Embed Size (px)
Citation preview
Sécurité des terminaux Windows Mobile 5
Sécurité des terminaux Windows Mobile 5
Thierry PicqManaging Consultant
Microsoft Services France
L’identité du Conseil MicrosoftRôle d’avant-gardeRôle d’avant-garde
Catalyseur du changement chez nos clients pour l’emploi des technologies Microsoft et Catalyseur du changement chez nos clients pour l’emploi des technologies Microsoft et l’adoption des nouvelles versionsl’adoption des nouvelles versionsEffet de levier maximum en début de cycle de vie des technologiesEffet de levier maximum en début de cycle de vie des technologiesEffacement progressif quand :Effacement progressif quand :
La technologie est installée dans le compteLa technologie est installée dans le compteLe savoir-faire et les compétences sont largement diffuséesLe savoir-faire et les compétences sont largement diffusées
Assistance aux partenaires mettant l’accent sur le transfert de compétences et Assistance aux partenaires mettant l’accent sur le transfert de compétences et de connaissances sur les technologies Microsoftde connaissances sur les technologies MicrosoftCadres méthodologiques éprouvés : Cadres méthodologiques éprouvés : Microsoft Solutions FrameworkMicrosoft Solutions Framework (MSF) et (MSF) et Microsoft Operations FrameworkMicrosoft Operations Framework (MOF) (MOF)Capacité d’engagement sur les projets stratégiquesCapacité d’engagement sur les projets stratégiques
Partenaires
Support
Risque
Adoption des Technologies
Conseil Microsoft
Architecture type
Serveur FE
Mailbox Server
Mailbox Server
Internet(Réseaux cellulaires :
GSM/GPRS)
Filaire
Sans fil
Légende
Wireless PDA
Smart phone
Wi-FiPDA Wi-Fi
Smart phone
Internet sans fil(802.11x - hotspots)
Wi-FiPDA
Wi-FiSmart phone
Wifi Interne
Frontières de l’Entreprise
DMZ
Accès unique “nom du server” = “monentreprise.com”Accès unique “nom du server” = “monentreprise.com” Pas de compte spécifiquePas de compte spécifique
InternetHaut débit(VPN, …)
Internet
Accès Distants (RAS)
POP FAI
Conclusion matinale(hors terminaux):
Serveur FE
Mailbox Server
Mailbox Server
Internet(Réseaux cellulaires :
GSM/GPRS)
Filaire
Sans fil
Légende
Wireless PDA
Smart phone
Wi-FiPDA Wi-Fi
Smart phone
Internet sans fil(802.11x - hotspots)
Wi-FiPDA
Wi-FiSmart phone
Wifi Interne
Frontières de l’Entreprise
DMZ
Accès unique “nom du server” = “monentreprise.com”Accès unique “nom du server” = “monentreprise.com”
InternetHaut débit(VPN, …)
Internet
POP FAISSL 128 bits
Analyse des flux
Segmentation
Je maîtrise et sécurise les communications Je maîtrise et sécurise les communications de bout en bout en maintenant un niveau de bout en bout en maintenant un niveau de sécurité élévéde sécurité élévé
Ce matin nous avons traité la sécurité des voies de communications et le contrôle des points d’accès mais:
Il faut sécuriser les terminaux en eux-Il faut sécuriser les terminaux en eux-mêmemême
Il faut gérer les données sur ces Il faut gérer les données sur ces terminauxterminaux
Il est nécessaire d’administrer ces Il est nécessaire d’administrer ces terminauxterminaux
TerminauxTerminaux
Risques de sécurité : Les terminaux mobiles doivent être considérés comme des ordinateurs à part entière…
EntrepriseEntreprise OpérateursOpérateursMobiles et FixesMobiles et Fixes
WLANWLAN
WANWAN
PANPAN
InfraredInfrared
LANLAN
WANWAN
ApplicationsApplications
Disposez-vous d’une politique de sécurité pour les terminaux Disposez-vous d’une politique de sécurité pour les terminaux mobiles ? Les ordinateurs portables, mais aussi les autres…?mobiles ? Les ordinateurs portables, mais aussi les autres…?
Analyse des risques Des défis pour tous…
Opérateur Opérateur MobileMobileUtilisateur finalUtilisateur finalEntrepriseEntreprise
Protection des Protection des données de données de l’entreprisel’entrepriseSécurité et Sécurité et intégrité du réseau intégrité du réseau interneinterneGestion des Gestion des terminauxterminauxGestion des Gestion des applicationsapplications
Simplicité Simplicité d’usaged’usageDiversité et Diversité et richesse des richesse des applicationsapplicationsCapacité à Capacité à développer des développer des applications applications complexescomplexesSécuritéSécurité
Intégrité et Intégrité et disponibilité du disponibilité du réseau Opérateurréseau OpérateurGestion des Gestion des terminauxterminaux““Branding”Branding”Déployer des Déployer des applications et des applications et des services à valeur services à valeur ajoutéeajoutéeMinimiser les coûts Minimiser les coûts de supportde support
Intégrité et disponibilité du terminal, prévention des Intégrité et disponibilité du terminal, prévention des “malware”“malware”
Voix et accès aux données sont des besoins communsVoix et accès aux données sont des besoins communs
Sécurité au niveau du terminal Modèle de sécurité Modèle de sécurité
PérimètrePérimètre
Protection des donnéesProtection des données
Sécurité du réseau (PAN) Sécurité du réseau (PAN)
Sécurité matérielleSécurité matérielle
Sachant que sur un terminal mobile, Sachant que sur un terminal mobile, l’ergonomie est l’ergonomie est fondamentalefondamentale::
Usage avec seule main, en mouvement, clavier limitéUsage avec seule main, en mouvement, clavier limité
Pas de Smartcard, pas de clefs USB, la biométrie peu Pas de Smartcard, pas de clefs USB, la biométrie peu répandue, etc.répandue, etc.
Et que Et que Les utilisateurs vont naturellement rejeter ou Les utilisateurs vont naturellement rejeter ou contourner des mesures de sécurité limitant ce qu’ils contourner des mesures de sécurité limitant ce qu’ils souhaitent faire.souhaitent faire.
……ou si ces mesures représentent «trop de travail »ou si ces mesures représentent «trop de travail »
Ne jamais sous estimer la « créativité » des Ne jamais sous estimer la « créativité » des utilisateurs…utilisateurs…
Première défense contre les programmes Première défense contre les programmes malveillantsmalveillantsCombinaison de la signature électronique Combinaison de la signature électronique du code et la configuration du terminaldu code et la configuration du terminal
Les terminaux sont configurés selon deux modes:Les terminaux sont configurés selon deux modes:1-tier1-tier2-tier2-tier
La signature défini les permissions pour une applicationLa signature défini les permissions pour une application
Ces applications/codes peuvent être signés par Ces applications/codes peuvent être signés par Mobile2Market (M2M): programme de signatureMobile2Market (M2M): programme de signatureLes Opérateurs MobilesLes Opérateurs MobilesLes EntreprisesLes Entreprises
La révocation de code signé est plus efficaceLa révocation de code signé est plus efficace
Modèle de sécurité de Windows Mobile Contrôle d’exécution du code (Code Execution Control)
Trusted (Privileged) Code GroupTrusted (Privileged) Code GroupAccès complet au terminal: toutes les APIs, la base de Accès complet au terminal: toutes les APIs, la base de registre, le système de fichiers, les interfaces matérielles, le registre, le système de fichiers, les interfaces matérielles, le Kernel modeKernel mode
Normal (Unprivileged) Code GroupNormal (Unprivileged) Code GroupAccès limité au terminal: la plupart des APIs, des segments Accès limité au terminal: la plupart des APIs, des segments de la base de registre et du système de fichiers ne sont de la base de registre et du système de fichiers ne sont accessibles qu’en lecture seule.accessibles qu’en lecture seule.Ce mode doit être celui privilégié pour la conception et la Ce mode doit être celui privilégié pour la conception et la réalisation d’applicationsréalisation d’applications
Blocked Code GroupBlocked Code GroupLes applications ne peuvent fonctionnerLes applications ne peuvent fonctionner
Ces Ces Code GroupsCode Groups sont assignés lors du chargement sont assignés lors du chargement du code, basés sur la signature de ce dernier.du code, basés sur la signature de ce dernier.
Modèle de sécurité de Windows Mobile Code Groups (CG)
Terminologie décrivant les permissions associées Terminologie décrivant les permissions associées au codeau codeTerminaux Terminaux 2-tier2-tier
Fonctionne en Fonctionne en Code Groups Code Groups ‘‘TrustedTrusted’ et ‘’ et ‘NormalNormal’’Uniquement les Smartphone (Uniquement les Smartphone (configuration par défautconfiguration par défaut))
Terminaux Terminaux 1-tier1-tierToutes les applications fonctionnent avec le Toutes les applications fonctionnent avec le Code Group Code Group ‘‘TrustedTrusted’’Le code ‘Le code ‘NormalNormal’ est associé au code ‘’ est associé au code ‘TrustedTrusted’’Smartphone et PocketPCSmartphone et PocketPCPocketPC (PocketPC (configuration par défautconfiguration par défaut) )
Configuré via des politiques de sécuritéConfiguré via des politiques de sécurité
Modèle de sécurité de Windows Mobile Contrôle d’éxecution: terminaux 1-tier ou 2-tier
Modèle de sécurité de Windows Mobile Définir l’équilibre
AccessibilitéAccessibilité Applications variéesApplications variées Plus simple pour les Plus simple pour les
utilisateursutilisateurs
SécuritéSécurité Protection renforcée contre Protection renforcée contre
les codes malveillantsles codes malveillants Accroissement de la gestionAccroissement de la gestion
Pas de sécuritéPas de sécurité NotificationNotification Signé par Signé par tierce partietierce partie VerrouilléVerrouillé
Toutes les Toutes les applications applications fonctionnentfonctionnent
Utilisateur Utilisateur notifié pour notifié pour l’exécution l’exécution
de code non de code non signé ou signé ou inconnuinconnu
Le code Le code doitdoit être être
signé pour signé pour s’exécuters’exécuter
Le code Le code doitdoit être signé être signé
pour pour s’exécuter. s’exécuter. Signature Signature contrôléecontrôlée
CG: TrustedCG: Trusted CG: Trusted, CG: Trusted, Normal ou Normal ou BlockedBlocked
CG: Trusted, CG: Trusted, Normal ou Normal ou BlockedBlocked
CG: Trusted, CG: Trusted, Normal ou Normal ou BlockedBlocked
Modèle de sécurité de Windows Mobile Recommendations
Le modèle Le modèle SANSSANS sécurité n’est sécurité n’est PASPAS recommandé !recommandé !
QuiQui Configuration du terminalConfiguration du terminal SécuritéSécurité ISVsISVsSécuritSécurit
éé
élevée élevée LORGLORG
VerrouilléVerrouilléSignatures OM, Entreprise, OEM Signatures OM, Entreprise, OEM
uniquementuniquement
ExpériencExpérience e
“complexe“complexe””
S/S/MORGMORG
Signature par tierce partieSignature par tierce partieSignature M2M acceptée, non signé Signature M2M acceptée, non signé
bloquébloqué Favorise la Favorise la communautcommunaut
é des é des développeudéveloppeu
rsrs
OpérateuOpérateurr
MobileMobile
(Default(Default))
SmartphoneSmartphone
2-tier 2-tier notificationnotification
Pocket PCPocket PC
1-tier 1-tier notificationnotification
Notification: code inconnu, utilisateur Notification: code inconnu, utilisateur prévenuprévenu
Démonstration
Démonstration
Code Groups
Sécurité du périmètre
Mots de passe:Mots de passe:PocketPC: PocketPC: 4 digit pin, mots de passe forts4 digit pin, mots de passe fortsSmartphone: Smartphone: > 4 digit pin> 4 digit pin
Mots de passe stockés dans une partie sécurisée Mots de passe stockés dans une partie sécurisée (privilégiée) de la (privilégiée) de la RegistryRegistryAccroissement exponentiel des délais en cas de Accroissement exponentiel des délais en cas de mauvais mot de passe mauvais mot de passe Partenariat Activesync protégé par mot de passePartenariat Activesync protégé par mot de passe
Protocoles:Protocoles:PAP, CHAP, MS-CHAP, TLS, NTLM support PAP, CHAP, MS-CHAP, TLS, NTLM support SSL 3.0 SSL 3.0
Exchange ActiveSync & IE MobileExchange ActiveSync & IE Mobile
Local Authentication Subsystem (LASS): Local Authentication Subsystem (LASS): mécanismes flexibles d’intégration de Plug-ins mécanismes flexibles d’intégration de Plug-ins d’authentificationd’authentification ((Local Authentication Plug-ins / LAP)Local Authentication Plug-ins / LAP)
BiométrieBiométriePotentiellement très pratiquePotentiellement très pratiqueIdentifiant ou authentifiant?Identifiant ou authentifiant?
HP iPAQ série 5400 avec lecteur HP iPAQ série 5400 avec lecteur d’empreintes digitalesd’empreintes digitales
Lecteurs de cartes à puces Lecteurs de cartes à puces ApplicationsApplicationsAccès réseauAccès réseauSolutions tiercesSolutions tierces Pointsec SoftwarePointsec Software
Protection des donnéesPlus exposé qu’un PC traditionnelPlus exposé qu’un PC traditionnel
Intégration des services de crypto pour les Intégration des services de crypto pour les applicationsapplications
Certification FIPS 140-2 (WM 5.0)Certification FIPS 140-2 (WM 5.0)
S/MIME (WM 5.0)S/MIME (WM 5.0)
128-bit Cryptographic services128-bit Cryptographic services: Crypto API v2: Crypto API v2
Signature de code (limite l’installation : SP)Signature de code (limite l’installation : SP)
API Anti-virus: ces virus peuvent exister et se propager (cf. API Anti-virus: ces virus peuvent exister et se propager (cf. Cabir Cabir (fin 2004)(fin 2004) et Commwarrior.A et Commwarrior.A (mars 2005)(mars 2005) pour Symbian se pour Symbian se propageant via une combinaison de Bluetooth et MMS)propageant via une combinaison de Bluetooth et MMS)A ce jour nous ne connaissons pas de virus pouvant se A ce jour nous ne connaissons pas de virus pouvant se propager d’une plateforme PC vers un PDA/Smarphone.propager d’une plateforme PC vers un PDA/Smarphone.
SQL-CE fourni un chiffrement 128-bits (PPC SQL-CE fourni un chiffrement 128-bits (PPC uniquement)uniquement)
Nombreux outils tiers pour chiffrer les données:Nombreux outils tiers pour chiffrer les données:Computer Associates; F-Secure; McAfee; Symantec; SOFTWIN; Computer Associates; F-Secure; McAfee; Symantec; SOFTWIN; Trend Micro; Trend Micro; Bluefire Security Technologies; Check Point VPN-1 Bluefire Security Technologies; Check Point VPN-1 SecureClient.SecureClient.
Sécurité réseauClient VPN intégréClient VPN intégré
PPTP, L2TP, L2TP/IPSEC (PSK, ou certificat)PPTP, L2TP, L2TP/IPSEC (PSK, ou certificat)IPSEC: le mode tunnel nécessite un client tiersIPSEC: le mode tunnel nécessite un client tiers
WirelessWirelessWEP, 802.1X (EAP-TLS, PEAP), WPA (incluant PSK) WEP, 802.1X (EAP-TLS, PEAP), WPA (incluant PSK)
Secure Browsing: HTTP (SSL), WAP (WTLS), Secure Browsing: HTTP (SSL), WAP (WTLS), ZonesZones de de SécuritéSécuritéCertification FIPS 140-2Certification FIPS 140-2OTA device management security: OTA device management security: OMA DM OMA DM provision provision settings & certssettings & certsWindows CE 5.0 : Stockage persistantWindows CE 5.0 : Stockage persistantOffres tierces:Offres tierces:
VPN VPN Checkpoint, Bluefire, Funk Software, Certicom Movian VPNCheckpoint, Bluefire, Funk Software, Certicom Movian VPN (OEM uniquement)(OEM uniquement)
Authentification à deux facteursAuthentification à deux facteursRSA SecureIDRSA SecureID (supporte la synchronisation Exchange EAS) (supporte la synchronisation Exchange EAS)
Sécurité du PAN : BluetoothSécurité du PAN : Bluetooth““Bluesnarfing”: Vol de données personnelles via Bluesnarfing”: Vol de données personnelles via une connexion Bluetooth.une connexion Bluetooth.VirusVirusRecommandation de Microsoft aux OEM de Recommandation de Microsoft aux OEM de désactiver BT par défaut.désactiver BT par défaut.
Windows CEWindows CE
Windows XP Windows XP EmbeddedEmbedded
Windows Windows MobileMobile
Sécurité: gestion des terminaux System Management Server 2003 feature pack
XP EmbeddedAdvanced Client
Device Management Feature Pack
CE Device Management Client
Inventaire matériel & Inventaire matériel & logiciellogiciel
Collecte de fichiersCollecte de fichiers
Distribution logicielDistribution logiciel
ScriptsScripts
Gestion des configurations (mots de Gestion des configurations (mots de passe, etc.)passe, etc.)
Distribution automatique via le PC Distribution automatique via le PC (sous SMS)(sous SMS)
SécuritéSécurité::
Credant Mobile Guardian-Credant Mobile Guardian- Enterprise Edition Enterprise EditionIntégration AD et groupesIntégration AD et groupesGestion des mots de passe, synchronisation PC, chiffrement, Gestion des mots de passe, synchronisation PC, chiffrement, Firewall, autorisations et accèsFirewall, autorisations et accèsLoggingLogging
Bluefire SecurityBluefire SecurityLoggingLogging Firewall et politiques de mots de passeFirewall et politiques de mots de passe
GestionGestion de bout en bout de bout en boutAfaria & Extended Systems (Sybase), Intellisync, JP MobileAfaria & Extended Systems (Sybase), Intellisync, JP Mobile
Exchange 2003 SP2Exchange 2003 SP2SécuritéSécurité
Support S/MIME, Support S/MIME, CertificationCertification FIPSFIPSCentralisation de la sécurité des terminauxCentralisation de la sécurité des terminaux
Garantie d’application des politiques de sécurité: PIN code (complexité, Garantie d’application des politiques de sécurité: PIN code (complexité, longueur), effacement des données après X tentatives, impossible de longueur), effacement des données après X tentatives, impossible de synchroniser si les politiques ne sont pas suiviessynchroniser si les politiques ne sont pas suiviesPossibilité de forcer une mise à jour régulière des politiques de sécurité Possibilité de forcer une mise à jour régulière des politiques de sécurité ““Formatage” à distanceFormatage” à distanceIntégration des certificats x509Intégration des certificats x509
Fonctionnel Fonctionnel Direct Push TechnologyDirect Push Technology: AUTD sans SMS, indépendant du média de connexion, : AUTD sans SMS, indépendant du média de connexion, recherche dans la GAL, Synchronisation des Taches, etc…recherche dans la GAL, Synchronisation des Taches, etc…
Sécurité: gestion des terminaux
Gestion distante des terminaux et politiques de sécurité
Device Security SettngsDevice Security Settngs
Enable PIN on device
4
Require both numbers and letters
Wipe device after failed (attempts): 4
Exceptions...Specify an exception list of users that are except from the setting enforcement
OK Cancel Help
Minimum PIN Length (digits):
Refresh settings on the device (hours): 24
Allow access to devices that do not support PIN settings
Inactivity time (minutes): 5
Réinitialisation à distanceRemarque: Réinitialisation complète du Remarque: Réinitialisation complète du terminal uniquement (ne concerne pas le terminal uniquement (ne concerne pas le stockage amovible)stockage amovible) Géré par un outil Web (IIS 6 nécessaire)Géré par un outil Web (IIS 6 nécessaire)Peut être délégué au centre de supportPeut être délégué au centre de supportHistorique (Transaction log)Historique (Transaction log)
Microsoft Exchange ActiveSync Mobile Web Microsoft Exchange ActiveSync Mobile Web Administration toolAdministration tool ::
http://www.microsoft.com/downloads/details.aspx?familyid=E6851D23-D145-4DBF-A2CC-E0B4C6301453&displaylang=en
Démonstration
Démonstration
Application de politiques de sécurité avec Exchange 2003
SP2
Conclusion :
Serveur FE
Mailbox Server
Mailbox Server
Internet(Réseaux cellulaires :
GSM/GPRS)
Filaire
Sans fil
Légende
Wireless PDA
Smart phone
Wi-FiPDA Wi-Fi
Smart phone
Internet sans fil(802.11x - hotspots)
Wi-FiPDA
Wi-FiSmart phone
Wifi Interne
Frontières de l’Entreprise
DMZ
Accès unique “nom du server” = “monentreprise.com”Accès unique “nom du server” = “monentreprise.com”
InternetHaut débit(VPN, …)
Internet
POP FAISSL 128 bits
Analyse des flux clients& serveurs
Segmentation
Je peux capitaliser sur mes investissements pour Je peux capitaliser sur mes investissements pour gagner en productivité tout en restant sécurisé et en gagner en productivité tout en restant sécurisé et en maîtrisant les coûtsmaîtrisant les coûtsdans un environnement ouvert …dans un environnement ouvert …
Microsoft FranceMicrosoft France18, avenue du Québec18, avenue du Québec
91 957 Courtaboeuf Cedex91 957 Courtaboeuf Cedex
www.microsoft.com/france
0 825 827 8290 825 827 829
[email protected]@microsoft.com
