Comment Windows utilise le module de plateforme sécurisée
Le système d’exploitation Windows renforce la sécurité matérielle dans de nombreuses fonctionnalités, optimisant ainsi la sécurité de la plateforme tout en augmentant la facilité d’utilisation. Pour bénéficier d’un grand nombre de ces améliorations de sécurité, Windows utilise largement le module de plateforme sécurisée (TPM). Cet article offre une vue d’ensemble du module TPM, décrit son fonctionnement et décrit les avantages que le module de plateforme sécurisée apporte à Windows et l’effet de sécurité cumulé de l’exécution de Windows sur un appareil avec un module TPM.
Vue d’ensemble du module de plateforme sécurisée (TPM)
Le module de plateforme sécurisée est un module cryptographique qui améliore la confidentialité et la sécurité de l’ordinateur. La protection des données par le biais du chiffrement et du déchiffrement, la protection des informations d’authentification et la capacité à prouver quels logiciels sont exécutés sur un système donné constituent les fonctionnalités de base liées à la sécurité de l’ordinateur. Le module de plateforme sécurisée aide dans tous ces cas et bien plus encore.
Historiquement, les TPM ont été des puces discrètes soudées à la carte mère d’un ordinateur. Ces implémentations permettent au fabricant d’équipement d’origine (OEM) de l’ordinateur d’évaluer et de certifier le TPM séparément du reste du système. Même si les implémentations de TPM discrets restent courantes, elles peuvent être problématiques pour des appareils intégrés de petite taille ou consommant peu d’énergie. Certaines implémentations plus récentes de TPM intègrent la fonctionnalité TPM dans le même chipset que d’autres composants de la plateforme tout en fournissant une séparation logique semblable à celle des puces de TPM discrètes.
Les TPM sont passifs : ils reçoivent des commandes et renvoient des réponses. Pour tirer pleinement parti des avantages d’un TPM, l’OEM doit intégrer avec soin le matériel système et le microprogramme avec le TPM pour lui envoyer des commandes et réagir à ses réponses. Les TPM ont été conçus à l’origine pour offrir des avantages en matière de sécurité et de confidentialité au propriétaire et aux utilisateurs d’une plateforme, mais les versions plus récentes peuvent offrir des avantages en matière de sécurité et de confidentialité au matériel système lui-même. Toutefois, avant de pouvoir être utilisé pour les scénarios avancés, un TPM doit être approvisionné. Windows provisionne automatiquement un module TPM, mais si le système d’exploitation est réinstallé, il peut être nécessaire de le reprovisionner explicitement avant de pouvoir utiliser toutes les fonctionnalités du module de plateforme sécurisée.
Le Trusted Computing Group (TCG) est l’organisation à but non lucratif qui publie et gère la spécification TPM. Le TCG existe pour développer, définir et promouvoir des normes globales indépendantes du fournisseur qui prennent en charge une racine de confiance basée sur le matériel pour les plateformes informatiques approuvées interopérables. Le TCG publie également la spécification TPM comme norme internationale ISO/IEC 11889, en utilisant le processus de soumission de spécification disponible publiquement que le JTC (Joint Technical Committee) 1 définit entre l’ISO (International Organization for Standardization) et l’IEC (International Electrotechnical Commission).
Les OEM implémentent le TPM en tant que composant dans une plateforme informatique approuvée, par exemple un PC, une tablette ou un téléphone. Les plateformes informatiques approuvées utilisent le module de plateforme sécurisée pour prendre en charge des scénarios de confidentialité et de sécurité que le logiciel seul ne peut pas atteindre. Par exemple, les logiciels seuls ne peuvent pas indiquer de manière fiable si des programmes malveillants sont présents pendant le processus de démarrage du système. L’intégration étroite entre TPM et la plateforme augmente la transparence du processus de démarrage et prend en charge l’évaluation de l’intégralité de l’appareil en permettant une évaluation et un signalement fiables du logiciel qui démarre l’appareil. L’implémentation d’un module de plateforme sécurisée dans le cadre d’une plateforme informatique approuvée fournit une racine matérielle de confiance, c’est-à-dire qu’elle se comporte de manière fiable. Par exemple, si une clé stockée dans un module TPM a des propriétés qui interdisent l’exportation de la clé, cette clé ne peut vraiment pas quitter le TPM.
Le TCG a conçu le TPM comme une solution de sécurité de grande consommation à faible coût qui répond aux exigences des différents segments de clientèle. Il existe des variantes entre les propriétés de sécurité des différentes implémentations de TPM, comme il existe des variantes entre les exigences des clients et des réglementations des différents secteurs. Dans les marchés publics, par exemple, certains gouvernements définissent clairement les exigences de sécurité pour les TPM, alors que d’autres ne le font pas.
Les programmes de certification pour les TPM et la technologie en général continuent d’évoluer à mesure que la vitesse de l’innovation augmente. Bien qu’il soit clairement préférable d’avoir un TPM plutôt que de ne pas avoir de TPM, le meilleur conseil de Microsoft est de déterminer les besoins de sécurité de votre organisation et de rechercher les exigences réglementaires associées à l’approvisionnement pour votre secteur d’activité. Résultat : un équilibre entre les scénarios utilisés, le niveau d’assurance, le coût, le côté pratique et la disponibilité.
TPM dans Windows
Les fonctionnalités de sécurité de Windows combinées aux avantages d’un module de plateforme sécurisée offrent des avantages pratiques en matière de sécurité et de confidentialité. Les sections suivantes commencent par les principales fonctionnalités de sécurité liées au module de plateforme sécurisée dans Windows et décrivent comment les technologies clés utilisent le module de plateforme sécurisée pour activer ou augmenter la sécurité.
Fournisseur de chiffrement de plateforme
Windows inclut une infrastructure de chiffrement appelée Cryptographic API : Next Generation (CNG). Son approche de base est d’implémenter des algorithmes de chiffrement de différentes manières, mais avec une interface de programmation d’application (API) commune. Les applications qui utilisent le chiffrement peuvent utiliser l’API courante sans connaître les détails de l’implémentation d’un algorithme et encore moins l’algorithme en lui-même.
Bien que CNG semble être un point de départ quelconque, il illustre certains des avantages offerts par un module de plateforme sécurisée. Sous l’interface CNG, Windows ou un tiers fournissent un fournisseur de chiffrement (c’est-à-dire, une implémentation d’un algorithme) implémenté en tant que bibliothèques logicielles seules ou dans une combinaison de logiciels et de matériel système disponible ou non-Microsoft. En cas d’implémentation par le biais de matériel, le fournisseur de chiffrement communique avec le matériel derrière l’interface logicielle de CNG.
Le fournisseur de chiffrement de plateforme, introduit dans Windows 8, expose les propriétés TPM spéciales suivantes, que les fournisseurs CNG uniquement logiciels ne peuvent pas offrir ou ne peuvent pas offrir aussi efficacement :
Protection de clé. Le fournisseur de chiffrement de plateforme peut créer des clés dans le module de plateforme sécurisée et appliquer des restrictions à leur utilisation. Le système d’exploitation peut charger et utiliser les clés dans le module de plateforme sécurisée sans copier les clés dans la mémoire système, où elles sont vulnérables aux programmes malveillants. Le fournisseur de chiffrement de plateforme peut également configurer des clés qu’un module de plateforme sécurisée protège afin qu’elles ne soient pas amovibles. Si un module de plateforme sécurisée crée une clé, celle-ci est unique et réside uniquement dans ce module de plateforme sécurisée. Si le module de plateforme sécurisée importe une clé, le fournisseur de chiffrement de plateforme peut utiliser la clé dans ce module de plateforme sécurisée, mais ce module de plateforme sécurisée n’est pas une source pour effectuer d’autres copies de la clé ou activer l’utilisation de copies ailleurs. À l’inverse, les solutions logicielles qui protègent les clés de la copie sont soumises à des attaques d’ingénierie inverse, lors desquelles l’attaquant détermine comment la solution stocke les clés ou crée des copies des clés lorsqu’elles sont en mémoire pendant l’utilisation.
Protection contre les attaques par dictionnaire. Les clés protégées par un module de plateforme sécurisée peuvent nécessiter une valeur d’autorisation, par exemple un code confidentiel. Avec la protection contre les attaques par dictionnaire, le module de plateforme sécurisée peut empêcher les attaques qui effectuent un grand nombre de tentatives pour déterminer le code confidentiel. Après un trop grand nombre de tentatives, le module de plateforme sécurisée renvoie simplement une erreur indiquant qu’aucune nouvelle proposition n’est autorisée pendant un certain temps. Les solutions logicielles peuvent fournir des fonctionnalités similaires, mais elles ne peuvent pas fournir le même niveau de protection, en particulier si le système redémarre, si l’horloge système change ou si les fichiers sur le disque dur qui comptent les estimations ayant échoué sont restaurés. En outre, avec la protection contre les attaques par dictionnaire, les valeurs d’autorisation tels que les codes confidentiels peuvent être plus courtes et plus faciles à retenir, mais offrent toujours le même niveau de protection que les valeurs plus complexes lors de l’utilisation de solutions logicielles.
Ces fonctionnalités du module de plateforme sécurisée offrent au fournisseur de chiffrement de plateforme des avantages différents des solutions logicielles. Un moyen pratique de voir ces avantages en action consiste à utiliser des certificats sur un appareil Windows. Sur les plateformes qui incluent un module de plateforme sécurisée, Windows peut utiliser le fournisseur de chiffrement de plateforme pour proposer un stockage de certificats. Les modèles de certificat peuvent préciser qu’un module de plateforme sécurisée utilise le fournisseur de chiffrement de plateforme pour protéger la clé associée à un certificat. Dans les environnements mixtes, où certains ordinateurs n’ont peut-être pas de TPM, le modèle de certificat peut préférer le fournisseur de chiffrement de plateforme au fournisseur de logiciels Windows standard. Si un certificat est configuré comme ne pouvant pas être exporté, la clé privée du certificat est restreinte et ne peut pas être exportée à partir du TPM. Si le certificat nécessite un code confidentiel, le code confidentiel bénéficie automatiquement de la protection contre les attaques de dictionnaire du module de plateforme sécurisée.
Carte à puce virtuelle
Warning
Les clés de sécurité Windows Hello Entreprise et FIDO2 sont des méthodes d’authentification à deux facteurs modernes pour Windows. Les clients qui utilisent des cartes à puce virtuelles sont encouragés à passer à Windows Hello Entreprise ou FIDO2. Pour les nouvelles installations Windows, nous recommandons les clés de sécurité Windows Hello Entreprise ou FIDO2.
Les cartes à puce sont des appareils physiques qui stockent généralement un seul certificat et la clé privée correspondante. Les utilisateurs insèrent une carte à puce dans un lecteur de carte intégré ou USB et entrent un code confidentiel pour la déverrouiller. Windows peut ensuite accéder au certificat de la carte et utiliser la clé privée pour l’authentification ou déverrouiller des volumes de données protégés BitLocker. Les cartes à puce sont appréciées car elles offrent une authentification à deux facteurs qui nécessite un objet dont l’utilisateur dispose (autrement dit, la carte à puce) et quelque chose que l’utilisateur connaît (par exemple, le code confidentiel de la carte à puce). Toutefois, les cartes à puce peuvent être coûteuses, car elles nécessitent l’achat et le déploiement de cartes à puce et de lecteurs de cartes à puce.
Dans Windows, la fonctionnalité de carte à puce virtuelle permet au module de plateforme sécurisée de simuler la présence continue d’une carte à puce. Le TPM devient quelque chose que l’utilisateur possède , mais nécessite toujours un code confidentiel. Alors que les cartes à puce physiques limitent le nombre de tentatives de code confidentiel avant de verrouiller la carte et de nécessiter une réinitialisation, une carte à puce virtuelle s’appuie sur la protection contre les attaques de dictionnaire du module de plateforme sécurisée pour empêcher un trop grand nombre de suppositions de code confidentiel.
Pour les cartes à puce virtuelles TPM, le module de plateforme sécurisée protège l’utilisation et le stockage de la clé privée du certificat, de sorte qu’elle ne peut pas être copiée lorsqu’elle est utilisée ou stockée et utilisée ailleurs. L’utilisation d’un composant qui fait partie du système plutôt que d’une carte à puce physique distincte peut réduire le coût total de possession. Les scénarios de carte ou de carte perdue à la maison ne sont pas applicables, et les avantages de l’authentification multifacteur basée sur une carte à puce sont conservés. Pour les utilisateurs, les cartes à puce virtuelles sont simples à utiliser, nécessitant simplement un code confidentiel pour le déverrouillage. Les cartes à puce virtuelles prennent en charge les mêmes scénarios que les cartes à puce physiques, y compris la connexion à Windows ou l’authentification pour accéder aux ressources.
Windows Hello Entreprise
Windows Hello Entreprise propose des méthodes d’authentification destinées à remplacer les mots de passe, qui peuvent être difficiles à mémoriser et facilement compromis. En outre, les solutions nom d’utilisateur/mot de passe pour l’authentification réutilisent souvent les mêmes combinaisons d’informations d’identification sur plusieurs appareils et services. Si ces informations d’identification sont compromises, elles sont compromises à plusieurs endroits. Windows Hello Entreprise combine les informations approvisionnées sur chaque appareil (c’est-à-dire la clé de chiffrement) avec des informations supplémentaires pour authentifier les utilisateurs. Sur un système disposant d’un module de plateforme sécurisée, ce dernier peut protéger la clé. Si un système n’a pas de TPM, les techniques logicielles protègent la clé. Les informations supplémentaires fournies par l’utilisateur peuvent être une valeur de code confidentiel ou, si le système dispose du matériel nécessaire, des informations biométriques, telles que la reconnaissance des empreintes digitales ou du visage. Pour protéger la confidentialité, les informations biométriques sont utilisées uniquement sur l’appareil approvisionné pour accéder à la clé provisionnée : elles ne sont pas partagées entre les appareils.
L’adoption d’une nouvelle technologie d’authentification nécessite que les entreprises et les fournisseurs d’identité déploient et utilisent cette technologie. Windows Hello Entreprise permet aux utilisateurs de s’authentifier avec leur compte Microsoft existant, un compte Active Directory, un compte Microsoft Entra, ou même des services de fournisseur d’identité non-Microsoft ou des services de partie de confiance qui prennent en charge l’authentification Fast ID Online V2.0.
Les fournisseurs d’identité peuvent choisir comment configurer les informations d’identification sur les périphériques clients. Par exemple, une entreprise peut approvisionner uniquement les périphériques qui disposent d’un module de plateforme sécurisée, de façon à savoir qu’un module de plateforme sécurisée protège les informations d’identification. La capacité à distinguer un module de plateforme sécurisée des programmes malveillants agissant comme un module de plateforme sécurisée nécessite les fonctionnalités de module de plateforme sécurisée suivantes (voir figure 1) :
Clé d’approbation. Le fabricant du module de plateforme sécurisée peut créer une clé spéciale dans le module de plateforme sécurisée appelé une paire de clés de type EK (Endorsement Key). Un certificat de clé d’approbation, signé par le fabricant, indique que la clé d’approbation est présente dans un TPM que le fabricant a fait. Les solutions peuvent utiliser le certificat avec le module de plateforme sécurisée contenant la clé d’approbation pour confirmer qu’un scénario implique réellement un TPM d’un fabricant de TPM spécifique (au lieu d’un programme malveillant agissant comme un TPM).
Clé d’identité d’attestation. Pour protéger la confidentialité, la plupart des scénarios TPM n’utilisent pas directement une clé d’approbation réelle. Au lieu de cela, ils utilisent des clés d’attestation d’identité, et une autorité de certification (CA) d’identité utilise la paire de clés de type EK et son certificat pour prouver qu’une ou plusieurs clés d’attestation d’identité existent réellement dans un module de plateforme sécurisée réel. L’autorité de certification d’identité émet des certificats de clé d’attestation d’identité. Plus d’une autorité de certification d’identité voient généralement le même certificat de paire de clés de type EK (Endorsement Key), qui permet d’identifier de manière unique le module de plateforme sécurisée. Néanmoins, il est possible de créer autant de certificats de clés d’attestation d’identité que nécessaire pour limiter le partage d’informations dans d’autres scénarios.
Figure 1 : Gestion des clés de chiffrement TPM
Pour Windows Hello Entreprise, Microsoft peut remplir le rôle d’autorité de certification d’identité. Les services Microsoft peuvent émettre un certificat de clé d’attestation d’identité pour chaque périphérique ou utilisateur, et identifier le fournisseur d’identité pour s’assurer de la protection de la confidentialité et aider les fournisseurs d’identité à s’assurer que les exigences de module de plateforme sécurisée du périphérique sont remplies avant la configuration des informations d’identification de Windows Hello Entreprise.
Chiffrement de lecteur BitLocker
BitLocker permet le chiffrement d’un volume complet en vue de protéger les données au repos. La configuration de périphérique la plus courante divise le disque dur en plusieurs volumes. Le système d’exploitation et les données de l’utilisateur se trouvent sur un volume qui contient des informations confidentielles, et les autres volumes regroupent les informations publiques telles que les composants de démarrage, les informations système et les outils de récupération. (Ces autres volumes sont utilisés assez rarement pour qu’ils n’ont pas besoin d’être visibles par les utilisateurs.) Sans davantage de protections en place, si le volume contenant le système d’exploitation et les données utilisateur n’est pas chiffré, quelqu’un peut démarrer un autre système d’exploitation et contourner facilement l’application des autorisations de fichier par le système d’exploitation prévu pour lire les données utilisateur.
Dans la configuration la plus courante, BitLocker chiffre le volume du système d’exploitation afin que, si l’ordinateur ou le disque dur est perdu ou volé en étant hors tension, les données du volume restent confidentielles. Lorsque l’ordinateur est allumé, démarre normalement et passe à l’invite de connexion Windows, la seule voie à suivre consiste à permettre à l’utilisateur de se connecter avec ses informations d’identification, ce qui permet au système d’exploitation d’appliquer ses autorisations de fichier normales. En cas de modification du processus de démarrage, par exemple, un autre système d’exploitation est démarré à partir d’un périphérique USB : le volume du système d’exploitation et les données utilisateur ne peuvent pas être lues et ne sont pas accessibles. Le module de plateforme sécurisée et le microprogramme du système collaborent en vue d’enregistrer le démarrage du système, notamment les informations sur la configuration et les logiciels chargés (par exemple, si le démarrage s’est produit à partir du disque dur ou d’un périphérique USB). BitLocker s’appuie sur le module de plateforme sécurisée pour permettre d’utiliser une clé uniquement lorsque le démarrage se produit d’une manière attendue. Le microprogramme système et le module de plateforme sécurisée sont conçus avec soin afin de pouvoir travailler ensemble pour fournir les fonctionnalités suivantes :
Racine matérielle de confiance pour la mesure. Un module de plateforme sécurisée permet aux logiciels d’envoyer les commandes qui enregistrent les mesures des informations logicielles ou de configuration. Ces informations peuvent être calculées à l’aide d’un algorithme de hachage qui transforme essentiellement un grand nombre de données en une valeur de hachage unique de petite taille. Le microprogramme système dispose d’un composant appelé la racine de confiance minimale de mesure (CRTM), qui est implicitement approuvé. La CRTM hache le composant logiciel suivant de manière inconditionnelle et enregistre la valeur de mesure en envoyant une commande au module de plateforme sécurisée. Les composants successifs, qu’il s’agisse du microprogramme système ou des chargeurs de système d’exploitation, continuent le processus en mesurant tous les composants logiciels qu’ils chargent avant de les exécuter. Étant donné que la mesure de chaque composant est envoyée au module TPM avant son exécution, un composant ne peut pas effacer sa mesure du module TPM. (Toutefois, les mesures sont effacées lorsque le système redémarre.) Résultat : à chaque étape du processus de démarrage du système, le module de plateforme sécurisée contient les mesures des logiciels de démarrage et les informations de configuration. Toute modification des logiciels de démarrage ou de la configuration génère des mesures de module de plateforme sécurisée différentes à cette étape et aux suivantes. Étant donné que le microprogramme système démarre la chaîne de mesure sans condition, il fournit une racine matérielle de confiance pour les mesures du module de plateforme sécurisée. Au cours du processus de démarrage, la valeur d’enregistrement de tous les logiciels et informations de configuration chargés diminue et la chaîne de mesures s’arrête. Le module de plateforme sécurisée permet de créer des clés qui peuvent être utilisées uniquement lorsque les registres de configuration de la plateforme qui contiennent les mesures sont associés à des valeurs spécifiques.
Clé utilisée uniquement lorsque les mesures de démarrage sont précises. BitLocker crée une clé dans le module de plateforme sécurisée qui peut être utilisée uniquement lorsque les mesures de démarrage correspondent à une valeur donnée. Cette valeur est calculée pour l’étape du processus de démarrage lorsque le Gestionnaire de démarrage Windows s’exécute à partir du volume du système d’exploitation sur le disque dur du système. Le Gestionnaire de démarrage Windows, qui est stocké de manière non chiffrée sur le volume de démarrage, doit utiliser la clé du module de plateforme sécurisée afin de déchiffrer les données lues à partir de la mémoire du volume du système d’exploitation. Le démarrage peut alors continuer à l’aide du volume chiffré du système d’exploitation. Si un autre système d’exploitation est démarré ou que la configuration est modifiée, les valeurs de mesure dans le module de plateforme sécurisée sont différentes, le TPM ne permet pas au Gestionnaire de démarrage Windows d’utiliser la clé et le processus de démarrage ne peut pas se poursuivre normalement, car les données du système d’exploitation ne peuvent pas être déchiffrées. Si quelqu’un tente de démarrer le système avec un autre système d’exploitation ou un autre appareil, les mesures de logiciel ou de configuration dans le module de plateforme sécurisée sont incorrectes et le module de plateforme sécurisée n’autorise pas l’utilisation de la clé nécessaire pour déchiffrer le volume du système d’exploitation. Par mesure de sécurité, si les valeurs de mesure changent de manière inattendue, l’utilisateur peut toujours utiliser la clé de récupération BitLocker pour accéder aux données du volume. Les organisations peuvent configurer BitLocker pour stocker la clé de récupération dans Active Directory Domain Services (AD DS).
Les caractéristiques du matériel sont importantes pour BitLocker et influent sur sa capacité à protéger les données. L’une des considérations à prendre en compte est de savoir si l’appareil fournit des vecteurs d’attaque lorsque le système se trouve sur l’écran de connexion. Par exemple, si l’appareil Windows dispose d’un port qui permet un accès direct à la mémoire afin qu’une personne puisse brancher du matériel et lire de la mémoire, un attaquant peut lire la clé de déchiffrement du volume du système d’exploitation à partir de la mémoire sur l’écran de connexion Windows. Pour limiter ce risque, les entreprises peuvent configurer BitLocker de façon à ce que la clé de module de plateforme sécurisée nécessite à la fois les mesures logicielles adéquates et une valeur d’autorisation. Le processus de démarrage du système s’arrête au Gestionnaire de démarrage Windows, et l’utilisateur est invité à entrer la valeur d’autorisation correspondant à la clé de module de plateforme sécurisée ou à insérer un périphérique USB avec la valeur. Ce processus empêche le chargement automatique de la clé dans la mémoire par BitLocker, ce qui pourrait la rendre vulnérable, mais induit une expérience utilisateur moins agréable.
Le matériel plus récent et Windows fonctionnent mieux ensemble pour désactiver l’accès direct à la mémoire via les ports et réduire les vecteurs d’attaque. Résultat : les entreprises peuvent déployer davantage de systèmes sans demander aux utilisateurs d’entrer des informations d’autorisation supplémentaires pendant le processus de démarrage. Le matériel approprié permet à BitLocker d’être utilisé avec la configuration « TPM uniquement » offrant aux utilisateurs une expérience d’authentification unique sans avoir à entrer un code confidentiel ou une clé USB pendant le démarrage.
Chiffrement de l’appareil
Le chiffrement de l’appareil est la version grand public de BitLocker, et il utilise la même technologie sous-jacente. Comment cela fonctionne, si un client se connecte avec un compte Microsoft et que le système répond à la configuration matérielle de secours moderne, le chiffrement de lecteur BitLocker est activé automatiquement dans Windows. La clé de récupération est sauvegardée dans Microsoft Cloud et est accessible au consommateur par le biais de son compte Microsoft. La configuration matérielle de secours moderne indique à Windows que le matériel est approprié pour le déploiement du chiffrement d’appareil et autorise l’utilisation de la configuration « TPM uniquement » pour une expérience simple pour les consommateurs. En outre, le matériel Veille moderne est conçu pour réduire la probabilité que les valeurs de mesure ne changent et pour demander la clé de récupération au client.
Pour les mesures logicielles, le chiffrement de l’appareil s’appuie sur les mesures de l’autorité qui fournit les composants logiciels (en fonction du code de signature de fabricants tels que les fabricants OEM ou Microsoft) et non sur les hachages précis des composants logiciels eux-mêmes. Cela permet d’assurer la maintenance des composants sans modifier les valeurs de mesures qui en résultent. Pour les mesures de configuration, les valeurs utilisées sont basées sur la stratégie de sécurité au démarrage et non sur les nombreux autres paramètres de configuration enregistrés au démarrage. Ces valeurs changent également moins fréquemment. Résultat : le chiffrement de l’appareil est activé sur le matériel approprié de manière conviviale, et dans le même temps, la protection des données est assurée.
Démarrage mesuré
Windows 8 a introduit le démarrage mesuré comme moyen pour le système d’exploitation d’enregistrer la chaîne de mesures des composants logiciels et les informations de configuration dans le module de plateforme sécurisée par le biais de l’initialisation du système d’exploitation Windows. Dans les versions précédentes de Windows, la chaîne de mesures s’arrêtait au niveau du composant Gestionnaire de démarrage Windows lui-même, et les mesures dans le module TPM n’étaient pas utiles pour comprendre l’état de démarrage de Windows.
Le processus de démarrage de Windows se déroule par étapes et implique souvent des pilotes non-Microsoft pour communiquer avec du matériel spécifique au fournisseur ou implémenter des solutions anti-programme malveillant. Pour les logiciels, le démarrage mesuré enregistre les mesures du noyau Windows, des Early-Launch pilotes anti-programme malveillant et des pilotes de démarrage dans le module de plateforme sécurisée. Pour les paramètres de configuration, le démarrage mesuré enregistre des informations de sécurité pertinentes, telles que les données de signature utilisées par les pilotes anti-programme malveillant et les données de configuration sur les fonctionnalités de sécurité Windows (par exemple, si BitLocker est activé ou désactivé).
La fonctionnalité de démarrage mesuré garantit que les mesures du module de plateforme sécurisée reflètent parfaitement l’état initial des logiciels Windows et les paramètres de configuration. Si les paramètres de sécurité et les autres protections sont configurées correctement, l’utilisateur peut être certain que la sécurité du système d’exploitation en cours d’exécution est assurée par la suite. D’autres scénarios peuvent utiliser l’état de démarrage du système d’exploitation pour déterminer si le système d’exploitation en cours d’exécution doit être approuvé.
Les mesures du module de plateforme sécurisée sont conçues pour éviter l’enregistrement d’informations confidentielles en tant que mesures. Pour assurer une protection supplémentaire de la confidentialité, le démarrage mesuré s’arrête à la chaîne de mesure à l’état de démarrage initial de Windows. Par conséquent, l’ensemble de mesures n’inclut pas de détails sur les applications en cours d’utilisation ou sur l’utilisation de Windows. Les informations de mesure peuvent être partagées avec des entités externes pour montrer que l’appareil applique des stratégies de sécurité adéquates et n’a pas démarré avec des programmes malveillants.
Le module de plateforme sécurisée propose la méthode suivante d’utilisation des mesures enregistrées dans le module de plateforme sécurisée au cours du démarrage :
- Attestation distante. À l’aide d’une clé d’identité d’attestation, le module de plateforme sécurisée peut générer et signer par chiffrement une instruction (ou citation) des mesures actuelles dans le module TPM. Windows peut créer des clés d’identité d’attestation uniques pour différents scénarios afin d’empêcher des évaluateurs distincts de collaborer pour suivre le même appareil. Les informations supplémentaires de la déclaration sont brouillées par chiffrement afin de limiter le partage d’informations et de mieux protéger la confidentialité. En envoyant la déclaration à une entité distante, un appareil peut indiquer les logiciels et les paramètres de configuration utilisés pour démarrer l’appareil et initialiser le système d’exploitation. Un certificat de clé d’attestation d’identité permet de s’assurer que la déclaration provient d’un module de plateforme sécurisée réel. L’attestation distante correspond au processus d’enregistrement des mesures dans le module de plateforme sécurisée. Elle génère une déclaration, et envoie les informations correspondantes vers un autre système, qui évalue les mesures pour établir l’approbation d’un appareil. La figure 2 illustre ce processus.
Lorsque de nouvelles fonctionnalités de sécurité sont ajoutées à Windows, le démarrage mesuré ajoute les informations de configuration relatives à la sécurité aux mesures enregistrées dans le module de plateforme sécurisée. Le démarrage mesuré permet une attestation distante qui reflète le microprogramme du système et l’état d’initialisation de Windows.
Figure 2 : Processus utilisé pour créer la preuve du logiciel de démarrage et de la configuration à l’aide d’un module de plateforme sécurisée
Attestation d’intégrité
Certaines améliorations de Windows aident les solutions de sécurité à implémenter des scénarios d’attestation à distance. Microsoft fournit un service d’attestation d’intégrité, qui peut créer des certificats de clé d’identité d’attestation pour les TPM de différents fabricants et analyser les informations de démarrage mesurées pour extraire des assertions de sécurité simples, telles que si BitLocker est activé ou désactivé. Les assertions de sécurité simples permettent d’évaluer l’intégrité de l’appareil.
Les solutions de gestion des périphériques mobiles peuvent recevoir des assertions de sécurité simples à partir du service d’attestation d’intégrité de Microsoft pour un client, sans avoir à gérer la complexité de la déclaration ou les mesures détaillées du module de plateforme sécurisée. Les solutions de gestion des périphériques mobiles peuvent agir sur les informations de sécurité en mettant en quarantaine des périphériques non intègres ou en bloquant l’accès aux services cloud tels que Microsoft Office 365.
Credential Guard
Credential Guard est une nouvelle fonctionnalité de Windows qui permet de protéger les informations d’identification Windows dans les organisations qui ont déployé AD DS. Historiquement, les informations d’identification d’un utilisateur (comme un mot de passe de connexion) étaient hachées pour générer un jeton d’autorisation. L’utilisateur a utilisé le jeton pour accéder aux ressources qu’il était autorisé à utiliser. L’une des faiblesses du modèle de jeton est que les logiciels malveillants qui avaient accès au noyau du système d’exploitation pouvaient examiner la mémoire de l’ordinateur et collecter tous les jetons d’accès actuellement utilisés. L’attaquant peut ensuite utiliser des jetons collectés pour se connecter à d’autres machines et collecter d’autres informations d’identification. Ce type d’attaque est appelé attaque de « passez le hachage », une technique de programme malveillant qui infecte un ordinateur pour infecter de nombreux ordinateurs au sein d’une organisation.
À l’instar de la façon dont Microsoft Hyper-V conserve les machines virtuelles séparées les unes des autres, Credential Guard utilise la virtualisation pour isoler le processus qui hache les informations d’identification dans une zone mémoire à laquelle le noyau du système d’exploitation ne peut pas accéder. Cette zone de mémoire isolée est initialisée et protégée pendant le processus de démarrage afin que les composants de l’environnement de système d’exploitation plus volumineux ne puissent pas la falsifier. Credential Guard utilise le module de plateforme sécurisée pour protéger ses clés avec des mesures TPM, de sorte qu’elles ne sont accessibles que pendant l’étape du processus de démarrage lorsque la région distincte est initialisée ; ils ne sont pas disponibles pour le noyau du système d’exploitation normal. Le code de l’autorité de sécurité locale dans le noyau Windows interagit avec la zone de mémoire isolée en transmettant les informations d’identification et en recevant des jetons d’autorisation à usage unique en retour.
La solution obtenue fournit une défense en profondeur, car même si un programme malveillant s’exécute dans le noyau du système d’exploitation, il ne peut pas accéder aux secrets à l’intérieur de la zone de mémoire isolée qui génère réellement des jetons d’autorisation. La solution ne résout pas le problème des enregistreurs d’événements de clés, car les mots de passe capturés par ces enregistreurs d’événements passent en fait par le noyau Windows normal, mais lorsqu’ils sont combinés avec d’autres solutions, telles que les cartes à puce pour l’authentification, Credential Guard améliore considérablement la protection des informations d’identification dans Windows.
Conclusion
Le TPM ajoute des avantages de sécurité basés sur le matériel à Windows. Lorsqu’il est installé sur un matériel qui inclut un module de plateforme sécurisée, Window offre des avantages de sécurité remarquablement améliorés. Le tableau suivant récapitule les principaux avantages des principales fonctionnalités du module de plateforme sécurisée.
Fonctionnalité | Avantages en cas d’utilisation sur un système disposant d’un module de plateforme sécurisée |
---|---|
Fournisseur de chiffrement de plateforme | - Si la machine est compromise, la clé privée associée au certificat ne peut pas être copiée hors de l’appareil. - Le mécanisme d’attaque de dictionnaire du module de plateforme sécurisée protège les valeurs de code confidentiel pour utiliser un certificat. |
Carte à puce virtuelle | Obtenez une sécurité similaire à celle des cartes à puce physiques sans déployer de cartes à puce physiques ou de lecteurs de cartes. |
Windows Hello Entreprise | - Les informations d’identification approvisionnées sur un appareil ne peuvent pas être copiées ailleurs. - Vérifiez le module de plateforme sécurisée d’un appareil avant que les informations d’identification soient approvisionnées. |
Chiffrement de lecteur BitLocker | Plusieurs options sont disponibles pour les entreprises pour protéger les données au repos tout en équilibrant les exigences de sécurité avec différents matériels d’appareil. |
Chiffrement de l’appareil | Avec un compte Microsoft et le matériel approprié, les appareils des consommateurs bénéficient en toute transparence de la protection des données au repos. |
Démarrage mesuré | Une racine matérielle de confiance contient des mesures de démarrage qui permettent de détecter les programmes malveillants lors de l’attestation à distance. |
Attestation d’intégrité | Les solutions GPM peuvent facilement effectuer une attestation à distance et évaluer l’intégrité du client avant d’accorder l’accès aux ressources ou aux services cloud tels qu’Office 365. |
Credential Guard | La défense en profondeur augmente de sorte que même si les logiciels malveillants disposent de droits d’administration sur une seule machine, il est beaucoup plus difficile de compromettre d’autres machines dans une organisation. |
Bien que certaines des fonctionnalités mentionnées ci-dessus aient des exigences matérielles supplémentaires (par exemple, la prise en charge de la virtualisation), le TPM est une pierre angulaire de la sécurité Windows. Microsoft et d’autres parties prenantes du secteur continuent d’améliorer les normes mondiales associées au TPM et de trouver d’autres applications qui l’utilisent pour offrir des avantages tangibles aux clients. Microsoft a inclus la prise en charge de la plupart des fonctionnalités TPM dans sa version de Windows pour l’Internet des objets (IoT) appelée Windows IoT Core. Les appareils IoT qui peuvent être déployés dans des emplacements physiques non sécurisés et connectés aux services cloud comme Azure IoT Hub pour la gestion peuvent utiliser le module de plateforme sécurisée de manière inédite afin de répondre aux nouvelles exigences en matière de sécurité.