Stéphane SAUNIER TSP Sécurité Microsoft France [email protected].

39
Protection des données dans Stéphane SAUNIER TSP Sécurité Microsoft France [email protected] m

Transcript of Stéphane SAUNIER TSP Sécurité Microsoft France [email protected].

Page 1: Stéphane SAUNIER TSP Sécurité Microsoft France stephsau@microsoft.com.

Protection des données dans  

Stéphane SAUNIERTSP SécuritéMicrosoft [email protected]

Page 2: Stéphane SAUNIER TSP Sécurité Microsoft France stephsau@microsoft.com.

Sommaire

Les menacesAperçu de Bitlocker Drive EncryptionAperçu d’EFSAperçu de RMS et des nouveauté du produit sous VistaPositionnement des trois technologies

Page 3: Stéphane SAUNIER TSP Sécurité Microsoft France stephsau@microsoft.com.

Compromission volontaire de données

Vol d’un bien pour les

données qu’il contient

Perte due à une

négligence

Internes ou externes

Intentionnelles

Accidentelles Ciblées

Menaces pesant sur l’information

Page 4: Stéphane SAUNIER TSP Sécurité Microsoft France stephsau@microsoft.com.

Le département de la justice aux Etats-Unis a estimé que le vol de propriété intellectuelle avait coûté 250 milliards de $ aux entreprises en 2004Perte de revenu, de capitalisation boursière, d’avantage compétitif

La fuite de mails confidentiels peut être embarrassanteLa transfert non intentionnel d’informations sensibles peut affecter de manière significative l’image et la crédibilité d’une entreprise

Augmentation de la réglementation : SOX, LSF, Bâle 2Amener une société à la conformité réglementaire peut être complexe et coûteuxLa non conformité peut conduire à des amendes significatives

Financier

Image et Crédibilité

Conformité légale et

réglementaire

La perte d’informations est coûteuseLa perte d’information, que ce soit sous forme de perte ou de fuite, est coûteuse à plusieurs niveaux

Page 5: Stéphane SAUNIER TSP Sécurité Microsoft France stephsau@microsoft.com.

Pourquoi ces technologies ?

“After virus infections, businesses report unintended forwarding of e-mails and loss of mobile devices more frequently than they do any other security breach”

Jupiter Research Report, 2004

Page 6: Stéphane SAUNIER TSP Sécurité Microsoft France stephsau@microsoft.com.

Protection de l’information

Les besoins métierLes documents doivent être protégés quel que soit l’endroit où ils voyagentLes données sur les partages doivent être chiffrées pour les protéger contre des accès non autorisésLes biens des entreprises tels que les PC portables ou les serveurs en agence doivent être protégés contre une compromission physique

Solution = RMS, EFS, BitLocker™Définition d’une politique de sécurité et obligation de respecter cette politique faite au niveau de la plateforme (inclusion du client RMS)Chiffrement des fichiers par utilisateur (EFS)Chiffrement de disque reposant sur des mécanismes matériels (Bitlocker Drive Encryption)

Page 7: Stéphane SAUNIER TSP Sécurité Microsoft France stephsau@microsoft.com.

BitLocker™ Drive Encryption

Page 8: Stéphane SAUNIER TSP Sécurité Microsoft France stephsau@microsoft.com.

Une grande multinationale qui souhaite garder l’anonymat perd en moyenne un ordinateur portable par jour ouvré dans les taxis d’une seule grande ville américaine

Page 9: Stéphane SAUNIER TSP Sécurité Microsoft France stephsau@microsoft.com.

Conception de la solution Bitlocker™Besoin d’une solution qui

Se trouve en dessous de WindowsA des clés disponibles au démarrage

Impossibilité de demander à l’utilisateur de se connecter pour fonctionner

Sécurise les données systèmeSécurise les données utilisateurSécurise la base de registreFonctionne de manière transparente avec la plateforme (intégrité du code) Sécurise les secrets « racine »Protège contre les attaques en mode déconnectéSoit très facile à utiliser

SolutionChiffrer le disque entier (presque) Protéger la clé de chiffrement en la « scellant » au moyen d’un Trusted Platform Module (TPM) au bénéfice unique d’un loader autorisé

Plus d’autres options (voir plus loin)

Seuls les loaders autorisés peuvent récupérer la clé de chiffrement du volume

Page 10: Stéphane SAUNIER TSP Sécurité Microsoft France stephsau@microsoft.com.

De quoi Bitlocker™ vous protège-t-il ?Niveaux de protection

Un rappel préalable : la sécurité n’est jamais absolue…BDE est utilisable par tous

Depuis l’utilisateur standard …

Portable attaqué non ciblé…au « super paranoïaque »….

Portable attaqué cibléBDE protège contre les attaques logicielles en mode déconnectéLorsque le système à démarré le déchiffrement des bloques de données de la partition est transparente.

Options de configurationEquilibre entre la facilité d’utilisation et la sécurité

TPM seul – amélioration de la protection, très peu d’impact sur l’utilisateurAjout d’un PIN – permet d’adresser des attaques matérielles sérieuses ; l’utilisateur doit se souvenir de quelque choseClé USB seule (sans TPM) – bonne protection mais le maillon faible devient la CléClé USB et TPM

Page 11: Stéphane SAUNIER TSP Sécurité Microsoft France stephsau@microsoft.com.

Facilité d’utilisation et sécurité : un équilibre à trouver

Sécurité

Fac

ilité

d’u

tilis

a ti o

n

TPM Seul« Ce que c’est »Protège contre : Attaque logiciel

seulVulnérable à :

attaques matérielles (y compris des

attaques potentiellement

« faciles »)

TPM + PIN« Ce que vous

savez »Protège contre : De

nombreuses attaques hardwareVulnérable à : des

attaques pour casser le TPM

Clé Seule« Ce que vous

avez » Protège contre :

Toutes les attaques hardware

Vulnerable à : Perte de la clé

Attaque pre-OS

TPM + Clé« Deux choses

que je possède »Protège contre : De nombreuses

attaques hardware

Vulnerable à : des attaques hardware

*******

BDE offre un large spectre de protectionpermettant de trouver un équilibre entre lafacilité d’utilisation et le profil des menaces contre lesquelles on cherche à se protéger

Page 12: Stéphane SAUNIER TSP Sécurité Microsoft France stephsau@microsoft.com.

Pourquoi utiliser un TPM ?

Les plateformes dignes de confiance utilisent des racines de confiance

Un TPM est la mise en œuvre d’une racine de confiance

Une racine de confiance implémentée en hardware a des avantages spécifiques

Le logiciel peut être trompé par le logicielIl est difficile d’enraciner la confiance dans un logiciel qui doit se valider lui-même

Le matériel peut être rendu résistant aux attaquesCertification possible

Le logiciel et le matériel ensemble peuvent mieux protéger les secrets « racine » que le logiciel seul

Page 13: Stéphane SAUNIER TSP Sécurité Microsoft France stephsau@microsoft.com.

Authentification du logiciel

Résulte de la même étape simple répétée plusieurs fois

Le module n « mesure » (hash) le module n+1Le module n enregistre (fonction « extend ») le hash du module n+1 dans le TPMLe module n transfère le contrôle au module n+1On « nettoie » et on recommence

A n’importe quel moment, le TPM contient une « mesure » de tous les logiciels qui ont été chargés jusqu’alors

On ne peut desceller le contenu que si ces informations sont « correctes »

Page 14: Stéphane SAUNIER TSP Sécurité Microsoft France stephsau@microsoft.com.

Racine de confiance

CRTM statique Mise à jour PCR 0-7

PreOS OS Dynamique

Mise à jour PCR 8

Tous les Boot Blobs dévérouillés

Mise à jour PCR 9 Mise à jour PCR 10 Mise à jour PCR 11

1er 512 octetsde la partition NTFS

1er 512 octets du disque de

boot

1er 16 x 512 octetsde la partition NTFS

PCR Extend of INT19

VolumeBLOB Key

BIOS

PCR ExtendPCR ExtendPCR ExtendPCR Extend UnSeal

Temps

TPMDisque (les premiers 16 secteurs non chiffrés)

Non accessibledepuis le mode protégé

OS Loader Un-sealMBR PCR

Ext. BootSector PCRExt. BootBlock PCR

Ext. Boot Manager PCRExt.

BootBLOB

Key +Hash Table

Un-seal

Compare

Démarrage de l’OS

UnSeal

Volume Blob de l’OS cible déverrouillé

Architecture de Secure Startup SRTM des premiers composants de l’amorçage

Page 15: Stéphane SAUNIER TSP Sécurité Microsoft France stephsau@microsoft.com.

L’organisation du disque et le stockage des clés

Boot

La partition Windows contient• Le système d’exploitation

chiffré• Le fichier de pagination

chiffré• Les fichiers temporaires

chiffrés• Les donnée chiffrés• Le fichier d’hibernation

chiffré

La partition de Boot contient :MBR, Loader, utilitaires de boot(Non chiffrée, petite)

Où sont les clés de chiffrement ?1. SRK (Storage Root Key) contenu dans le

TPM

2. La SRK chiffre la VEK (Volume Encryption Key) protégé par TPM/PIN/Dongle

3. La VEK est stockée (chiffrée par la SRK) sur le disque dur dans la partition de bootVEK

2

3

Windows

1

Page 16: Stéphane SAUNIER TSP Sécurité Microsoft France stephsau@microsoft.com.

La valeur apportée par Bitlocker™ BDE améliore la sécurité de la base de

registre, des fichiers de configuration, de pagination et d’hibernation qui sont stockés sur le volume qui est complètement chiffré

Le chiffrement du fichier d’hibernationProtège contre les problèmes de sécurité posés par l’hibernation d’un PC portable ayant des documents confidentiels ouverts

La destruction de la clé racine permet le redéploiement du hardware existant en toute sécurité en rendant les anciennes données inaccessibles

Ce n’est PAS une fonctionnalité accessible pour l’utilisateur final

Une récupération (en cas de perte de clé ou d’autre scénarios) est possible pour toute personne disposant d’un téléphone lui permettant d’accéder à son administrateur

Page 17: Stéphane SAUNIER TSP Sécurité Microsoft France stephsau@microsoft.com.

Démo Bitlocker : démarrage sécurisé

Interface d’administrationVisibilité lors d’une attaque deconnectées

Page 18: Stéphane SAUNIER TSP Sécurité Microsoft France stephsau@microsoft.com.

EFS

Page 19: Stéphane SAUNIER TSP Sécurité Microsoft France stephsau@microsoft.com.

EFS (Encrypting File System)

Chiffre individuellement chaque fichierTransparent pour l’utilisateurProtège contre les fichiers de données désignés contre les attaques offlineNouveau dans Windows Vista

Support de la carte à puce

Page 20: Stéphane SAUNIER TSP Sécurité Microsoft France stephsau@microsoft.com.

I/O manager

EFS.sys

NTFS

User mode

Kernel mode

Win32 layer

Applications

FSRTL callouts

Encrypted on-disk data storage

Crypto API

LPC communicationfor all key management support

EFSservice

Architecture

Page 21: Stéphane SAUNIER TSP Sécurité Microsoft France stephsau@microsoft.com.

Les méthodes de chiffrementDeux algorithmes de chiffrement sont

utilisés:Le cryptage des données sur disque utilise un algorithme de clé symétrique (DESX) pour générer la FEK (File Encryption Key)

Clé sur 56 bits Le chiffrement de la FEK utilise un algorithme de clé asymétrique (RSA) pour générer la DDF (Data Decryption Field), et les DRF (Data Recovery Field)

Clé sur 1024 bits

L'algorithme de clé asymétrique utilise : La clé publique de l'utilisateur et de chaque agent de recouvrement pour crypter la FEKLa clé privée de l'utilisateur et de chaque agent de recouvrement pour décrypter la FEK

Page 22: Stéphane SAUNIER TSP Sécurité Microsoft France stephsau@microsoft.com.

Data RecoveryField generation

(RSA)DRF

Clé publiqueAgent de recouvrement(certificate)

Informationsecrete

Data DecryptionField generation

(RSA)

DDF

CléPublique utilisateur(certificate)

RNG

File Encryption Key(FEK)

File encryption(DES)

*#$fjda^ju539!3t

t389E *&\@5e%32\^kd

Les méthodes de chiffrement

File encryption(AES 256)

Vista

Page 23: Stéphane SAUNIER TSP Sécurité Microsoft France stephsau@microsoft.com.

25

EFS/SC: le problème

Les cartes a puces sont trop lentes pour permettre une utilisation a chaque accès de fichierUtilisation d’un mode acceleré:

On derive une clé symetrique depuis la clé privée residant dans la carte a puce.On utilise cette clé pour chiffrer la FEK.Cette clé ne peut etre obtenu qu’en presence de la clé privé sur la carte a puce.

Smartcard Private Key

Derive a symmetric key

AES-256 key

Use as Software Private Key

(Accelerated)

Cache in LSA

Use to encrypt FEK

RSA mode

Mode acceleré

Page 24: Stéphane SAUNIER TSP Sécurité Microsoft France stephsau@microsoft.com.

Limitations

Opération Fichier source Répertoire destination

Résultat

Copie/Dépla-cement

Crypté Non NTFS Non Crypté

Copie/Dépla-cement

Crypté NTFS non crypté

Crypté

Copie/dépla-cement

Crypté NTFS crypté Crypté

Copie/dépla-cement

Non Crypté NTFS crypté Crypté

Matrice de copie / déplacements de fichiers

Page 25: Stéphane SAUNIER TSP Sécurité Microsoft France stephsau@microsoft.com.

Right Management Service

Rappels et evolutions

Page 26: Stéphane SAUNIER TSP Sécurité Microsoft France stephsau@microsoft.com.

DRM pour l’entreprise et DRM pour les médias

Gestion de droits numériques en entreprise (IRM)

DRM pour les médias (Windows Media DRM)

Contenu EntrepriseDocuments, email,

pages web, etc.

Commercial contentMusique, films,

TV, etc.Authentification

Fondée sur l’identité Fondée sur la machine

Politique/Règles

Politique de l’entrepriseConfidentialitéCycle de vie des

documentsConformité

Règles businessAchatLocationSouscription

Page 27: Stéphane SAUNIER TSP Sécurité Microsoft France stephsau@microsoft.com.

Que sont RMS et IRM?

Rights Management Services (RMS) est une plateforme pour la mise en place de solution de DRM en entreprise telle que décrite précédemment.

Supporte le développement de solutions tierces riches au dessus de RMS à l’aide du Software Development Kit (SDK) RMS

IRM est un développement que MS Office a effectué sur le socle RMS.

Page 28: Stéphane SAUNIER TSP Sécurité Microsoft France stephsau@microsoft.com.

Caractéristiques des droits RMSDéfinir qui peut ouvrir, modifier, imprimer, transférer et / ou entreprendre d’autres actions avec les données (possibilité d’utiliser des listes de distribution contenues dans Active Directory)Fixer une date d’expiration sur des messages électroniques ou des documents…

… à une date donnée… tous les n jours, en exigeant l’acquisition d’une nouvelle licence

Les droits peuvent s appliquer a l aide de Templates

Page 29: Stéphane SAUNIER TSP Sécurité Microsoft France stephsau@microsoft.com.

Architecture

RMS Client •RMS Lockbox

•Client API

RMS Server•Certification

•Licensing

•Templates

Active Directory•Authentication•Service Discovery•Group MembershipSQL Server•Configuration data•Logging

Applications Clientes & Serveurs compatibles RMS

Page 30: Stéphane SAUNIER TSP Sécurité Microsoft France stephsau@microsoft.com.

Auteur Destinataire

Serveur RMS

SQL Server Active Directory

2 3

4

5

2. L’auteur définit un ensemble de droits d’utilisation et de règles pour son fichier. l’application crée une licence de publication (PL) et chiffre le fichier.

3. L’auteur distribue le fichier.

4. Le destinataire ouvre le fichier, l’application appelle le serveur RMS qui vérifie que l’utilisateur est valide (RAC) et fournit une licence d’utilisation (UL).

5. L’application effectue le rendu du fichier et fait respecter les droits.

1. L’auteur reçoit des certificats (SPC/RAC/CLC) la première fois qu’il protège des informations.

1

Flux de publication RMS

Page 31: Stéphane SAUNIER TSP Sécurité Microsoft France stephsau@microsoft.com.

Evolutions sur Vista et futures

Page 32: Stéphane SAUNIER TSP Sécurité Microsoft France stephsau@microsoft.com.

RMS V2

La partie cliente dans Vista ( plus de téléchargement/distribution necessaire )

RMS V2 Client sera compatible avec RMS Server V1.

La partie serveur dans LongHorn Server.Nouveau Rôle ServeurCompatible avec des client V1Processus d activation simplifie

… Mais les évolutions attendues sont ailleurs …

Page 33: Stéphane SAUNIER TSP Sécurité Microsoft France stephsau@microsoft.com.

Les scenarios serveur de fichiers

Consiste a mixer le meilleur des deux monde.Contrôle périmètrique lorsque le fichier est sur le serveur de fichier (Office Server 2007)Permet l indexation et les scan anti viraux… Application a la volée de droits RMS lors de la récupération d un fichier hors du serveur.

Page 34: Stéphane SAUNIER TSP Sécurité Microsoft France stephsau@microsoft.com.

RMS sur Windows Mobile

Prévus … Sur Crossbow ( Non de code interne de Windows Mobile 6 )… Premières disponibilités en 2007Supportera le mail, mais aussi les documents office supportes par l OS.

Page 35: Stéphane SAUNIER TSP Sécurité Microsoft France stephsau@microsoft.com.

La problématique des formats

Vista / .Net 3 adresse le problème de couverture des formats non officeC’est une approche containeur base sur le format XPS.Une imprimante virtuelle permet a toute application d imprimer dans ce format … Et d y appliquer une protection DRM.Un client XPS permettra de consommer ces protection … De même qu’Office 2007

Page 36: Stéphane SAUNIER TSP Sécurité Microsoft France stephsau@microsoft.com.

Démo RMS : Protection d’une image

Page 37: Stéphane SAUNIER TSP Sécurité Microsoft France stephsau@microsoft.com.

Positionnement des différentes solutionsScénario RMS EFS BitLockerTM

Respect à distance de la politique pour documentsProtection du contenu en transit

Protection du contenu durant la collaborationProtection locale des fichiers et dossiers sur une machine partagée par plusieurs utilisateursProtection des fichiers et dossiers distantsProtection de portable

Serveur dans une filiale

Protection de fichiers et dossiers dans un contexte mono utilisateur

Page 38: Stéphane SAUNIER TSP Sécurité Microsoft France stephsau@microsoft.com.

Sur le meme sujet pendant la conference

Page 39: Stéphane SAUNIER TSP Sécurité Microsoft France stephsau@microsoft.com.

© 2006 Microsoft Corporation. All rights reserved.This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.