Windows 10 chiffre les données automatiquement

Prévue pour l’année prochaine, la nouvelle version du système d’exploitation de Microsoft, Windows 10, renforcera la sécurité des données et des identités. Explications avec Bernard Ourghanlian, Directeur Technique et Sécurité de Microsoft France.

 

Propos recueillis par Philippe Richard

 

Securiteoff.com : L’identification par mot de passe n’est plus adaptée. C’est la raison pour laquelle Windows 10 intégrera l’authentification à deux facteurs ?
Bernard Ourghanlian : Le challenge est de proposer une solution qui ne soit pas trop couteuse à déployer, qui soit simple et exploitable dans n’importe quels contextes et environnements. Microsoft intégrera une solution dont le nom de code est Safe ID : l’utilisateur devra saisir un code PIN, qui présente l’avantage d’être moins long et difficile à mémoriser qu’un mot de passe dit « fort » (plus de 10 caractères), ou employer un dispositif biométrique si cela est envisagé.
Ce dispositif pourra être protégé au niveau du hardware par le TPM (Trusted Platform Module) que l’on peut présenter comme une sorte de carte à puce soudée sur la carte mère des ordinateurs et qui est également intégré dans des terminaux mobiles. Cette puce de stockage sécurisé pour les certificats et les clés permet d’établir le deuxième facteur qui pourra être un PC ou une tablette.
Pour faciliter l’intégration de cette solution dans un contexte plus large et pas limité à l’environnement Microsoft, nous allons mettre en œuvre des spécifications développées par l’Alliance FIDO (Fast IDentity Online), un consortium industriel qui édicte des normes afin de simplifier et de renforcer l’authentification lors des transactions en ligne.
Nous estimons que cette solution apporte un bon niveau de sécurité, car elle limite de façon considérable les vols d’identité.

Securiteoff.com : Quels autres mécanismes seront mis en place pour renforcer cette sécurité des identités ?
B.O : Microsoft va introduire une fonctionnalité originale dans Windows 10 afin d’éviter que le hash (NDLR : une empreinte servant à identifier rapidement, bien qu’incomplètement, la donnée initiale) ne soit volé par une personne ayant obtenu des privilèges sur une machine. Nous allons utiliser la virtualisation (technologie Hyper-V) pour créer une nouvelle frontière de confiance. Avec cette solution, l’accès à ce hash ne pourra se faire que depuis un environnement très particulier au sein duquel l’environnement qui a créé ce hash s’exécutera.

Securiteoff.com : Pour éviter le vol de données confidentielles, Windows 10 proposera également une nouvelle fonctionnalité.
B.O : Oui. Pour l’instant, son nom de code est Data locker. Avec cette fonctionnalité, les entreprises garderont le contrôle des informations sensibles en conservant les clés de chiffrement. Cette solution pourrait s’avérer très pratique si le BYOD est très répandu dans une entité. Si un collaborateur quitte son entreprise, les clés de chiffrement ne seront plus accessibles même si les données sont encore stockées sur le disque dur de son ordinateur portable. Il ne pourra pas y accéder.
Le principe de Data locker sera le suivant : lorsqu’un salarié souhaitera travailler avec son ordinateur ou sa tablette, l’entreprise l’enregistrera auprès d’un contrôleur de domaines ou au sein d’un MDM. L’administrateur pourra définir un certain nombre de politiques de restriction (quels sont par exemple les domaines faisant partie du système d’information et ceux qui en sont exclus) qui seront « poussées » vers le terminal.
Cette politique concernera entre autres les applications « entreprise » autorisées. Elles chiffreront de manière systématique les données sur le disque dur. Il sera possible de définir un VPN par application sans qu’il soit nécessaire de démarrer un client VPN. C’est un peu comme Direct Access.
À noter que Windows 10 autorisera le chiffrement de volumes FAT 32. Enfin, la restriction des données au niveau des applications contrôlera le copié-collé et le partage entre des applications « entreprise » et d’autres qui n’en sont pas. L’administrateur pourra vous autoriser à faire un copié-collé, mais un message s’affichera sur votre poste de travail afin de vous signaler que les données seront tracées.

Securiteoff.com : Concernant l’upgrade de l’OS, Microsoft évoluerait vers un rythme de mises à jour mieux adapté aux entreprises.
B.O : Parallèlement au rythme « classique », un rythme beaucoup plus rapide qu’aujourd’hui sera proposé aux entreprises qui veulent être en permanence à jour. Il intégrera les correctifs de sécurité, disponibles tous les 2e mardis de chaque mois, mais aussi une mise à jour cumulative (correctifs de sécurité, mises à jour fonctionnelles) tous les quatre mois.
Par ailleurs, il sera possible de passer d’une version de Windows à une autre sans devoir faire une réinstallation. Il suffira d’effectuer une simple mise à jour de la version existante. Cette installation, au-dessus de la version déjà présente, évitera de devoir réaliser des sauvegardes et des restaurations de données.