1 / 24

Sécurité des terminaux Windows Mobile 5

Sécurité des terminaux Windows Mobile 5. Thierry Picq Managing Consultant Microsoft Services France. L’identité du Conseil Microsoft. Rôle d’avant-garde Catalyseur du changement chez nos clients pour l’emploi des technologies Microsoft et l’adoption des nouvelles versions

addison
Download Presentation

Sécurité des terminaux Windows Mobile 5

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Sécurité des terminaux Windows Mobile 5 Thierry Picq Managing Consultant Microsoft Services France

  2. L’identité du Conseil Microsoft • Rôle d’avant-garde • Catalyseur du changement chez nos clients pour l’emploi des technologies Microsoft et l’adoption des nouvelles versions • Effet de levier maximum en début de cycle de vie des technologies • Effacement progressif quand : • La technologie est installée dans le compte • Le savoir-faire et les compétences sont largement diffusées • Assistance aux partenaires mettant l’accent sur le transfert de compétences et de connaissances sur les technologies Microsoft • Cadres méthodologiques éprouvés : Microsoft Solutions Framework (MSF) et Microsoft Operations Framework (MOF) • Capacité d’engagement sur les projets stratégiques Risque Partenaires Conseil Microsoft Support Adoption des Technologies

  3. Légende Filaire Sans fil Architecture type Accès Distants (RAS) Terminaux Internet (Réseaux cellulaires : GSM/GPRS) Frontières de l’Entreprise Accès et Authentification Wireless PDA Serveur FE Mailbox Server Communications Communications Internet Smart phone DMZ MailboxServer Wifi Interne Internet Haut débit (VPN, …) POP FAI Internet sans fil (802.11x - hotspots) Wi-Fi PDA Wi-Fi Smart phone Wi-Fi PDA Il est indispensable d'avoir une approche de bout en bout !!! Wi-Fi Smart phone • Accès unique “nom du server” = “monentreprise.com” • Pas de compte spécifique

  4. Légende Filaire Sans fil Conclusion matinale(hors terminaux): Je maîtrise et sécurise les communications de bout en bout en maintenant un niveau de sécurité élévé Internet (Réseaux cellulaires : GSM/GPRS) Segmentation Frontières de l’Entreprise Analyse des flux Wireless PDA Serveur FE Mailbox Server Internet Smart phone DMZ MailboxServer Wifi Interne Internet Haut débit (VPN, …) SSL 128 bits POP FAI Internet sans fil (802.11x - hotspots) Wi-Fi PDA Wi-Fi Smart phone Wi-Fi PDA Wi-Fi Smart phone • Accès unique “nom du server” = “monentreprise.com”

  5. Ce matin nous avons traité la sécurité des voies de communications et le contrôle des points d’accès mais: • Il faut sécuriser les terminaux en eux-même • Il faut gérer les données sur ces terminaux • Il est nécessaire d’administrer ces terminaux

  6. Risques de sécurité : Les terminaux mobiles doivent être considérés comme des ordinateurs à part entière… Opérateurs Mobiles et Fixes Terminaux Entreprise WAN WAN WLAN Infrared LAN PAN Applications Disposez-vous d’une politique de sécurité pour les terminaux mobiles ? Les ordinateurs portables, mais aussi les autres…?

  7. Analyse des risques Des défis pour tous… Opérateur Mobile Entreprise Utilisateur final Intégrité et disponibilité du réseau Opérateur Gestion des terminaux “Branding” Déployer des applications et des services à valeur ajoutée Minimiser les coûts de support Simplicité d’usage Diversité et richesse des applications Capacité à développer des applications complexes Sécurité Protection des données de l’entreprise Sécurité et intégrité du réseau interne Gestion des terminaux Gestion des applications Intégrité et disponibilité du terminal, prévention des “malware” Voix et accès aux données sont des besoins communs

  8. Sécurité au niveau du terminal Modèle de sécurité Périmètre Protection des données Sécurité du réseau (PAN) Sécurité matérielle • Sachant que sur un terminal mobile, l’ergonomie est fondamentale: • Usage avec seule main, en mouvement, clavier limité • Pas de Smartcard, pas de clefs USB, la biométrie peu répandue, etc. • Et que • Les utilisateurs vont naturellement rejeter ou contourner des mesures de sécurité limitant ce qu’ils souhaitent faire. • …ou si ces mesures représentent «trop de travail » • Ne jamais sous estimer la « créativité » des utilisateurs…

  9. Modèle de sécurité de Windows MobileContrôle d’exécution du code (Code Execution Control) • Première défense contre les programmes malveillants • Combinaison de la signature électronique du code et la configuration du terminal • Les terminaux sont configurés selon deux modes: • 1-tier • 2-tier • La signature défini les permissions pour une application • Ces applications/codes peuvent être signés par • Mobile2Market (M2M): programme de signature • Les Opérateurs Mobiles • Les Entreprises • La révocation de code signé est plus efficace

  10. Modèle de sécurité de Windows MobileCode Groups (CG) • Trusted (Privileged) Code Group • Accès complet au terminal: toutes les APIs, la base de registre, le système de fichiers, les interfaces matérielles, le Kernel mode • Normal (Unprivileged) Code Group • Accès limité au terminal: la plupart des APIs, des segments de la base de registre et du système de fichiers ne sont accessibles qu’en lecture seule. • Ce mode doit être celui privilégié pour la conception et la réalisation d’applications • Blocked Code Group • Les applications ne peuvent fonctionner • Ces Code Groups sont assignés lors du chargement du code, basés sur la signature de ce dernier.

  11. Modèle de sécurité de Windows MobileContrôle d’éxecution: terminaux 1-tier ou 2-tier • Terminologie décrivant les permissions associées au code • Terminaux 2-tier • Fonctionne en Code Groups ‘Trusted’ et ‘Normal’ • Uniquement les Smartphone (configuration par défaut) • Terminaux 1-tier • Toutes les applications fonctionnent avec le Code Group ‘Trusted’ • Le code ‘Normal’ est associé au code ‘Trusted’ • Smartphone et PocketPC • PocketPC (configuration par défaut) • Configuré via des politiques de sécurité

  12. Modèle de sécurité de Windows MobileDéfinir l’équilibre Sécurité Protection renforcée contre les codes malveillants Accroissement de la gestion Accessibilité Applications variées Plus simple pour les utilisateurs Utilisateur notifié pour l’exécution de code non signé ou inconnu Le code doit être signé pour s’exécuter. Signature contrôlée Le code doit être signé pour s’exécuter Toutes les applications fonctionnent Signé par tierce partie Pas de sécurité Notification Verrouillé CG: Trusted, Normal ou Blocked CG: Trusted, Normal ou Blocked CG: Trusted, Normal ou Blocked CG: Trusted

  13. Modèle de sécurité de Windows MobileRecommendations Le modèle SANS sécurité n’est PAS recommandé !

  14. Démonstration Code Groups

  15. Pointsec Software Sécurité du périmètre • Mots de passe: • PocketPC: 4 digit pin, mots de passe forts • Smartphone: > 4 digit pin • Mots de passe stockés dans une partie sécurisée (privilégiée) de la Registry • Accroissement exponentiel des délais en cas de mauvais mot de passe • Partenariat Activesync protégé par mot de passe • Protocoles: • PAP, CHAP, MS-CHAP, TLS, NTLM support • SSL 3.0 • Exchange ActiveSync & IE Mobile • Local Authentication Subsystem (LASS): mécanismes flexibles d’intégration de Plug-ins d’authentification(Local Authentication Plug-ins / LAP) • Biométrie • Potentiellement très pratique • Identifiant ou authentifiant? • HP iPAQ série 5400 avec lecteur d’empreintes digitales • Lecteurs de cartes à puces • Applications • Accès réseau • Solutions tierces

  16. Protection des données • Plus exposé qu’un PC traditionnel • Intégration des services de crypto pour les applications • Certification FIPS 140-2 (WM 5.0) • S/MIME (WM 5.0) • 128-bit Cryptographic services: Crypto API v2 • Signature de code (limite l’installation : SP) • API Anti-virus: ces virus peuvent exister et se propager (cf. Cabir (fin 2004) et Commwarrior.A (mars 2005) pour Symbian se propageant via une combinaison de Bluetooth et MMS)A ce jour nous ne connaissons pas de virus pouvant se propager d’une plateforme PC vers un PDA/Smarphone. • SQL-CE fourni un chiffrement 128-bits (PPC uniquement) • Nombreux outils tiers pour chiffrer les données: • Computer Associates; F-Secure; McAfee; Symantec; SOFTWIN; Trend Micro; Bluefire Security Technologies; Check Point VPN-1 SecureClient.

  17. Sécurité réseau • Client VPN intégré • PPTP, L2TP, L2TP/IPSEC (PSK, ou certificat) • IPSEC: le mode tunnel nécessite un client tiers • Wireless • WEP, 802.1X (EAP-TLS, PEAP), WPA (incluant PSK) • Secure Browsing: HTTP (SSL), WAP (WTLS), Zonesde Sécurité • Certification FIPS 140-2 • OTA device management security: OMA DM provision settings & certs • Windows CE 5.0 : Stockage persistant • Offres tierces: • VPN • Checkpoint, Bluefire, Funk Software, Certicom Movian VPN (OEM uniquement) • Authentification à deux facteurs • RSA SecureID (supporte la synchronisation Exchange EAS) • Sécurité du PAN : Bluetooth • “Bluesnarfing”: Vol de données personnelles via une connexion Bluetooth. • Virus • Recommandation de Microsoft aux OEM de désactiver BT par défaut.

  18. Device Management Feature Pack XP EmbeddedAdvanced Client CE Device Management Client Sécurité: gestion des terminauxSystem Management Server2003 feature pack Scripts Gestion des configurations (mots de passe, etc.) Distribution automatique via le PC (sous SMS) Inventaire matériel & logiciel Collecte de fichiers Distribution logiciel Windows Mobile Windows XP Embedded Windows CE

  19. Sécurité: gestion des terminaux • Sécurité: • Credant Mobile Guardian- Enterprise Edition • Intégration AD et groupes • Gestion des mots de passe, synchronisation PC, chiffrement, Firewall, autorisations et accès • Logging • Bluefire Security • Logging • Firewall et politiques de mots de passe • Gestion de bout en bout • Afaria & Extended Systems (Sybase), Intellisync, JP Mobile • Exchange 2003 SP2 • Sécurité • Support S/MIME, CertificationFIPS • Centralisation de la sécurité des terminaux • Garantie d’application des politiques de sécurité: PIN code (complexité, longueur), effacement des données après X tentatives, impossible de synchroniser si les politiques ne sont pas suivies • Possibilité de forcer une mise à jour régulière des politiques de sécurité • “Formatage” à distance • Intégration des certificats x509 • Fonctionnel • Direct Push Technology: AUTD sans SMS, indépendant du média de connexion, recherche dans la GAL, Synchronisation des Taches, etc…

  20. Gestion distante des terminaux et politiques de sécurité

  21. Réinitialisation à distance Remarque: Réinitialisation complète du terminal uniquement (ne concerne pas le stockage amovible) Géré par un outil Web (IIS 6 nécessaire) Peut être délégué au centre de support Historique (Transaction log) Microsoft Exchange ActiveSync Mobile Web Administration tool:http://www.microsoft.com/downloads/details.aspx?familyid=E6851D23-D145-4DBF-A2CC-E0B4C6301453&displaylang=en

  22. Démonstration Application de politiques de sécurité avec Exchange 2003 SP2

  23. Légende Filaire Sans fil Conclusion : Je peux capitaliser sur mes investissements pour gagner en productivité tout en restant sécurisé et en maîtrisant les coûtsdans un environnement ouvert … Internet (Réseaux cellulaires : GSM/GPRS) Segmentation Frontières de l’Entreprise Analyse des flux clients& serveurs Wireless PDA Serveur FE Mailbox Server Internet Smart phone DMZ MailboxServer Wifi Interne Internet Haut débit (VPN, …) SSL 128 bits POP FAI Internet sans fil (802.11x - hotspots) Wi-Fi PDA Wi-Fi Smart phone Wi-Fi PDA Wi-Fi Smart phone • Accès unique “nom du server” = “monentreprise.com”

  24. Microsoft France 18, avenue du Québec 91 957 Courtaboeuf Cedex www.microsoft.com/france 0 825 827 829 msfrance@microsoft.com

More Related