Microsoft a révélé qu’elle a pris le contrôle de sept domaines contrôlés par une entité de piratage liée à la Russie et connue sous le nom de Strontium. Selon l’entreprise, les domaines étaient utilisés dans des cyberattaques contre des institutions ukrainiennes telles que des organisations de médias, ainsi que des institutions gouvernementales et des groupes de réflexion aux États-Unis et dans l’Union européenne impliqués dans la politique étrangère.
Les domaines ont été saisis après que Microsoft a obtenu une ordonnance du tribunal le 6 avril. L’entreprise s’attaque depuis longtemps à ce groupe « Strontium » et a déjà mis en place un processus lui permettant d’obtenir rapidement des ordonnances judiciaires pour prendre des mesures contre les activités du groupe. Ayant pris le contrôle des domaines, Microsoft les a redirigés vers un espace web qu’il gère pour informer les victimes des attaques.
« Cette action fait partie d’un investissement continu , commencé en 2016, pour prendre des mesures juridiques et techniques afin de saisir les infrastructures utilisées par Strontium. Nous avons établi un processus juridique qui nous permet d’obtenir des décisions de justice rapides pour ce travail. Avant cette semaine, nous avions pris des mesures par le biais de ce processus à 15 reprises pour saisir le contrôle de plus de 100 domaines contrôlés par Strontium. »
Tom Burt, Corporate Vice President of Customer Security & Trust chez Microsoft
Si l’on peut se réjouir que Microsoft ait pu s’attaquer à la dernière attaque de Strontium, l’entreprise a reconnu qu’il ne s’agit que d’une petite partie de la cyberguerre en Ukraine…
Microsoft a dévoilé une série de fonctionnalités de sécurité interessantes qui seront bientôt disponibles dans Windows 11 (certaines fonctions sont déjà présentes dans les builds Insiders). Voici en résumé ces nouvelles fonctions. Nous reviendrons là dessus lors du prochain Briefing en juin.
1 – Un nombre plus important de PC équipés de la puce Pluton
Nous vous en parlions sur le Blog, Microsoft pousse les constructeurs à mettre en oeuvre sa puce dédiée sécurité (sur le modèle de l’enclave sécurisé T2 d’Apple sur ses Mac). Logiquement de nombreuses machines devraient arriver sur le marché d’ici septembre équipé de la puce. Microsoft a mis en avant le fait que Pluton sera le seul processeur qui sera amélioré et mis à jour directement par le biais de Windows Update. Nous le savons, Pluton est un élément clé pour Microsoft dans le cadre de la migration des entreprises vers Windows 11, ainsi, l’éditeur précise s’il en était besoin que Pluton est optimisé pour Windows 11 et souligne l’investissement de Microsoft dans la stratégie de sécurité « chip to cloud ».
2 – Intégrité du code protégée par un hyperviseur
Microsoft a annoncé également que l’intégrité du code protégée par un hyperviseur (HVCI) sera également activée par défaut pour un plus grand nombre de dispositifs Windows 11. Cela permettra , nous vous en parlions sur le blog également de protéger les machines contre les pilotes infectés et malveillants. La liste de blocage des pilotes vulnérables s’appuiera sur HVCI et Windows Defender Application Control (WDAC) . Il s’agit d’une mesure d’atténuation au niveau du noyau qui sera activée par défaut.
3 – Intégration plus large de Smart App Control
Microsoft fournira également Smart App Control avec les nouveaux appareils Windows 11. Cette solution ira au-delà des protections intégrées à Edge pour couvrir toutes les applications non signées et malveillantes. Smart App Control est controlé par une IA pour s’assurer que seules les applications sûres sont autorisées à s’exécuter. Attention néanmoins seules les nouvelles machines bénéficieront de cette fonction. Pour les machines existante il faudra les réinitialisés et faire l’objet d’une installation propre pour pouvoir en bénéficier.
4 –Meilleure détection des tentatives de phishing
Microsoft annonce également une meilleure détection et prévention du phishing avec Microsoft Defender SmartScreen qui alertera les utilisateurs lorsqu’ils insèrent des informations d’identification dans une application ou un site Web malveillant. De même, Credential Guard, qui utilise des capacités de sécurité basées sur la virtualisation, sera activé par défaut dans Windows 11. La protection supplémentaire de l’autorité de sécurité locale (LSA) pour confirmer l’identité des PC Windows 11 reliés à l’entreprise sera également mise en œuvre par défaut dans le système d’exploitation à l’avenir sans que l’éditeur ne donne de date pour cette dernière fonction.
5 – Protection des données personnelles
La protection des données personnelles fait également son apparition dans Windows 11. Pour accéder aux données privilégiées, les utilisateurs devront d’abord s’authentifier via Windows Hello for Business. Ainsi, si l’appareil est volé ou égaré, il ne sera pas possible au voleur d’accéder aux données sensibles.
6 – Surveillance de la Registry
Enfin, c’est pas nouveau dans Windows 11 mais Microsoft a également rappelé l’existence de Config Lock, qui peut être utilisé pour surveiller les clés de registre et s’assurer qu’elles sont conformes à ce qui a été définie par l’informatique interne.
Microsoft ajoute une nouvelle fonctionnalité de liste de blocage des drivers vulnérables à Windows Defender sur Windows 10, Windows 11 et Windows Server 2016 ou plus. Ceci permet de protéger logiquement les postes de contre les drivers malveillants et exploitables.
La fonction sera activée par défaut sur Windows 10 en mode S (réservé à l’éducation), ainsi que sur les appareils dotés de la fonction Memory Integrity Core Isolation, qui s’appuie sur une sécurité basée sur la virtualisation. (Cette fonction Memory Integrity Core Isolation est également connue sous le nom de Hypervisor-protected Code Integrity ou HVCI). Plus de détails sont disponibles dans cet article de Microsoft sur les règles de blocage des pilotes recommandées. Logiquement cette fonction devrait être disponible pour toutes les versions de Windows 10 et 11 à une date non connue actuellement.
Cette fonction de blocage s’appuiera sur une liste de pilotes bloqués tenue à jour par Microsoft en collaboration avec ses partenaires constructeurs.La raison pour laquelle ces pilotes peuvent être marqués comme bloqués est qu’ils présentent des vulnérabilités de sécurité connues qui peuvent être exploitées pour élever les privilèges du noyau Windows ; ils agissent comme des logiciels malveillants ou des certificats utilisés pour signer des logiciels malveillants, ou ils présentent des comportements qui contournent le modèle de sécurité Windows et peuvent être utilisés pour élever les privilèges du noyau Windows.
Afin de garantir la confidentialité et la sécurité des données sensibles dans le cloud, les principaux acteurs utilisent des mécanismes via des contrôles matériels et logiciels qui régissent la manière dont les données sont partagées et utilisées, ainsi que la manière dont les propriétaires des données peuvent valider ces processus. Aujourd’hui, les processeurs Intel et AMD permettent déjà la création d’environnements d’exécution de confiance afin d’assurer la confidentialité au niveau du processeur. Ces fonctions intégrées garantissent que les données restent chiffrées au repos, en transit et même en cours d’utilisation. Elles offres également un moyen pour valider la configuration du matériel et n’accorder l’accès aux données qu’aux algorithmes requis.
Ces solutions sont donc intégrées dans les CPU et Microsoft cherche donc maintenant à étendre ceci aux GPU, Systèmes largement utilisé dans des activités confidentielle lié à l’IA par exemple, ceci afin de s’assurer que les données peuvent être déchargées en toute sécurité vers du matériel plus puissant pour les besoins de calcul. Pour ce faire Microsoft collabore avec Nvidia qui équipe déjà largement des différents datacenter avec ses processeurs.
Microsoft a noté qu’il ne s’agit pas d’une mise en œuvre simple, car elle doit protéger les GPU contre diverses attaques tout en veillant à ce que les machines hôtes Azure disposent d’un contrôle adéquat pour les activités administratives. Au niveau matériel, l’implémentation ne devrait pas avoir d’impact négatif en matière énergétique et en terme de performances d’après les deux sociétés. Nvidia précisant qu’il ne devrait pas non plus nécessiter de modifications de l’architecture GPU existante.
L’entreprise détaille un peu le mode de fonctionnement de cette protection :
Un nouveau mode dans lequel tous les états sensibles du GPU, y compris sa mémoire, sont isolés de l’hôte. Une racine de confiance matérielle sur la puce du GPU qui peut générer des attestations vérifiables capturant tous les états sensibles de sécurité du GPU, y compris tous les micrologiciels et microcodes. Extensions du pilote du GPU pour vérifier les attestations du GPU, établir un canal de communication sécurisé avec le GPU et chiffrer de manière transparente toutes les communications entre le CPU et le GPU. Support matériel pour crypter de manière transparente toutes les communications GPU-GPU sur NVLink. Support dans le système d’exploitation invité et l’hyperviseur pour attacher de manière sécurisée les GPU à un CPU sécurisé, même si le contenu du CPU est chiffré.
Microsoft a déclaré qu’elle avait déjà intégré des capacités de chiffrement dans les GPU Nvidia A100 Tensor Core sur Azure et que cela a été fait grâce à une nouvelle fonctionnalité appelée Ampere Protected Memory (APM). Les détails de la mise en œuvre sont de nature forcément très technique et vous pouvez les consulter ici.
Cette solution est désormais disponible en bêta privée par le biais des VM GPU confidentielles Azure. Il est actuellement possible d’utiliser des VMs avec jusqu’à quatre GPU Nvidia A100 Tensor Core pour leurs charges de travail Azure à ce stade. Les prochaines étapes de Microsoft consistent à assurer une adoption plus large de ces pratiques et à travailler avec Nvidia sur son architecture Hopper pour améliorer encore la mise en œuvre existante.
Le rachat, plus exactement la volonté de ce rachat tant que celui-ci n’est pas validé par les autorités de la concurrence, a été annoncé par Google le 8 mars dernier, pour un montant de 5.4 milliards de dollars. L’entreprise fondée en 2004 et basée en Virginie est reconnue comme un leader dans le domaine de la collecte et de l’analyse d’informations sur les menaces cyber. Elle propose notamment une plateforme SaaS, Mandiant Advantage, qui permet de fournir des renseignements à jour, automatiser l’investigation et la hiérarchisation des alertes et de valider les solutions de contrôle de la sécurité de divers fournisseurs. Mandiant est connue notamment pour avoir contribuer aux efforts d’identification et de lutte contre le hack Solarwind, fin 2020 et tout 2021.
Google vient donc de s’emparer d’un morceau de choix dont les services (et les compétences) devraient rejoindre Google Cloud Platform. Microsoft faisait aussi partie de ceux qui étaient intéressés par Mandiant, puisqu’en février 2022 des rumeurs prêtaient à Redmond la volonté de s’emparer de l’entreprise, pour compléter son propre portefeuille, déjà bien garni, de solutions de sécurité. L’affaire n’a pas été conclue, et il semble donc que Google vient de mettre un point final aux rumeurs.
Avec la généralisation du multi-cloud dans la plupart des entreprises, Microsoft vient d’annonce que son offre Defender for Cloud s’étend désormais aussi à GCP (Google Cloud Platform). C’était déjà le cas pour AWS depuis les annonces d’Ignite, nous vous en parlions sur le blog.
Avec cette nouvelle, Microsoft, devient le seul fournisseur de cloud qui permet de gérer la sécurité de manière native à travers les différents Clouds. Certaines des fonctionnalités et des exemples d’avantages sont présentés ci-dessous, comme l’explique Gilad Elyashar de Microsoft sur le Microsoft Defender for Cloud Blog.
« Vue centrale multi-cloud avec un nouveau score de sécurité pour tous les clouds combinés et la possibilité de comparer votre statut de conformité par rapport à des repères critiques tels que le Center of Internet Security (CIS) pour GCP et AWS. »
« Microsoft Defender for Cloud fournira plus de 80 recommandations prêtes à l’emploi pour commencer. Celles-ci sont alignées sur les normes du secteur et les meilleures pratiques de sécurité, y compris une mise en correspondance avec le référentiel CIS pour Google Cloud. » « Les capacités de protection contre les menaces sont intégrées dans Microsoft Defender for Cloud pour les charges de travail les plus critiques exécutées dans GCP, y compris les conteneurs et les serveurs. Defender for Cloud étend sa protection des serveurs pour prendre en charge les VM de Google Compute Engine, un autre type de charge de travail critique dans la plupart des environnements. »
Pour ceux qui s’inquiètent du processus d’intégration, Microsoft affirme qu’il devrait être assez facile. Microsoft utilise les API natives de Google et permet aux équipes de sécurité de connecter l’ensemble de l’organisation ou des projets individuels à Microsoft Defender for Cloud sans avoir besoin d’agents ou de services Google supplémentaires.
Veeam, éditeur de solutions de gestion de données et de backup, vient de publier son 2022 Data Protection Trends Report, synthèse d’une étude réalisée entre octobre et décembre 2021 auprès de plus de 3000 responsables IT, dans des entreprises majoritairement de plus de 1000 personnes et dans 28 pays.
Très riche en information, cette synthèse indique que 76% des entreprises interrogées disent avoir été victimes d’au moins une attaque de ransomware en 2021 :
Figure 4.2 How many ransomware attacks has your organization suffered in the last 12 months ?
Selon les chiffres de l’étude Veeam, l’origine de ces attaques se répartissent à part égale entre les utilisateurs (42%) qui ont cliqué sur des liens, ou ouvert des pièces jointes) et les administrateurs (43%) qui ont fait défaut sur l’application de patch ou des credentials compromis. Concernant les suites de ces attaques, l’étude indique qu’en moyenne seulement 2/3 des données ont pu être restaurées.
Quel pourcentage de données ont été récupérées à l’issue de l’attaque
Hasard du calendrier, mais à l’heure de l’invasion de l’Ukraine par la Russie, cette étude vient nous rappeler les dangers des ransomware, pour tout type d’entreprise. En 2017 le notoirement célèbre NotPetya (un logiciel malicieux destiné à détruire, mais qui se cachait sous la forme d’un ransomware) produit par les services secrets russes, déjà à l’époque pour attaquer l’Ukraine, avait semé la perturbation dans le monde entier et causé des dégâts chiffrés en dizaines de milliards de dollars. Les services de sécurité américains et anglais (NSA, FBI, UK National Cybersecurity Center) viennent de publier une alerte sur un nouveau malware, nommé Cyclops Blink, qui aurait commencé à faire son apparition sous forme de logiciels infestant des appareils réseau (firewalls de la société Watchguard), et qui sortirait du même endroit que NotPetya, un groupe de hackers russe nommé Sandworm, un satellite du Kremlin. Si l’amplitude du déploiement de Cyclops Blink et les objectifs de ce malware sont encore flous, la coïncidence avec l’invasion de l’Ukraine et l’origine de ce malware font redouter le pire….
Face à la montée des menaces cyber et compte tenu du rôle potentiellement dangereux des macros Office, Microsoft vient d’annoncer qu’à partir du mois d’avril 2022, les macros VBA obtenues à partir de source Internet non approuvée seraient par défaut bloquées.
Cette limitation concerne Windows et les applications : Access, Excel, PowerPoint, Visio, et Word. Selon les termes du message posté par Microsoft sur le blog Microsoft 365, « le changement commencera à être déployé dans la version 2203, en commençant par le Current Channel (Preview) au début d’avril 2022. Par la suite, la modification sera disponible dans les autres canaux de mise à jour, tels que Current Channel, Monthly Enterprise Channel et Semi-Annual Enterprise Channel ».
A une date future non encore déterminée, Microsoft appliquera cette limitation à Office LTSC, Office 2021, Office 2019, Office 2016 et Office 2013.
Un utilisateur ouvrant une pièce jointe ou un fichier non approuvé téléchargé sur Internet, verra un message s’afficher indiquant que l’ouverture du document est bloqué car il une/des macro(s) VBA, ainsi qu’un lien pour en savoir plus et quelles sont les procédures pour ouvrir le fichier de manière sécurisée.
Microsoft a annoncé la semaine dernière que le service Microsoft Defender for Endpoint prend désormais en charge la gestion des menaces et des vulnérabilités pour « toutes les principales plates-formes de périphériques dans l’entreprise – couvrant les postes de travail, les serveurs et les périphériques mobiles« . Donc en gros pour résumer, Microsoft vient d’ajouter la prise en charge d’Android et d’iOS, qui est maintenant sorti du stage de Beta. Pour rappel, le produit prenait déjà en charge les appareils macOS et Windows.
Mais cette annonce cache néanmoins certaines limitations :
Concernant Android :
Microsoft Defender for Endpoint peut désormais évaluer les vulnérabilités des versions du système d’exploitation Android, ainsi que des applications installées. Mais il n’évaluera pas la vulnérabilité des applications dans les scénarios Android « bring your own device », par défaut, en étant administrateur il est toutefois possible d’activer cette fonctionnalité.
Sans surprise, pour les utilisateurs d’Android Enterprise, seules les applications qui ont été installées pour un profil professionnel seront évaluées par Microsoft Defender for Endpoint.
Concernant iOS :
Microsoft Defender for Endpoint peut vérifier la vulnérabilité des versions iOS sur les appareils, mais pas la vulnérabilité des applications.
Microsoft prévoit d’ajouter la possibilité d’évaluer les applications « à une date ultérieure » sans que l’on sache vraiment quand, ni si cette absence de fonction résulte de limitation sur la plateforme due à Apple (ce qui reste fort probable, si l’on compare avec les autres produits du marchés).
Concernant Linux :
Seules certaine distribution Serveur de Linux sont prises en charge, pas les postes clients.
Pour ce qui est des modes d’acquisitions, Microsoft Defender for Endpoint a été scindé par Microsoft en deux produits, Plan 1 et Plan 2. Le nouveau produit Plan 1, destiné aux organisations qui ne recherchent que des capacités de protection des dispositifs, a été commercialisé en novembre et devrait apparaître dans le courant de l’année dans les abonnements Microsoft 365 E3/A3.
Lors du dernier CES, Microsoft avait annoncé que les nouveaux PC Windows 11, équipés de sa puce de sécurité Pluton arriveront cette année, On en sait un peu plus aujourd’hui avec des modèles prévus pour le mois de mai chez Lenovo.
Microsoft avait déjà déployé les puces Pluton dans sa gamme de consoles Xbox et dans Azure Sphere (l’OS et la puce dédié à l’IoT). L’objectif de cette enclave sécurisé, est le stockage de données sensibles, comme les mots de passe et surtout les clés de chiffrement.
Concernant les PC, Microsoft a développer cela en partenariat avec AMD. C’est donc le chinois Lenovo qui sortira les premiers modèles avec ses ThinkPad Z13 et Z16 sous Windows 11, ils devraient être disponibles en mai au niveau mondial. Ces deux nouvelles entrées dans la gamme d’ordinateurs portables professionnels de Lenovo seront également équipées des derniers processeurs AMD Ryzen Pro 6000, qui, selon Lenovo, sont les premiers processeurs X86 à fournir « une sécurité accrue de la puce au cloud sur les PC Windows 11« .
Microsoft précise dans sa communication que :
« Le micrologiciel du processeur de sécurité Pluton peut être mis à jour par le biais de Windows Update. Cette intégration étroite du matériel et du logiciel permet de se protéger contre les vulnérabilités de sécurité en ajoutant une visibilité et un contrôle supplémentaires, et fournit une plate-forme d’innovation qui permet aux clients de bénéficier de nouvelles fonctionnalités dans les futures versions de Windows qui exploitent le matériel Pluton et, avec cette conception, sont adaptables aux changements dans le paysage des menaces. »
David Weston, directeur de la sécurité des entreprises et des systèmes d’exploitation de Microsoft
l’enjeu pour ces nouvelles puces intégrées aux PC sera d’offrir des services identiques et partagés avec Azure Sphere dans le monde le l’IoT en faisant en quelque sorte du PC un composant IoT parmi d’autre ! La vision n’est pas stupide.
Pour en revenir à ces deux PC, le prix du ThinkPad Z13 de Lenovo commencera à 1 549 $, et celui du ThinkPad Z16 à 2 099 $. Pour en savoir plus un point sur les spécifications complètes ici.
Calipia : le blog 