Microsoft vient de publier sur son site un document destiné aux concepteurs de PC de bureau, d’ordinateurs portables, de 2 en 1 ou de tablettes. Ce document décrit dans le détail quels sont les standards à employer pour concevoir un appareil hautement sécurisé sous Windows 10. Autrement, avec ces recommandations, Microsoft dessine les futurs ordinateurs qui feront tourner son système d’exploitation et que nous utiliserons demain. On y découvre des PC plus sûrs, grâce à différentes couches matérielles.
C’est pour quoi le géant de Redmond commence par définir le matériel en six catégories comprenant le processeur, son architecture, la mémoire (8 Go au minimum), la virtualisation, le module TPM et la vérification du démarrage.
Des fonctions de virtualisation dans le processeur
Pour le processeur, Microsoft recommande la septième génération de puces chez Intel et AMD. L’objectif est d’avoir un processeur 64 bit qui puisse tirer partie des fonctions de sécurité reposant sur la virtualisation (via l’hypervisor) des processus.
Ce que Microsoft appelle la VBS, pour Virtualization-based Security, une méthode qui recourt aux fonctions de virtualisation matérielle pour créer une “région sécurisée” dans la mémoire, isolée du système d’exploitation normal. C’est dans ces zones sûres que pourront fonctionner des solutions de sécurité sans risque qu’elles soient interrompues ou corrompues par des failles ou des attaques du système d’exploitation.
Cette fonction permet aussi de protéger l’intégrité du noyau de Windows des attaques de programmes malveillants (malware). Elle crée une couche de protection supplémentaire dans le cadre d’un environnement virtuel qui isole les processus et les données critiques.
Or, cette sécurité reposant sur la virtualisation nécessite la fonction MBEC (Mode Based Execution Control) qui n’est pas présente dans la sixième génération de processeurs et apparaît dans la septième génération. En outre, cette virtualisation nécessite un processeur 64 bits, ainsi que des fonctions spécifiques pour les machines virtuelles (VT-d et Vt-x pour Intel, AMD-Vi et RVI pour AMD).
Un module de chiffrement spécialisé
L’autre composant recommandé par Microsoft est le module TPM (Trusted Platform Module). Introduit du temps de Windows Vista, ce circuit spécialisé génère les clés de chiffrement et leur stockage, ainsi que l’authentification matérielle. Ce circuit est, par exemple, utilisé pour le chiffrement du disque dur avec la fonction BitLocker de Windows. Une fonction qu’on ne peut que vous encourager d’activer si vous pensez que vos données sont précieuses et ne regardent que vous.
En l’occurrence, ce module doit être conforme à la dernière spécification du Trustworthy Computing Group (TCG). Afin d’éviter de charger au démarrage un firmware qui ne provient pas du constructeur officiel, l’ordinateur doit être doté d’un mécanisme de vérification du démarrage tel que le Boot Guard chez Intel ou l’Hardware Verified Boot chez AMD.
En bloquant cette porte, c’est une grande partie des malwares qui se trouvent interdits de séjour, et qui ne pourront en tout cas pas facilement modifier le secteur de démarrage afin de rester en activité après un redémarrage.
Enfin, dernier point, qui pourrait être autant une question de sécurité que de performance, Microsoft précise que ces futurs PC sécurisés devront embarquer a minima 8 Go de mémoire vive.
Un firmware UEFI sécurisé
Outre les composants, Microsoft détaille également dans sa documentation les recommandations pour le firmware de l’ordinateur, un micro-programme qui est exécuté en premier, lors du démarrage. L’accent est mis sur l’UEFI (Unified Extension Firmware Interface) qui définit l’interface entre le système d’exploitaiton et le firmware.
Ce dernier doit comporter une UEFI de version 2.4 au minimum et l’activation par défaut du mode de démarrage sécurisé. Microsoft mentionne également la protection de la mémoire contre les attaques grâce à la fonction Secure MOR et la compatibilité des pilotes du firmware avec le standard HVCI (Hypervisor Code Integrity) pour les environnements virtuels. Enfin, le firmware doit pouvoir être mis à jour de façon sécurisée par Windows Update.
Si la prise en compte de ces recommandations n’engendre pas un surcoût important, il faudra être vigilant lors de l’achat car beaucoup d’ordinateurs destinés au grand public n’embarquent pas de module TPM. Certes, il est possible de faire fonctionner Windows 10 sans tenir compte des recommandations de Microsoft, mais la machine se révèle alors moins protégée contre les attaques de pirates.
Source :
Bleeping Computer
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
