Excellente nouvelle, avec qui sait demain un avenir sans mot de passe ? Deux ans après qu’Apple a lancé les passkeys avec iOS 16 et macOS 13, de plus en plus d’entreprises continuent de les prendre en charge. C’était le cas en novembre dernier de Windows 11, nous vous en parlions sur le Blog, mais aussi de Google il y a un an et Amazon en octobre dernier. Microsoft a annoncé aujourd’hui que la prise en charge des passkeys est en cours de déploiement pour tous ses comptes sur les plateformes Windows, Apple, Google.
Une étape de plus vers un monde sans mot de passe…
Les utilisateurs pourront s’authentifier à l’aide d’outils biométriques simples tels que Face ID ou Touch ID via leur smartphone, sans avoir besoin de clés Fido2. La configuration de Passkey est rapide et pratique, comme le souligne Microsoft dans son message d’annonce : « Sur l’appareil où vous souhaitez créer la clé de sécurité, suivez ce lien, et choisissez l’option visage, empreinte digitale, code PIN ou clé de sécurité. Suivez ensuite les instructions sur votre appareil. »
Une fois la clé de sécurité configurée pour votre compte Microsoft, vous pourrez facilement vous connecter à des applications telles que Word, OneNote et Outlook à l’aide de l’authentification biométrique. Un balayage rapide de Face ID sur l’iPhone ou l’iPad, ou de Touch ID sur le Mac, est préférable à la saisie répétée d’un nom d’utilisateur et d’un mot de passe dans une famille d’applications.
Vous le savez Entra est un service destiné aux entreprises qui offre à celles-ci des moyens sécurisés de mettre en place un système d’inscription et d’identité numérique pour leurs employés. Microsoft a annoncé dans un article de blog quelques nouveaux développements d’Entra conçus pour aider à contrôler sa sécurité et sa sûreté. L’une des nouveautés est l’ajout de nouvelles recommandations Microsoft Entra, soit en preview publique, soit en disponibilité générale. Les recommandations Entra sont exécutées tous les jours pour informer les administrateurs s’ils doivent prendre des mesures sur certains points.
Les nouvelles recommandations Entra sont les suivantes :
Supprimer les identifiants inutilisés des applications
Renouveler les informations d’identification des principaux services arrivant à expiration
Renouveler les informations d’identification des applications qui arrivent à expiration
Supprimer les applications inutilisées
Deux nouvelles recommandations d’Entra concernent le service Azure AD Graph (annoncé comme obsolète en 2020 et se trouve actuellement dans son cycle de de support final). Les deux nouvelles recommandations d’Entra alerteront les administrateurs pour qu’ils migrent les applications d’Azure AD Graph vers Microsoft Graph, ainsi qu’une alerte pour migrer les mandants de service qui ont récemment accédé aux API d’Azure AD Graph pour les déplacer vers Microsoft Graph.
Microsoft a également apporté de nouvelles améliorations à l’Identity Secure Score d’Entra Recommendations. Pour rappel, ce score indique en pourcentage dans quelle mesure le système d’un locataire est conforme aux recommandations de Microsoft. Microsoft a ajouté une nouvelle recommandation Secure Score qui est disponible dès maintenant en preview publique :
Protégez votre locataire avec une politique de risque d’initié : La mise en œuvre d’une politique d’accès conditionnel qui bloque l’accès aux ressources pour les utilisateurs internes à haut risque est hautement prioritaire en raison de son rôle critique dans le renforcement proactif de la sécurité, l’atténuation des menaces internes et la protection des données sensibles en temps réel.
Microsoft a également formulé un certain nombre d’autres recommandations d’Entra liées à Secure Score comme :
Activer la synchronisation des hachages de mots de passe si hybride
Protéger tous les utilisateurs avec une politique de risque utilisateur
Protéger tous les utilisateurs avec une politique de risque de connexion
Utiliser les rôles administratifs les moins privilégiés
Exiger une authentification multifactorielle pour les rôles administratifs S’assurer que tous les utilisateurs peuvent compléter l’AMF
Activer une politique pour bloquer l’authentification traditionnelle
Désigner plus d’un administrateur global
Ne pas faire expirer les mots de passe
Permettre la réinitialisation du mot de passe en libre-service Ne pas autoriser les utilisateurs à donner leur consentement à des applications non fiables.
Entra Recommendations inclura des notifications par mail permettant d’envoyer des informations sur les nouvelles recommandations disponibles.
Nous le savons tous, les entreprises doivent s’assurer que leurs utilisateurs savent comment leurs données sont collectées et utilisées. En outre, de nombreux pays ont, en suivant l’exemple de l’Europe, leurs propres lois, et il est complexe de se conformer à l’ensemble de ces lois. Microsoft tente de résoudre ce problème en utilisant son portefeuille de produits Priva pour aider les entreprises à gérer les défis liés à la protection de la vie privée qui découlent d’exigences réglementaires complexes et de réglementations en constante évolution. La société a élargi le portefeuille Priva pour inclure un nouvel ensemble de produits dans sa famille.
Microsoft a d’abord lancé Privacy Management for Microsoft 365 en 2021 et visait à automatiser l’atténuation des risques, à gérer les demandes de droits des sujets et à améliorer les opérations de protection de la vie privée liées aux données personnelles. Les nouvelles solutions offertes par Microsoft Priva vont plus loin et comprennent la gestion des risques liés à la vie privée, les demandes de droits des sujets pour les données au sein de Microsoft 365, la gestion des consentements, les évaluations de la vie privée et le Tracker Scanning sur l’ensemble du patrimoine de données d’une entreprise.
Voici un résumé des solutions clés de la famille de produits Priva :
Microsoft Priva Privacy Assessments :
Automatise la découverte, la documentation et l’évaluation de l’utilisation des données personnelles.
Intègre des cadres de risques de confidentialité personnalisés dans les évaluations afin d’identifier les facteurs contribuant aux risques de confidentialité.
Surveille l’utilisation des données personnelles et évalue les risques d’atteinte à la vie privée afin de réduire les risques organisationnels et d’instaurer la confiance avec les personnes concernées.
Microsoft Priva Privacy Risk Management :
Simplifie l’identification de l’utilisation des données personnelles non structurées.
Automatise l’atténuation des risques grâce à des politiques facilement définissables et adaptées à des besoins spécifiques.
Identifie les données personnelles et les risques critiques pour la vie privée, automatise l’atténuation des risques et donne aux employés les moyens de prendre des décisions éclairées en matière de traitement des données.
Microsoft Priva Tracker Scanning :
Automatise la découverte et la catégorisation des technologies de suivi sur les sites web.
Aide les entreprises à remédier aux risques de non-conformité des traceurs et à contrôler efficacement la conformité des sites web.
Permet aux entreprises de normaliser la conformité du suivi à grande échelle et d’améliorer la protection de la vie privée pour un contrôle et une visibilité maximum.
Microsoft Priva Consent Management :
Rationalise la gestion des consentements et l’utilisation des données consenties pour répondre aux réglementations en matière de confidentialité des données.
Crée des modèles de consentement personnalisables et conformes à la réglementation pour un déploiement facile.
Simplifie le déploiement des modèles de consentement à l’échelle et fournit des modèles de consentement spécifiques à l’organisation.
Microsoft Priva Subject Rights Requests :
Automatise le traitement des demandes de droits des sujets dans divers environnements de données.
Gère l’accès, la suppression et l’exportation des demandes de droits des sujets dans les environnements sur site, hybrides et multicloud.
Permet aux organisations de rationaliser les tâches liées aux demandes de droits des sujets et d’établir la confiance avec les clients grâce à une gestion efficace.
Pour rappel, l’outil fonctionne également en conjonction avec Microsoft Purview Compliance Manager pour offrir des modèles d’évaluation de la protection des données et de la vie privée qui correspondent aux réglementations en matière de conformité et aux normes de l’industrie. Microsoft a également annoncé le nouveau portail Priva, qui est en bêta actuellement et qui permet aux administrateursd’explorer et d’utiliser les nouvelles solutions. Les utilisateurs peuvent continuer à accéder à ces fonctionnalités dans le portail de conformité classique Microsoft Purview.
Microsoft Purview est disponible en tant que module complémentaire pour les clients éligibles à Microsoft 365. Microsoft offre également un essai gratuit aux clients pour essayer Priva Subject Rights Requests pendant 90 jours ou créer jusqu’à 50 demandes de droits des sujets (selon la limite qui expire en premier).
Vous vous en doutez, nous reviendrons sur ces annonces lors du prochain Briefing.
Ivanti, la société d’accès à distance dont les produits ont été victimes de graves problèmes de sécurité au cours des dernieres semaine, a promis une « nouvelle ère » qui « transforme fondamentalement le modèle opérationnel de sécurité d’Ivanti », soutenue par « un investissement important » et un soutien total du conseil d’administration. C’est la réponse à la tourmente que la société vient de vivre avec disons le quelques « errances » pour répondre aux attaques que les produits ont subit… Ivanti fabrique des produits VPN qui ont été largement utilisés dans les grandes organisations, y compris les agences gouvernementales, c’est une cible riche pour les acteurs de la menace et une cible qui a semblé particulièrement molle au cours des dernières années. Connect Secure d’Ivanti, une appliance VPN souvent abrégée en ICS, fonctionne comme un gardien qui permet aux appareils autorisés de se connecter. ICS a été une cible de choix, en particulier pour les acteurs au niveau de l’État-nation et les intrus financièrement motivés. ICS (anciennement connu sous le nom de Pulse Connect) a eu des vulnérabilités de jour zéro précédemment exploitées en 2019 et 2021.
Dans sa lettre ouverte, le PDG Jeff Abbott promet de réorganiser « l‘ingénierie de base, la sécurité et la gestion des vulnérabilités« , de rendre tous les produits « sûrs dès leur conception », d’officialiser les partenariats avec les agences de cyberdéfense et de « partager l’information et l’apprentissage avec nos clients ». Parmi les détails, l’entreprise promet d’améliorer les capacités de recherche dans le portail de documentation et de ressources de sécurité d’Ivanti, « alimenté par l’IA », et un « système de réponse vocale interactive » pour acheminer les appels et alerter les clients sur les problèmes de sécurité, également « alimenté par l’IA ».
Jeff Abbott, évoque le « changement radical » du modèle de sécurité de l’entreprise. Pas de chance, on apprenait quasiment en même temps la divulgation de quatre nouvelles vulnérabilités pour ses produits de passerelle Connect Secure et Policy Secure, deux d’entre elles étant classées comme étant de gravité élevée. Ces vulnérabilités sont apparues deux semaines après deuxd’autres vulnérabilités, jugées critiques, avec exécution de code à distance. Elles faisaient suite à une vague de trois semaines d’exploitation ininterrompue au début du mois de février, qui a poussé les directeurs de la sécurité à se précipiter pour appliquer des correctifs et rétablir les services ou, comme l’ont fait les agences civiles fédérales, reconstruire leurs serveurs à partir de zéro.
Il y a plus d’un an, en mars 2023, Microsoft a annoncé pour la première fois son intention de proposer un service Security Copilot qui permettrait aux utilisateurs de saisir des prompts pour trouver des problèmes de sécurité informatique et les résoudre. En octobre 2023, Microsoft avant lancé un le programme en preview. Copilot for Security pourrait ainsi aider à la création de résumés pour tout incident de sécurité, ainsi qu’à la réponse à ces incidents.
Hier (et ce n’était pas un poisson d’avril), Microsoft a indiqué que Copilot for Security était désormais disponible. L’article révèle également que les clients doivent disposer d’un abonnement Azure pour accéder au service.
Microsoft donne également quelques précision sur la tarification du service :
La capacité de Copilot est mesurée en unités de calcul de sécurité (SCU). Le tableau de bord du produit fournit des informations sur les schémas d’utilisation des SCU, ce qui permet aux clients de surveiller et de fournir de manière flexible le nombre souhaité de SCU à tout moment.
L’entreprise indique également que les informations de Microsoft Defender Threat Intelligence telles que « les profils d’intelligence, les articles et l’atelier d’analyse » sont disponibles sans frais supplémentaires pour les utilisateurs de Copilot for Security.
Une autre caractéristique de Copilot for Security est la capacité de l’IA à aider à la rétro-ingénierie des scripts de logiciels malveillants afin que les développeurs de sécurité puissent trouver les faiblesses de ces scripts et s’en défendre. Le lancement prend en charge 25 langues dans un premier temps.
Microsoft vient de révéler un nouveau développement conçu pour offrir plus de transparence sur la façon dont Microsoft gère le stockage des données avec les utilisateurs d’abonnements entreprise. Dans un billet de blog, elle a déclaré que les données qui montrent comment les clients interagissent avec Copilot dans le cadre de Microsoft 365 seront stockées dans le même pays ou la même région que celui où est stocké l’ensemble de leurs données Microsoft 365 actuelles. Une bonne nouvelle donc, largement attendu, à la fois pour des raisons évidentes de confidentialité mais afin de diminuer aussi les temps de latences…
Microsoft précise :
« Il s’agit d’une étape importante dans notre engagement à fournir un environnement sécurisé et conforme à nos entreprises et à nos clients particulièrement réglementés qui ont des exigences particulièrement strictes en matière de stockage de leurs données.«
En plus de stocker les données d’interaction de Copilot dans le même pays ou la même région que les données générales de Microsoft 365, Microsoft souligne également que les clients peuvent supprimer l’historique des données d’interaction à tout moment. Plus tard en 2024, l’entreprise ajoutera un moyen pour les clients de voir leur emplacement de stockage spécifique, via la carte d’emplacement des données dans le centre d’administration de Microsoft 365, afin d’inclure Copilot pour Microsoft 365.
L’un des articles de blog mentionne la limite des données de l’UE pour le nuage Microsoft, qui indique que la société proposera aux clients de l’Union européenne et de l’Association européenne de libre-échange de « conserver leurs données dans l’UE ». L’annonce d’aujourd’hui signifie probablement que toutes les interactions de données avec Copilot pour Microsoft 365 resteront également dans l’UE pour ces utilisateurs et clients particuliers.
Nous reviendrons lors du prochain Briefing Calipia sur les fonctionnalités offertes par Copilot en pratique dans les abonnement M365.
Apple a annoncé aujourd’hui sa dernière innovation pour protéger iMessage. Un protocole cryptographique post-quantique innovant appelé PQ3 qui est déjà disponible dans la dernière version bêta d’iOS 17.4. Cette nouvelle version offre à iMessage selon Apple « les propriétés de sécurité les plus solides de tous les protocoles de messagerie à l’échelle mondiale ». Apple à mis en avant dès le début les fonctions de sécurité dans iMessage, ce n’est pas une nouveauté, mais un différentiant important pour l’entreprise face à un WhatsApp régulièrement tacle pour ses problèmes de confidentialité et les pratiques souvent « borderline » de sa maison mère Meta… Du lancement en 2011 avec un chiffrement de bout en bout à l’adoption de la cryptographie à courbe elliptique en 2019, en passant par BlastDoor avec iOS 14 et les améliorations récentes telles que la vérification des Passkey à la fin de 2023, Apple améliore constamment la sécurité d’iMessage. Aujourd’hui, Apple a dévoilé ce qu’elle appelle la mise à jour de sécurité cryptographique « la plus importante » pour iMessage, avec une refonte complète du protocole du système. Apple a détaillé cette nouvelle avancée sur son blog Security Research hier soir.
« Avec l’introduction de PQ3, un protocole cryptographique post-quantique révolutionnaire qui fait progresser l’état de l’art en matière de messagerie sécurisée de bout en bout. Avec un chiffrement résistant aux compromis et des défenses étendues contre les attaques quantiques les plus sophistiquées, PQ3 est le premier protocole de messagerie à atteindre ce que nous appelons le niveau 3 de sécurité – offrant des protections de protocole qui surpassent celles de toutes les autres applications de messagerie largement déployées. À notre connaissance, PQ3 possède les propriétés de sécurité les plus solides de tous les protocoles de messagerie à l’échelle mondiale. »
Contrairement à ce que l’on imagine, Apple n’a pas été la première à imaginer un tel algorithme post-quantique, Signal a été la première plateforme de messagerie à grande échelle à annoncer une amélioration de la sécurité de la cryptographie post-quantique à l’automne dernier avec un mécanisme d' »établissement de clé ». Cependant, l’approche d’Apple comporte deux niveaux de sécurité avec l’établissement de la clé PQC et la recomposition permanente de cette dernière, une approche assez originale. Il n’existe pas encore de norme industrielle pour évaluer les protocoles de cryptographie classique par rapport à ceux de la PQC, c’est pourquoi Apple a mis au point son propre système de classement. Selon Apple, la décision de Signal d’inclure l’établissement de clés PQC (niveau 2) « est une étape bienvenue et cruciale » qui place sa sécurité au-dessus de toutes les autres plateformes de messagerie. Toutefois, elle ne peut offrir une sécurité quantique que si la clé de conversation reste intacte. Au niveau 2, l’application de la cryptographie post-quantique est limitée à l’établissement initial de la clé, n’offrant une sécurité quantique que si la clé de conversation n’est jamais compromise. Mais les adversaires sophistiqués d’aujourd’hui sont déjà incités à compromettre les clés de chiffrement, car cela leur donne la possibilité de déchiffrer les messages protégés par ces clés tant que celles-ci ne changent pas. Pour protéger au mieux les messages cryptés de bout en bout, les clés post-quantiques doivent changer en permanence afin de limiter la part d’une conversation qui peut être exposée par la compromission d’une seule clé à un moment donné, aujourd’hui et avec les futurs ordinateurs quantiques. C’est là qu’intervient le protocole PQ3 (niveau 3) d’Apple, qui sécurise à la fois la clé initiale et la recomposition en cours. Ce qui est important, c’est que cela donne à iMessage « la capacité de restaurer rapidement et automatiquement la sécurité cryptographique d’une conversation, même si une clé donnée est compromise ».
Pourquoi ce type de sécurité est importante aujourd’hui alors qu’il faudra sans doute attendre encore de nombreuses années avant de voir réellement des ordinateurs quantiques capable de mettre à mal les chiffrements actuels ?
L’idée est non seulement de ce protéger des attaques futures (mais on a le temps), mais surtout se protéger du fameux « Harvest Now, Decrypt Later » (récolter maintenant, décrypter plus tard) Danger évoqué par la NSA dès 2016 et en 2021 encore plus précisément par l’ANSSI en France qui résume le problème ainsi :
« Un ordinateur quantique suffisamment puissant pourrait résoudre ces problèmes mathématiques classiques de manière fondamentalement différente, et donc – en théorie – le faire assez rapidement pour menacer la sécurité des communications chiffrées de bout en bout »
En utilisant, entre autre, le fameux algorithme quantique de Peter Shor. Bien que de tels ordinateurs quantiques n’existent pas encore, des attaquants disposant de ressources considérables peuvent d’ores et déjà se préparer à leur arrivée éventuelle en tirant parti de la forte diminution des coûts de stockage des données modernes. Le principe est simple : ces attaquants peuvent collecter de grandes quantités de données cryptées actuelles et les classer en vue d’une consultation ultérieure. Même s’ils ne peuvent pas décrypter ces données aujourd’hui, ils peuvent les conserver jusqu’à ce qu’ils acquièrent un ordinateur quantique capable de les décrypter à l’avenir.
Vous le savez, si demain nous disposions d’ordinateurs Quantique, ceux ci pourraient menacer les méthodes actuelles de chiffrements mais aussi la sécurité globale des systèmes d’information. Dans un billet du 1er novembre veut nous aider à nous y préparer. L’entreprise invite les organisations à remplir un questionnaire Forms qui l’aidera à (je cite) : « comprendre votre situation et vos priorités, et à vous fournir l’assistance nécessaire, y compris l’accès à des experts« . Microsoft a également indiqué qu’elle investissait dans un outil d’analyse du code, CodeQL disponible sur Github, qui promet de fournir « une nomenclature cryptographique et d’identifier la cryptographie héritée qui nécessite des mesures correctives ». Cela fait suite au « Crypto Experience for Azure Quantum Resource Estimator » lancé lui aussi un peu plus tôt pour permettre de se renseigner sur la sécurité des clés publiques actuellement utilisées.
L’annonce de Microsoft fait écho à un post de mai dernier où Charlie Bell, vice-président exécutif de Microsoft chargé de la sécurité, expliquait comment l’informatique quantique pourrait bouleverser le cryptage. Il expliquait que le cryptage actuel est basé sur l’algorithme RSA utilisé depuis les années 1970. Nous vous en parlions déjà il y a quelques années lors d’un Briefing, et pour rappel, l’algorithme RSA repose sur le fait que les ordinateurs doivent trouver les facteurs de très grands nombres pour casser le cryptage, ce qui est une tâche que les ordinateurs traditionnels mettraient des millions d’années à résoudre. Cependant, les ordinateurs quantiques, en utilisant l’algorithme de Peter Shor, pourraient résoudre de tels problèmes en quelques minutes seulement. Tout ceci étant très bien expliqué dans le document de l’ANSSI d’avril 2022.
Heureusement Charlie Bell a expliqué que les ordinateurs quantiques actuels ne sont pas tout à fait à la hauteur de la tâche, car ils devraient gérer plus d’un million de qubits stables pour y parvenir, clairement pas pour tout de suite ! Nous reviendrons sur tout cela avec une session dédiée lors du prochain Briefing. Cependant, de telles machines sont en création et pourraient être utilisées, et pourquoi pas demain par des Etats belligérants … Si Microsoft prévoit d’offrir des services d’informatique quantique par l’intermédiaire de ses centres de données Azure, elle prévoit également de mettre en place des contrôles pour éviter toute utilisation malveillante.
Microsoft indique d’elle a déjà aidé « plusieurs clients et partenaires, notamment ceux qui travaillent dans des secteurs sensibles aux risques » à mettre en place des stratégies de transition vers la sécurité quantique…
Vous souvenez vous de l’initiative il y a un plus de 20 ans de Microsoft : « Trustworthy Computing ». Initiative ô combien visionnaire à l’époque visant à penser en matière de sécurité depuis la conception des produits. A cette époque Microsoft était, et nous sommes bien placés pour en parler, pas mal chahuté sur le theme : « vos produits sont des passoires en matière de sécurité ». C’était une époque pas si lointaine, ou les partisans d’Apple clamaient haut et fort que les virus ne pouvaient pas exister sous Mac et que les seuls serveurs « sérieux » sur la question de la sécurité était les serveurs Linux… L’initiative « Trustworthy Computing » avait aussi été lancée parce que Bill Gates avait reconnu que les problèmes de sécurité ralentissaient les ventes de PC. Une autre époque donc. Aujourd’hui les PC se vendent moins bien mais surtout parce que le marché est saturé et que les PC ne vieillissent pas si mal finalement (et c’est plutôt une bonne nouvelle).
Microsoft à dévoilé publiquement la semaine dernière une sorte de Version 2 avec « , s’appelle « Secure Future Initiative ». Visant à réorganiser la manière dont Microsoft conçoit, construit, teste et entretient ses services et ses logiciels. Le même objectif que « Trustworthy Computing » mais à l’ère du Cloud. Si le piratage chinois de « Storm-0558 » où des acteurs malveillants ont infiltré un certain nombre de comptes de messagerie Outlook d’entreprises et d’administrations, a sans doute rendu une réponse nécéssaire, Storm-0558 est loin d’être le seul incident de cybersécurité majeur qui ait touché Microsoft et ses clients au cours des derniers mois. Le phishing, les ransomwares, les logiciels malveillants en tant que service et d’autres problèmes de sécurité ne cessent d’apparaître. Et demain c’est peut-être aussi l’IA générative qui sera mise à contribution également (il commence à y avoir des exemples) pour créer des menaces encore plus sofistiquées…
Sans surprise, l’IA Générative joue un rôle important dans la solution de sécurité proposée par Microsoft. Vous le savez, nous vous en parlions sur le blog au mois de mars, Microsoft travaille sur un outil d’assistant IA appelé Security Copilot qui est censé aider les administrateurs à voir plus rapidement et plus facilement ce qui se passe du point de vue de la sécurité dans leurs organisations. Microsoft a récemment élargi son programme de tests privés et payants pour Security Copilot avant sa disponibilité générale prévue en 2024. Espérons que ce dernier connaisse une véritable « disponibilité générale » digne de ce nom à cette époque (ce qui n’était pas vraiment le cas de M365 Copilot)
Microsoft annonce un certains nombres d’objectifs ambitieux pour la nouvelle initiative « Secure Future Initiative » :
Réduire de 50 % le temps nécessaire à l’élimination des vulnérabilités dans l’informatique dématérialisée afin d’accélérer considérablement la réponse aux vulnérabilités et les mises à jour de sécurité qui en découlent. en encourageant « un reporting plus transparent et plus cohérent ». Référence directe à ce qui c’est sans doute passé cet été autour de Storm-0558.
Intégrer davantage de paramètres de sécurité par défaut dans les produits, tels que l’authentification multifactorielle obligatoire (MFA) et d’autres paramètres de sécurité activés par défaut au cours de l’année prochaine.
Passer à un nouveau système des passkeys pour les particuliers et les entreprises, qui s’appuie aussi sur le module de sécurité renforcé Azure (HSM) et sur une infrastructure informatique confidentielle dans laquelle les clés ne sont pas seulement cryptées au repos et en transit, mais aussi pendant les processus de calcul. Nous y revenons dans une session dédiée lors du prochain Briefing Calipia. Nous avons déjà aussi dit tout le bien que nous en pensions dans Windows 11 sur le blog.
Élargir la modélisation automatisée des menaces contre son code pour tenter de prévenir et de contrer les attaques futures.
A suivre donc au delà des effets d’annonces, de ce qui est avant tout, à mon avis, une piqure de rappel de l’initiative « Trustworthy Computing »… 20 ans après.
Nous vous en parlions sur le Blog, Microsoft a commencé à déployer un certain nombre de nouvelles fonctionnalités dans Windows 11 22H2. Parmi elles, un certain nombre de nouvelles fonctions de sécurité centrées sur l’utilisation de l’expérience sans mot de passe de l’entreprise. Enjeux majeur pour se débarrasser des mots de passe et tordre le cou d’un grand nombre d’attaques. Nous y reviendrons lors d’une session dédiée au prochain Briefing Calipia.
hier soir, dans un billet de blog, Microsoft détaille un peu plus comment les entreprises peuvent commencer à utiliser les nouvelles améliorations de Windows 11 sans mot de passe. On y apprend en particulier qu’il est désormais possible de définir la policie MDM EnablePasswordlessExperience à partir d’Intune ou d’un autre MDM afin d’activer une expérience utilisateur sans mot de passe sur les machines connectées à Microsoft Entra ID. Nous verrons comment lors du prochain Briefing.
Une fois que les administrateurs auront mis en place les nouvelles fonctionnalités, les employés qui se connectent à leur PC de travail ne verront plus d’option de mot de passe, ni de moyen de saisir un mot de passe pour un service dans leur navigateur web. Au lieu de cela, ils devront utiliser la méthode Windows Hello. Si cela ne fonctionne pas, l’utilisateur dispose d’options telles que l’ouverture de session sur le web ou la réinitialisation de son code PIN, qu’il peut utiliser sans avoir recours à l’aide d’un administrateur informatique.
Hier soir également Amazon également annoncé le support des Passkeys dans ses applications mobiles (pour iOS dans un premier temps) et ses applications Web. Et si à l’heure où nous écrivons ces lignes ce n’est pas actif dans l’app iOS sur l’App Store français, cela fonctionne parfaitement sur le Web
Google a récemment fait de l’authentification par Passkeys la méthode d’authentification par défaut pour les comptes personnels Google. GitHub, a également mis récemment à la disposition de tous les utilisateurs la prise en charge des passkeys. Mais aussi Apple sur ses sites. Voir ce post pour plus d’info :
En octobre 2022, Google avait commencé à ajouter la prise en charge des passkeys pour son système d’exploitation Android et son navigateur Chrome. En mai 2023, la société avait ajouté des fonctionnalités de clé de sécurité pour les personnes disposant d’un compte Google personnel. Aujourd’hui, Google va plus loin en faisant de la signature par…
Calipia : le blog 