Alors que les organisations continuent de se débattre pour gérer une main-d'œuvre hybride, la sécurité en dehors du pare-feu de l'entreprise continue de jouer un rôle énorme dans les opérations informatiques quotidiennes. Après la sortie en octobre de Windows 11 et ses fonctions pour doper le travail hybride, Microsoft a annoncé la semaine dernière les premiers PC dotés de sa technologie de sécurité Pluton « chip-to-cloud ». Son objectif : sécuriser les ordinateurs des employés à distance et autres.
Au CES, Microsoft a annoncé que Lenovo et le fabricant de puces AMD ont lancé les premiers ordinateurs portables - le ThinkPad Z13 et le ThankPad Z16 - qui sont livrés nativement avec les puces de sécurité Pluton. Le prix du ThinkPad Z13 commence à 1 549 $, celui du ThinkPad Z16 à 2 099 $. Ces deux PC seront disponibles en mai et Lenovo a déclaré que la présence de la puce Pluton n'engendrera aucun surcoût. Cette dernière sera par ailleurs désactivée par défaut sur les plateformes ThinkPad 2022 (en particulier, les Z13, Z16, T14, T16, T14, P16 et X13 utilisant des processeurs AMD de la série 6000). Mais les clients auront la possibilité de l'activer eux-mêmes, a déclaré un porte-parole de Lenovo.
Une protection améliorée par rapport au TPM
Lorsqu'on lui a demandé pourquoi la puce était initialement désactivée, le porte-parole a déclaré que les entreprises clientes « nous ont dit qu'elles testaient et évaluaient de manière approfondie tout nouveau logiciel ou fonctionnalité lié à la sécurité qui serait introduit dans leur réseau et pouvaient choisir d'activer Pluton sur leurs appareils comme bon leur semble. Au fur et à mesure que Pluton sera lancé sur le marché et que nous aurons le temps d'évaluer la demande des clients pour l'activation des usines, nous examinerons son activation ».
Le processeur Pluton vise à offrir une meilleure protection que le Trusted Platform Module (TPM) existant, car il s'agit d'une puce de sécurité dédiée qui gère les fonctionnalités de sécurité telles que BitLocker, Windows Hello et System Guard. Windows 11 est venu avec une pléthore de mises à jour de sécurité, dont la moindre n'était pas l'impossibilité de désactiver les fonctionnalités existantes telles que UEFI, Secure Book et le TPM cryptographique. Windows 11 est un système d'exploitation Zero Trust-ready conçu pour être sécurisé de la puce au cloud, avec des vérifications de sécurité vérifiables intégrées et activées par défaut. TPM 2.0 est utilisé pour générer et protéger les clés de chiffrement, les informations d'identification des utilisateurs et d'autres données sensibles afin que les logiciels malveillants et les attaquants ne puissent pas accéder aux données ou les falsifier.
AMD et Qualcomm impliqués
Pluton est un processeur de sécurité dédié, développé grâce à un effort conjoint entre Microsoft et les principaux fabricants de silicium, notamment AMD et Qualcomm. Il vise à protéger les PC contre certaines des attaques de logiciels malveillants les plus sophistiquées en stockant de manière plus sécurisée les informations d'identification des utilisateurs (y compris les informations sur les empreintes digitales), les identités, les données personnelles et les clés de cryptage. Le processeur de sécurité intégré allie les fonctionnalités de TPM 2.0 à la possibilité de mettre à jour et d'ajouter dynamiquement de nouvelles fonctionnalités de sécurité de manière transparente via Windows Update, le service Microsoft qui installe les derniers logiciels/micrologiciels sur un ordinateur.
Intégrer étroitement matériel et logiciel aide à protéger contre les vulnérabilités en ajoutant une visibilité et un contrôle supplémentaires. Elle plus a*cela accroit l'adaptabilité aux changements dans le paysage des menaces, selon Microsoft. La puce Pluton est intégrée dans le processeur principal d'un terminal et est donc plus difficile d'accès pour les attaquants. Les informations sensibles qui y sont stockées ne peuvent pas être supprimées, même si un attaquant a installé un logiciel malveillant ou possède physiquement le PC, car la puce est isolée du reste du système. Cette puce aide également à empêcher les techniques d'attaque émergentes, telles que l'exécution d'attaque par déplacement latéral exploitant le comportement et les fonctionnalités du processeur. Pluton peut fournir une sécurité supplémentaire à un appareil en conjonction avec un TPM, selon Matt Wo, porte-parole de Microsoft Cybersecurity.
Les attaques matérielles plus difficiles à réaliser
« Nos partenaires ont le choix et la flexibilité de proposer Pluton avec ou sans un TPM tiers », a déclaré Matt Wo dans une réponse par e-mail à Computerworld. « Lorsque Pluton est configuré en tant que TPM, il protège les clés BitLocker utilisées pour chiffrer et protéger les données client stockées sur le système ». De son côté Patrick Hevesi, vice-président analyste chez Gartner, a déclaré que le plus grand avantage de la puce Pluton est l'élimination possible des attaques de canaux latéraux physiques contre les canaux de communication autonomes TPM-CPU.
Les attaques par canaux secondaires ne ciblent pas les faiblesses des systèmes cryptographiques eux-mêmes ; au lieu de cela, le malware recherche les fuites d'informations qui peuvent indiquer quelque chose sur le fonctionnement du système cryptographique. Par exemple, les attaques acoustiques peuvent enregistrer le son des frappes d'un utilisateur pour voler sa phrase secrète ou le rayonnement du champ électromagnétique (CEM) émis par un écran d'ordinateur peut être utilisé pour afficher des informations avant qu'elles ne soient cryptées. « Étant donné que le processus de sécurité de Pluton sera intégré directement aux puces System on a Chip (SoC), il ne devrait y avoir aucun moyen d'accéder au canal sans détruire la puce », a expliqué Patrick Hevesi par e-mail. « De plus, selon les spécifications de Microsoft, les clés ne quitteront jamais la limite de Pluton Security, ce qui aidera à prévenir les attaques telles que l'exécution spéculative et d'autres types d'attaques matérielles clés ».
La sécurité 100% n'existe pas
Un autre avantage de l'architecture Pluton est que Microsoft contrôlera les mises à jour du micrologiciel du processeur de sécurité et autorisera les mises à jour directes à partir de Windows Update. Ce qui assure à l'entreprise de contrôler et de sécuriser son code et de continuer à ajouter des fonctionnalités de sécurité à mesure que de prochaines versions de Windows sont déployées, selon Patrick Hevesi. Microsoft sera également en mesure de faire progresser les fonctionnalités de sécurité matérielles et logicielles telles que le démarrage sécurisé et la sécurité basée sur la virtualisation directement sur un seul processeur SoC. « Cela aidera à prévenir même les attaques à distance qui tentent de modifier le processus de démarrage du noyau ou du système d'exploitation. La puce Pluton aidera à sécuriser les périphériques distants en raison à la fois de la couche physique et des intégrations de fonctionnalités de sécurité logicielles », note Patrick Hevesi. « Cette technologie peut également s'appliquer aux appareils sur site pour éventuellement empêcher les attaques physiques et ils ont également ajouté cette technologie à Azure Sphere dans le cloud ».
Pour autant, tout le monde ne pense pas que la nouvelle puce Pluton est la sécurité absolue. Michael Suby, vice-président de la recherche pour le service de recherche d'IDC sur la sécurité et la confiance, a déclaré que la plate-forme SoC est une avancée utile qui, à court terme, ne changera pas radicalement les décisions d'achat de PC des entreprises. « Une séquence d'exploitation potentielle d'acteurs de la menace pourrait clandestinement prendre possession de l'ordinateur portable de l'exécutif, ouvrir l'appareil et l'infecter au niveau du matériel, puis laisser l'appareil apparemment sans être dérangé par l'exécutif et les équipes de sécurité informatique potentielles », fait savoir Michael Suby.
Les derniers ordinateurs portables de Lenovo alimentés par des processeurs AMD Ryzen 6000 Series intègrent la puce Pluton Security sur Windows 11. La puce Pluton repose sur une technologie utilisée depuis des années dans Microsoft Xbox et Microsoft Azure Sphere. « Alors que nous entrons dans cette nouvelle ère de travail hybride, vous avez besoin de solutions de sécurité modernes qui offrent une protection de bout en bout où que vous soyez », a indiqué Matt Wo. « Windows 11 a été conçu pour élever la barre en matière de sécurité, prêt à l'emploi, pour activer des protections telles que Windows Hello, Device Encryption, la sécurité basée sur la virtualisation (VBS), l'intégrité du code protégé par l'hyperviseur (HVCI) et Secure Boot - une combinaison Il a été démontré qu'il réduisait les logiciels malveillants de 60 %. » Microsoft a déclaré que de nombreuses mises à niveau de Windows 11 et la conception de la puce collaborative étaient inspirées de thèmes de travail hybrides. « Il est clair que les dernières années ont favorisé de grands apprentissages que nos partenaires ont intégrés dans la conception de ces appareils. Ces apprentissages – et les nouvelles méthodes de travail – ont également influencé de nombreuses innovations dans la conception de Windows 11 », a aussi éclaré Nicole Dezen, vice-présidente de Microsoft Device Partner Sales, dans un billet de blog.