Alors que les organisations continuent de se demander comment gérer une main-d'œuvre hybride, la sécurité en dehors du pare-feu de l'entreprise continue de jouer un rôle énorme dans les opérations informatiques quotidiennes.
Après la sortie en octobre de Windows 11, qui offrait des fonctionnalités destinées à permettre un fonctionnement hybride, Microsoft a annoncé la semaine dernière les premiers PC avec sa technologie de sécurité Pluto chip-to-cloud. La technologie vise à sécuriser les ordinateurs des télétravailleurs et autres.
Au CES, Microsoft a annoncé que Lenovo et le fabricant de puces AMD avaient lancé les premiers ordinateurs portables, les ThinkPad Z13 et ThankPad Z16, livrés nativement avec les puces de sécurité Pluto. Le prix du ThinkPad Z13 commence à 1,549 16 €, le prix du ThinkPad Z2,099 commence à XNUMX XNUMX €. Les deux ordinateurs portables seront disponibles en mai, et Lenovo a déclaré qu'il n'y avait aucun coût supplémentaire associé à la puce Pluto à l'intérieur.
Pluto sera désactivé par défaut sur les plates-formes Lenovo ThinkPad 2022 (en particulier, Z13, Z16, T14, T16, T14s, P16s et X13 avec les processeurs AMD série 6000). Les clients auront la possibilité d'activer Pluton eux-mêmes, a déclaré un porte-parole de Lenovo.
Lorsqu'on lui a demandé pourquoi la puce était initialement désactivée, le porte-parole a déclaré que les entreprises clientes "nous ont dit qu'elles testaient et évaluaient minutieusement tout nouveau logiciel ou fonctionnalité lié à la sécurité introduit dans leur réseau. Et ils pouvaient choisir d'activer Pluto". "
Le processeur Pluto vise à fournir une meilleure protection que le Trusted Platform Module (TPM) existant car il s'agit d'une puce de sécurité dédiée qui gère des fonctionnalités de sécurité telles que BitLocker, Windows Hello et System Guard.
Windows 11 est venu avec une multitude de mises à jour de sécurité, dont l'une était l'incapacité de désactiver les fonctionnalités existantes telles que UEFI, livre sécurisé et TPM cryptographique. Windows 11 est un système d'exploitation compatible Zero Trust conçu pour être sécurisé de la puce au cloud, avec des contrôles de sécurité vérifiables intégrés et activés par défaut.
TPM 2.0 est utilisé pour générer et protéger les clés de chiffrement, les informations d'identification des utilisateurs et d'autres données sensibles afin que les données ne puissent pas être consultées ou manipulées par des logiciels malveillants et des attaquants.
La puce Pluto est un processeur de sécurité spécialement conçu à cet effet, développé grâce à un effort conjoint entre Microsoft et les principaux fabricants de silicium, notamment AMD et Qualcomm. Son objectif est de protéger les PC contre certaines des attaques de logiciels malveillants les plus sophistiquées en stockant de manière plus sécurisée les informations d'identification des utilisateurs (y compris les informations d'empreintes digitales), les identités, les données personnelles et les mots de passe. Le processeur de sécurité intégré combine la fonctionnalité TPM 2.0 avec la possibilité de mettre à jour dynamiquement et d'ajouter de nouvelles fonctionnalités de sécurité de manière transparente via Windows Update, le service de Microsoft qui installe le dernier logiciel/micrologiciel sur un ordinateur.
« Un matériel et des logiciels étroitement intégrés » aident à protéger contre les vulnérabilités de sécurité en ajoutant une visibilité et un contrôle supplémentaires, et sont plus adaptables aux changements dans le paysage des menaces, selon Microsoft.
La puce Pluto est intégrée dans la puce du processeur d'un appareil et est donc plus difficile d'accès pour les attaquants. Les informations sensibles qui y sont stockées ne peuvent pas être supprimées, même si un attaquant a installé un logiciel malveillant ou est physiquement en possession du PC, car la puce est isolée du reste du système. La puce discrète aide également à empêcher les techniques d'attaque émergentes telles que l'exécution spéculative (une attaque par canal latéral) qui exploitent le comportement et les fonctionnalités du processeur.
Pluto peut agir comme un TPM ou fournir une sécurité supplémentaire à un appareil en conjonction avec un TPM tiers discret, selon Matt Wo, un porte-parole de la cybersécurité de Microsoft.
"Nos partenaires ont le choix et la flexibilité de proposer Pluto avec ou sans TPM tiers", a déclaré Wo dans une réponse par courrier électronique à Computerworld. "Lorsque Pluto est configuré en tant que TPM, il protège les clés BitLocker utilisées pour chiffrer et protéger les données des clients stockées sur le système."
Patrick Hevesi, vice-président des analystes chez Gartner, a déclaré que le plus grand avantage de la puce Pluto est l'élimination potentielle des attaques physiques par canal latéral contre les canaux de communication autonomes TPM-CPU.
Les attaques par canal auxiliaire ne ciblent pas les faiblesses des systèmes cryptographiques eux-mêmes ; au lieu de cela, le logiciel malveillant recherche des fuites d'informations qui pourraient indiquer quelque chose sur le fonctionnement du système cryptographique. Par exemple, les attaques acoustiques peuvent enregistrer le son des frappes d'un utilisateur pour voler sa phrase secrète, ou le rayonnement de champ électromagnétique (EMF) émis par un écran d'ordinateur peut être utilisé pour afficher des informations avant qu'elles ne soient affichées.
"Étant donné que le processus de sécurité de Pluto sera intégré directement dans les puces du système sur puce (SoC), il ne devrait y avoir aucun moyen d'accéder au canal sans détruire la puce", a déclaré Hevesi par courrier électronique. "De plus, selon les spécifications de Microsoft, les clés ne quitteront jamais les limites de Pluto Security, ce qui contribuera à prévenir les attaques telles que l'exécution spéculative et d'autres types d'attaques matérielles clés."
Un autre avantage de l'architecture Pluto est que Microsoft contrôlera les mises à jour du micrologiciel des puces de sécurité et autorisera les mises à jour directes à partir de Windows Update ; permettant à l'entreprise de contrôler et de sécuriser le code du micrologiciel et de continuer à ajouter de nouvelles fonctionnalités de sécurité à mesure que de nouvelles versions de Windows sont déployées, selon Hevesi.
Microsoft sera également en mesure de faire progresser les fonctionnalités de sécurité matérielles et logicielles telles que le démarrage sécurisé, le démarrage mesuré et la sécurité basée sur la virtualisation directement dans un seul processeur SoC.
"Cela aidera à empêcher même les attaques à distance qui tentent de modifier le processus de démarrage du noyau ou du système d'exploitation. La puce Pluto aidera à protéger les appareils distants grâce à la couche physique et à l'intégration de fonctionnalités de sécurité logicielles", a déclaré Hevesi. « Cette technologie peut également être appliquée aux appareils sur site pour potentiellement empêcher les attaques physiques internes. Ils ont également ajouté cette technologie à Azure Sphere dans le cloud. »
Tout le monde ne croit pas que la nouvelle puce Pluto est la sécurité ultime.
Michael Suby, vice-président de la recherche du service de recherche sur la confiance et la sécurité d'IDC, a déclaré que la plate-forme SoC est une avancée utile qui ne changera pas radicalement les décisions commerciales de si tôt.
"Une séquence d'exploitation potentielle d'un acteur malveillant pourrait faire passer clandestinement l'ordinateur portable du dirigeant, ouvrir l'appareil et l'infecter au niveau matériel, puis laisser l'appareil, apparemment intact, au dirigeant ainsi qu'aux éventuelles équipes de sécurité du service informatique", explique Suby.
Les nouveaux ordinateurs portables de Lenovo sont alimentés par des processeurs AMD Ryzen série 6000, qui intègrent la puce Pluto Security dans les nouveaux PC Windows 11. La puce Pluto est basée sur une technologie utilisée depuis des années dans Microsoft Xbox et Microsoft Azure Sphere.
« Alors que nous entrons dans cette nouvelle ère de travail hybride, vous avez besoin de solutions de sécurité modernes qui offrent une protection de bout en bout, où que vous soyez », a déclaré Wo. "Windows 11 a été conçu pour relever la barre en matière de sécurité, dès le départ, pour permettre des protections telles que Windows Hello, le chiffrement des appareils, la sécurité basée sur la virtualisation (VBS), l'intégrité du code protégé par hyperviseur (HVCI) et le démarrage sécurisé, une combinaison il a été démontré qu’il réduit les logiciels malveillants de 60 %.
Microsoft a déclaré que de nombreuses mises à jour de Windows 11 et conceptions de puces collaboratives étaient inspirées par des thèmes de travail hybrides.
« Force est de constater que ces dernières années ont été porteuses de nombreux apprentissages que nos partenaires ont intégrés dans la conception de ces dispositifs. Ces apprentissages et ces nouvelles méthodes de travail ont également influencé de nombreuses innovations de conception dans Windows 11 », a déclaré Nicole Dezen, vice-présidente des ventes aux partenaires d'appareils chez Microsoft, dans un article de blog.
Copyright © 2022 IDG Communications, Inc.