Microsoft a confirmé que la prochaine évolution majeure de Windows 10 intègrera une partie des outils présents dans EMET, un kit permettant de réduire les possibilités de piratage. Une récupération prévisible et qui faisait récemment d’ailleurs l’objet de rumeurs.
EMET, pour Enhanced Mitigation Experience Toolkit, est un ensemble d’outils connu des utilisateurs avancés, experts en sécurité et autres administrateurs. Il ne s’agit clairement pas d’un kit conçu pour le grand public, puisqu’il agit sur de nombreux paramètres et peut entrainer divers soucis de compatibilité avec les applications. Son objectif, atténuer les risques d’exploitation des failles.
Ces outils ont longtemps été une référence chez Microsoft, tant et si bien que de nombreux descriptifs de failles dans les bulletins mensuels donnaient les niveaux de dangerosité pour Windows et pour le système accompagné d’EMET. Aussi, quand l’éditeur a annoncé début novembre qu’il allait mettre fin au kit, de nombreuses voix se sont élevées pour lui demander de reconsidérer sa position. Mais l’entreprise avait en fait des plans déjà arrêtés le concernant.
Plusieurs capacités d’EMET intégrées dans Windows 10
En fait, Windows 10 contient déjà une partie d’EMET. La ligne de communication de Microsoft était alors claire : EMET lui-même devenait superflu. Mais contrairement au kit une fois installé, le paramétrage et l’administration des mesures de sécurité peut laisser à désirer.
Par exemple, l’un des intérêts d’EMET a été pendant longtemps de pouvoir forcer l’activation de l’ASLR (Address space layout randomization) sur n’importe quelle application, y compris quand elle n’avait pas été développée pour en tenir compte. Pour rappel, ce mécanisme de sécurité déplace les données importantes dans une zone mémoire aléatoire, pour qu’un malware ne sache pas où chercher. Certaines applications avaient des problèmes de compatibilité avec cette fonction. Le déplacement de la mesure dans Windows 10 a fait perdre la possibilité de la paramétrer finement.
La future Fall Creators Update (FCU), attendue pour septembre, introduira donc Windows Defender Exploit Guard (Microsoft ajoute « Windows Defender » devant tous les noms de fonctionnalités liées à la sécurité, ce que nous ne ferons plus pour le reste de l’article). Exploit Guard reprend une bonne partie des outils présents dans EMET (présenté désormais comme « nativement intégré ») et en ajoute de nouveau, avec les outils et règles pour les manier.
Application Guard et Device Guard eux ainsi rapatriés
Dans un vaste mouvement qui risque très clairement de faire pester Kaspersky, Microsoft ajoutera deux autres briques importantes pour la sécurité de son système. Application Guard doit ainsi empêcher les pirates d’établir une tête de pont dans la machine. La protection permet en théorie une isolation de la menace, qu’il s’agisse de l’exploitation d’une faille 0-day ou du téléchargement d’un malware via le navigateur, en bloquant l’accès à la mémoire, au stockage, aux applications installées et autres ressources.
Point intéressant, AG aura un écho particulier pour Edge. Le navigateur devait déjà bénéficier de cette protection dans la Creators Update, mais Microsoft a repoussé ce rapprochement. Dans la FCU, Edge en bénéficiera et fonctionnera de manière isolée dès qu’une ressource sera considérée comme non fiable. Elle sera alors lue dans une instance miniature de Windows, comprenant le noyau et une version minimale du Windows Platform Service pour qu’Edge s’y exécute.
Application Guard est particulièrement lié à Exploit Guard. Les deux font appel à l’Intelligent Security Graph, à savoir la mise en relation des comportements et éléments de sécurité réunis par Microsoft de son côté. Il s’agit d’un type de protection qui prend de l’ampleur depuis plusieurs années, la détection statique des menaces n’étant plus suffisante. De nombreux éditeurs de solutions de sécurité ont recours désormais à ce type d’analyse.
[video][/video]
Device Guard sera de son côté intégré dans Advanced Threat Protection. Le module doit permettre aux administrateurs de vérifier plus facilement les listes d’applications autorisées et de repérer plus rapidement un code qui n’est pas censé être exécuté. Le fonctionnement peut être manuel ou automatisé, ce dernier mode étant basé ici encore sur l’Intelligent Security Graph.
L’ensemble de ces nouveaux outils provoque l’apparition de nouveaux contrôles dans System Center Configuration Manager. Il faut préciser que la majeure partie de ces protections et de leur paramétrage restera réservé aux entreprises.
Évolution de la sécurité et concurrence
Bien entendu, Microsoft profite allègrement de son billet d’explications pour vanter les mérites de nouvelle vision de la sécurité. Il faudra s’y faire désormais, une bonne partie des défenses de Windows 10 seront liées au cloud et au traitement des informations par Microsoft, qui indique se baser sur « des milliers de milliards de signaux ».
Se pose évidemment la délicate question de la concurrence. Comme l’a montré récemment la plainte de Kaspersky pour abus de position dominante, l’intégration de Windows Defender ne plait pas à tout le monde. On attend encore de voir si elle va se mouvoir en action de groupe, l’éditeur russe ayant appelé les autres entreprises concernées à le rejoindre dans ce combat. Mais avec le renforcement qui s’annonce, on peut se demander si Microsoft n’est pas en train de tendre le bâton pour se faire battre.
L’éditeur pourra toujours rétorquer que Windows Defender ATP est déjà utilisé pour plusieurs des services hébergés, notamment Office 365 et Azure, et qu’il ne s’agit que d’aligner un produit supplémentaire, et particulièrement celui qui est le plus exposé aux menaces. L’entreprise évoque également l’arrivée prochaine de nouvelles API qui permettront aux éditeurs tiers de venir se brancher sur ces nouvelles métriques pour créer des solutions d’automatisation ou qui complèteront le tout.
Dans tous les cas, la firme semble décidée à avancer sur ce terrain, que la concurrence se plaigne ou non. Il est possible d’ailleurs que Kaspersky réagisse puisque ces nouvelles fonctionnalités pourraient bien apporter de l’eau à son moulin. La vidéo de présentation insiste d'ailleurs particulièrement sur deux points : Microsoft se pose comme champion novateur de la sécurité, et l'intégration à Windows 10 y est très marquée.
merci à NextInpact
