Microsoft a annoncé un changement dans la configuration matérielle minimum requise pour les dispositifs mobiles et PC qui vont tourner sur Windows 10, espérant voir les constructeurs les adopter très vite pour des dispositifs plus sécurisés.
À compter du 28 juillet 2016, tous les nouveaux modèles d’appareils devront embarquer la version 2.0 du TPM (Trusted Platform Module) qui devra être activée par défaut. Le Trusted Platform Module (qui peut également se présenter sous forme de puce et porter le nom de puce TPM ou puce Fritz) est un composant cryptographique matériel, sur lequel s'appuie l'implémentation au niveau matériel du système Next-generation secure computing base (NGSCB). Il est appelé à être intégré sur les cartes mères des ordinateurs et autres équipements électroniques et informatiques conformes aux spécifications du Trusted Computing Group.
Bien que cette puce soit un composant électronique passif (qui ne peut pas donner d'ordre à l'ordinateur tel que bloquer le système, ou surveiller l'exécution d'une application), elle permet de facilement stocker des secrets (tels que des clés de chiffrement), de manière sécurisée. Aussi, elle va profiter aux utilisateurs en leur offrant une meilleure protection de leurs informations sensibles sur PC par exemple.
Le TPM 2.0 pourrait également permettre de renforcer la sécurité de la fonctionnalité d’authentification biométrique Windows Hello via laquelle les utilisateurs peuvent se connecter sur leur PC après s’être fait identifier par leurs empreintes digitales, leur visage ou un scan rétinien. Dans ce cas de figure, le TPM 2.0 pourra générer et sauvegarder les clés d’authentification dans une zone sécurisée.
Il en va de même pour Microsoft Passport, qui remplace les mots de passe par une authentification forte à deux facteurs se composant d’un appareil inscrit et d’un Windows Hello (biométrique) ou d’un code confidentiel.
Pour rappel, Microsoft Passport permet aux utilisateurs de s’authentifier auprès d’un compte Microsoft, d'un compte Active Directory, d'un compte Microsoft Azure Active Directory (AD) ou d'un service non-Microsoft qui prend en charge l’authentification FIDO. Après une vérification initiale en deux étapes lors de l’inscription, Microsoft Passport est configuré sur l’appareil de l’utilisateur et ce dernier définit un mouvement, qui peut être un Windows Hello ou un code confidentiel. L’utilisateur indique le mouvement qu’il souhaite utiliser pour procéder à la vérification d’identité. Windows utilise ensuite Microsoft Passport pour authentifier les utilisateurs et leur permet d’accéder aux ressources et aux services protégés.
En janvier dernier, Microsoft a indiqué que les TPM ne sont pas nécessaires pour Windows Hello, mais l’éditeur recommandait cette couche de sécurité supplémentaire afin de protéger les données de connexion biométriques. Les puces TPM peuvent s’avérer difficiles à pirater et participer à mieux protéger les informations sensibles que les mécanismes logiciels qui auraient été utilisés autrement pour protéger les données de connexion de Windows Hello.
D’ailleurs, Kevin Murphy, vice-président des opérations au sein de l’entreprise en sécurité IOActive, a indiqué que les puces TPM fournissent une amélioration de la sécurité sur les ordinateurs portables ainsi qu’une excellente protection pour les clés de chiffrement et toutes les autres données critiques nécessaires à l’authentification sur PC. Selon lui, « étant donné qu’il s’agit d’une protection matérielle au lieu d’une protection logicielle, les clés ne sont pas exposées à la mémoire du PC. La mémoire du PC est un lieu commun pour les attaquants qui viennent voler la propriété intellectuelle y résidant, ce qui est généralement le but principal de l’attaque ».
Cependant, l’utilisation de puce TPM n’empêche pas que les clés de chiffrement soient manipulées par un pirate dès lors qu’il prend le contrôle de la machine, puisque le TPM va répondre à toutes les requêtes comme il le ferait avec le propriétaire légitime de l’appareil. « Il ne va pas faire la différence. L’avantage de ce scénario est que l’attaque est limitée à l’attaque en cours, l’attaquant ne saurait dérober des clés pour une attaque future », a avancé Murphy.
Même si contourner la sécurité des puces TPM est une chose possible, Murphy estime que ce serait une attaque trop difficile qui va être très demandeuse en talent, équipement, temps et investissement.
Source : Microsoft
Windows 10 : Microsoft fait de l'installation des modules TPM 2.0 un prérequis pour les constructeurs,
Afin d'améliorer la sécurité des dispositifs
Windows 10 : Microsoft fait de l'installation des modules TPM 2.0 un prérequis pour les constructeurs,
Afin d'améliorer la sécurité des dispositifs
Le , par Stéphane le calme
Une erreur dans cette actualité ? Signalez-nous-la !