Accéder à un ordinateur portable près de chez vous : un nouveau type de puce de sécurité de Microsoft

Accéder à un ordinateur portable près de chez vous : un nouveau type de puce de sécurité de Microsoft

5 janvier 2022 0 Par Le Caiman
Nouvelle image promotionnelle d'ordinateur portable.

En novembre 2020, Microsoft a dévoilé Pluton, un processeur de sécurité conçu par la société pour empêcher certaines des formes d’attaques de piratage les plus sophistiquées. Mardi, AMD a annoncé qu’il intégrerait la puce dans ses prochains processeurs Ryzen pour une utilisation dans la série Lenovo d’ordinateurs portables ThinkPad Z Series.

Microsoft a déjà utilisé Pluton pour sécuriser les microcontrôleurs Xbox Ones et Azure Sphere contre les attaques impliquant des personnes disposant de boîtiers d’accès physique et effectuant des piratages matériels qui contournent les protections de sécurité. Les propriétaires d’appareils qui souhaitent exécuter des jeux ou des programmes non autorisés pour tricher procèdent généralement à de tels piratages.

Désormais, Pluton évolue pour sécuriser les PC contre les piratages physiques malveillants conçus pour installer des logiciels malveillants ou voler des clés cryptographiques ou d’autres secrets sensibles. Alors que de nombreux systèmes comme Intel disposent déjà de modules de plate-forme ou de protections de confiance Extensions de protection logicielle pour sécuriser ces données, les secrets restent vulnérables à diverses formes d’attaques.

L’une de ces attaques physiques consiste à placer des fils qui exploitent la connexion entre le TPM et d’autres composants de l’appareil et suppriment les secrets qui passent entre les machines. En août dernier, des chercheurs ont dévoilé une attaque qui n’a pris que 30 minutes pour supprimer la clé BitLocker d’un nouveau PC Lenovo préconfiguré pour utiliser le cryptage complet du disque avec TPM, les paramètres BIOS protégés par mot de passe et UEFI SecureBoot. Le hockey – qui fonctionnait en flairant la connexion entre le TPM et la puce CMOS – a montré que verrouiller un ordinateur portable avec les dernières protections ne suffit pas.

Une attaque similaire révélée trois mois plus tard a révélé qu’il était possible d’exploiter une vulnérabilité (maintenant corrigée) dans les processeurs Intel pour contourner diverses mesures de sécurité, notamment celles fournies par BitLocker, les TPM et les restrictions antimicrobiennes. Des attaques connues sous le nom de Spectre et Meltdown ont mis en évidence à plusieurs reprises la menace d’un code malveillant extrayant des secrets directement d’un processeur, même lorsque les secrets sont stockés dans le SGX d’Intel.

Une nouvelle approche

Pluton est conçu pour tout réparer. Il est directement intégré à la mort du processeur, où il stocke les clés de chiffrement et d’autres secrets dans un jardin clos complètement isolé des autres composants du système. Microsoft a déclaré que les données qui y sont stockées ne peuvent pas être supprimées même lorsqu’un attaquant a installé un logiciel malveillant ou a la possession physique complète de l’ordinateur.

L’une des mesures pour rendre cela possible est une clé unique de cryptographie sécurisée matérielle, ou SHACK. SHACK aide à garantir que les clés ne sont jamais exposées en dehors du matériel protégé, même de votre propre micrologiciel Pluton. Pluton sera également responsable de la livraison automatique des mises à jour du firmware via Windows Update. En intégrant étroitement le matériel et les logiciels, Microsoft s’attend à ce que Pluton installe les correctifs de sécurité de manière transparente selon les besoins.

« Si je dirige un service informatique de bureau, je veux que les gens exécutent des versions vérifiées de Windows et verrouillent les applications bureautiques et évitent autant que possible toutes sortes de choses malveillantes et non autorisées », a déclaré Joseph FitzPatrick, un hacker invétéré. et chercheur spécialisé dans la sécurité des micrologiciels sur SecuringHardware.com. « Pluton est le chemin activé par le matériel pour y arriver. »

Microsoft

Il a déclaré que Pluton empêcherait les utilisateurs d’exécuter des logiciels modifiés sans l’autorisation des développeurs.

« L’avantage est qu’il rend les systèmes x86 plus sûrs et fiables en permettant davantage une approche de jardin clos », a déclaré FitzPatrick. « Les inconvénients sont les plaintes typiques concernant les jardins clos. »

Dès le début, les TPM avaient une limitation de base – ils n’ont jamais été conçus pour se protéger contre les attaques physiques. Au fil du temps, Microsoft et d’autres ont commencé à utiliser les TPM pour stocker de manière plus sécurisée les clés BitLocker et des secrets similaires. L’approche était bien meilleure que le stockage des clés sur disque, mais comme les chercheurs l’ont montré, elle n’était guère adéquate.

Finalement, Apple et Google ont introduit les puces T2 et Titan pour améliorer les choses. Les puces offraient une certaine garantie contre les attaques physiques, mais les deux étaient essentiellement installées sur des systèmes existants. En revanche, un pluto est directement intégré au CPU.

La puce de sécurité peut être configurée de l’une des trois manières suivantes : en tant que TPM de l’appareil, en tant que processeur de sécurité utilisé dans des scénarios non TMP en tant que résilience de plate-forme ou en tant que quelque chose que les fabricants d’ordinateurs désactivent avant de lancer.

Ordinateurs portables ThinkPad série Z équipés de Ryzens Pluton intégré commencer le lancement en mai. Microsoft mentionné
Les modèles ThinkPad Z13 et Z16 qui utilisent Pluton comme TPM aideront à protéger les informations d’identification Windows Hello en isolant davantage les informations d’identification des attaquants.