”.

De nos jours, il est courant de voir la cybersécurité reléguée à un niveau inférieur à celle du système d’exploitation et des applications, signifiant ainsi que la mise en œuvre de cette dernière reposerait alors sur un mélange de hardwares étroitement intégrés avec un firmware sécurisé.

Selon Microsoft et les nouveaux standards de sécurité de Windows 10, un PC sécurisé devrait être construit autour d’un processeur Intel ou AMD 64 bits de septième génération ou plus récent (Skylake ou A-Series/Athlon) et disposer d’au moins 8 Go de RAM.

Tout d’abord, il semblait que cette définition était lié à la virtualisation matérielle (et à ses caractéristiques), mais au final elle est davantage lié au code et aux mécanismes de protection de la mémoire intégrés au niveau des puces, sous la bannière de Virtualization Based Security (VBS).

Et cela ne s’arrête pas au processeur, car les autres systèmes de puces doivent également prendre en charge des types spécifiques de gestion de la mémoire et de la virtualisation.

Sans surprise, les systèmes doivent être livrés avec un TPM (Trusted Platform Module) TCG v2.0 et mettre en œuvre un “verified boot”, en utilisant une technique comme le Boot Guard d’Intel.

Pour se concentrer sur l’essentiel, le firmware BIOS tel que nommé auparavant doit être conforme aux dernières normes de l’UEFI version 2.4 ou plus récentes, et être capable de résister aux tentatives d’altérations, tout en prenant en charge la mise à jour.

Je vais vous épargner les détails indigestes concernant les caractéristiques, en passant directement à la question cruciale : “kezako ?”…

Tout d’abord, cela illustre le fait que la sécurisation des PCs est davantage prise en compte (même si ce n’est qu’un début) dans les premières secondes après le démarrage de ces derniers, lorsque le système vérifie que les logiciels majeurs n’ont pas été altérés.

Ce n’est pas nouveau, bien sûr, mais de tels standards de sécurité de Windows 10, sont devenus incontournables pour protéger les PCs, et pas seulement la couche principale de l’UEFI ainsi que ses différentes fonctions, mais aussi tout firmware additionnel qui pourrait être présent dans l’ordinateur (vous vous rappelez l’attaque Thunderstrike contre les Macs en 2015 ?). Le firmware doit également être géré de manière sécurisée lorsque des vulnérabilités sont présentes.

Ensuite, nous obtenons une information sur l’avenir, notamment sur l’utilisation du Mode Based Execution Control (MBEC) pour renforcer prochainement Windows Defender Application Guard (WDAG), une couche Hyper-V de virtualisation isolée et utilisée, entre autres, par le navigateur Edge.

Cette option est disponible uniquement pour les clients professionnels aujourd’hui, mais le document de Microsoft laisse entendre que cette approche va changer à un moment donné afin d’inclure tout le monde.

Enfin, nous arrivons donc à la version de Windows qui active pleinement WDAG, à savoir Windows 10 version 1709, Fall Creators Update (sortie à la mi-octobre), la version de Windows, que les nouveaux standards de sécurité Windows 10 définies par Microsoft considèrent comme étant la nouvelle référence une sorte d’année “zéro”.

Ses nouveaux standards de sécurité de Windows 10 sont-ils trop lourds ?

Si vous n’avez pas un PC qui répond à ces exigences, et presque tous ceux qui ont acheté un PC ou un ordinateur portable avant l’an dernier n’y répondront pas, il se pourrait que ce soit le cas !

Certaines personnes cyniques soupçonnent même que les fabricants d’ordinateurs vont utiliser ces nouvelles exigences pour inciter les utilisateurs à changer leurs PCs plus souvent.

Ensuite, il existe des exceptions bien pratiques telles que la bête étrange qu’est Windows 10 S, une version minimaliste de l’ordinateur “comme-Chromebook-mais-pas-tout-à-fait“, qui n’exige pas d’intégrer ses caractéristiques car, franchement, il en est incapable !

Néanmoins, les acheteurs professionnels porteront une attention particulière à ce nouveau document et pourraient même finir par être intégré dans certaines politiques de conformité.

Si cela arrive, les nouveaux standards de sécurité de Windows 10 émis par Microsoft se résumeront ainsi : deux minutes de lecture avec des répercutions sur deux décennies !


Billet inspiré de What do Microsoft’s highly secure Windows 10 device standards tell us?, sur Sophos nakedsecurity.

Qu’en pensez-vous ? Laissez un commentaire.

Your email address will not be published. Required fields are marked *