Accueil
Cyberécurité

Device Guard protège Windows 10 des logiciels malveillants

Cédric Mialaret
Cyberécurité

RSA Conference

En mars, Microsoft annonçait deux nouvelles technologies pour rendre plus sûr Windows 10 : Windows Hello, qui permet l’utilisation de l’authentification biométrique, et Microsoft Passport, un système d’authentification sans mot de passe pour les services en ligne.

Le 21 avril à l’occasion de la RSA Conference, Scott Charney, le vice-président de Microsoft en charge du trustworthy computing, présentait une session intitulée Enhancing Cloud Trust, durant laquelle il mentionnait Device Guard.

 

Protection contre les logiciels malveillants et les menaces avancées persistantes

Cette innovation sécuritaire, détaillée un peu plus sur le blogue Windows, permet de minimiser l’infestation des logiciels malveillants et les menaces avancées persistantes en n’autorisant que les applications dignes de confiance: celles du Windows Store, celles signées par certains éditeurs de logiciels, ou celles d’une organisation.

Contrairement à AppLocker, une fonctionnalité introduite dans Windows 7 ayant le même but, et aux antivirus traditionnels, Device Guard ne peut être compromis par un administrateur ou un logiciel malveillant, quand bien même ils auraient compromis le noyau du système d’exploitation.

Pour cela, le code qui détermine si une application est digne de confiance ou non, est entièrement séparé du code Windows. Toute installation de Windows 10 s’effectuera au-dessus d’un hyperviseur (logiquement, il devrait s’agir d’Hyper-V), et le code de détermination de la confiance sera exécuté dans une autre session de l’hyperviseur contenant une version minimale de Windows.

 

Support matériel

Cette séparation est matérielle, la mémoire utilisée par le code de détermination n’étant pas accessible par Windows 10, et inversement : l’hyperviseur agit comme un pare-feu. Le matériel doit donc avoir un processeur compatible IOMMU (input/output memory management unit), un système qui empêche les attaques d’accès direct à la mémoire. C’est le cas par exemple des processeurs Intel compatibles VT-d, des processeurs AMD compatibles AMD-vi (PDF), des processeurs ARM compatibles SMMU (PDF).

Les fabricants peuvent déjà faire certifier leur matériel compatible Windows 8 incluant le support matériel adéquant, ainsi que les futurs ordinateurs, tablettes et smartphones compatibles Windows 10. On ne sait pas si le support de Data Guard sera nécessaire pour tous les matériels affichant le logo Windows 10.

 

Liberté des entreprises

Les applications du Windows Store et les applications universelles dignes de confiance seront approuvées par Device Guard sur tout ordinateur, tablette ou smartphone équipé de Windows 10. Une entreprise pourra envoyer à Microsoft une clé qui permettra de signer des applications auxquelles l’entreprise fait confiance, mais qui n’ont pas été signées par leur éditeur parce qu’elles sont vieilles, que l’éditeur a fait faillite ou pour toute autre raison. Cette clé sera unique à l’entreprise. Chaque organisation peut donc définir indépendamment l’ensemble d’applications dans lequel elle a confiance.

 

Un pari sur l’hyperviseur

Device Guard est donc un pari sur l’infrastructure Hyperviseur : un pari que l’hyperviseur est sûr et sans bogue, tout comme le microcode de virtualisation des processeurs. C’est le même pari que dans le cloud, où l’on espère l’hyperviseur suffisamment solide pour contenir une machine virtuelle qui serait infectée afin qu’elle n’ait aucune influence sur les autres machines virtuelles.

Microsoft devrait présenter Data Guard plus en détail lors de la prochaine conférence BUILD, à la fin du mois.

 

Enhancing Cloud Trust