Windows 10: Microsoft dévoile « Secured core » pour bloquer les attaques sur le firmware
Sécurité : Cette nouvelle
couche de sécurité concerne les PC haut de gamme. Le premier PC Windows
10 à bénéficier de "Secured core" est la Surface Pro X.
Apple a toujours eu le contrôle complet du matériel et de son système d’exploitation, mais la philosophie de Microsoft n’a jamais été du même ordre.
Mais récemment, Microsoft vise à prendre le contrôle sur le matériel au même niveau qu’Apple grâce à des partenariats avec des fabricants de PC sous Windows. L'objectif est de protéger les appareils contre les attaques qui exploitent le fait que le firmware dispose de privilèges plus élevés que le noyau Windows.
De nos jours, Microsoft est également une entreprise de matériel informatique. La société a tiré les leçons de la Xbox en matière de piratage DRM et les a appliquées à l'écosystème matériel Windows dans le cadre de la nouvelle initiative «Secured core».
Les consommateurs ne verront aucune marque «Secured core» sur leurs PC et la technologie n'existera que sur les derniers appareils Windows 10 équipés de jeux de puces Intel, Qualcomm et AMD.
Toutefois, sur ces nouvelles machines haut de gamme, comme les ordinateurs portables Surface Pro X et Dragonfly, les consommateurs bénéficieront d’une couche de sécurité supplémentaire qui isolera les clés de chiffrement et les éléments d’identité de Windows 10. Ces éléments pouvaient être compromis par des attaques visant les firmwares spécifiques à un appareil.
Nouvelles attaques et nouvelles protections
À la base, la nouvelle protection du firmware provient d’une fonctionnalité de Windows Defender appelée System Guard. Cette fonctionnalité est destinée à protéger les PC Windows 10 des nouvelles attaques utilisées par les groupes de piratage de haut niveau tels que APT28 ou Fancy Bear. Ces groupes ont utilisé à la fin de l’année dernière un nouveau rootkit UEFI (Unified Extensible Firmware Interface) pour cibler les ordinateurs Windows."Si vous êtes visés par un malware au niveau du noyau sur votre système d'exploitation standard, l'attaquant ne pourra pas accéder aux fonctionnalités critiques", a déclaré à ZDNet Dave Weston, directeur associé de la sécurité Windows chez Microsoft.
La conception de Secured Core découle de l’expérience de Microsoft en matière de prévention du piratage sur ses consoles de jeu Xbox.
"La Xbox a un modèle de menace très avancé, car nous ne faisons pas confiance à l'utilisateur, même s'il possède physiquement l’appareil. Nous ne voulons pas que l'utilisateur puisse pirater la console pour exécuter ses propres jeux", a déclaré Weston.
"En outre, lorsqu’on sort du domaine de jeu et que l’on se place dans le monde réel, vous voulez avoir la même garantie qu'un attaquant ne peut pas accéder à votre code et à vos données. Nous avons tiré nos propres leçons et travaillé avec des fournisseurs de composant afin de développer une stratégie pour faire face aux menaces avancées ".
Microsoft avait déjà Secure Boot. Cependant, cette fonctionnalité suppose que le firmware est approuvé pour vérifier les chargeurs d'amorçage, ce qui signifie que les attaquants peuvent exploiter le micrologiciel approuvé. Le rootkit d’APT28 n’était pas correctement signé, ce qui signifie que les PC Windows sur lesquels Windows Secure Boot est activé ne sont pas vulnérables, car le système autorise uniquement le chargement du firmware signé.
Cependant, une fois infectés, les logiciels malveillants d’APT28 pouvaient survivre à une réinstallation du système d’exploitation ou au remplacement d’un lecteur matériel.
La nouvelle initiative de Microsoft en matière de sécurité intervient alors que les attaquants et les chercheurs en sécurité s'intéressent de plus en plus aux firmwares. Les vulnérabilités de affectant ces composants divulguées en 2016 étaient inférieures à 50, mais sont passées à 400 en 2017 et à un peu moins de 500 en 2018.
REF.: