Les prérequis de Microsoft pour avoir un PC Windows 10 sécurisé
Par l'intermédiaire d'un document à destination aux fabricants de PC, Microsoft détails les règles à respecter pour concevoir une machine qui sera haute sécurisée sous Windows 10. Indirectement, Microsoft au travers de ses recommandations impact la configuration hardware des futures machines.
En effet, ces recommandations s'appuient directement sur des composants matériels, qui eux-mêmes apportent des fonctionnalités de sécurité. Voici un récapitulatif des recommandations émises :
- Virtualization-based Security (VBS)
Cette fonctionnalité de virtualisation est directement liée aux processeurs de 7ème génération, chez AMD et Intel, et permet de créer une zone isolée et sécurisée dans la mémoire pour exécuter les processus liés aux fonctions de sécurité. Ainsi, ces fonctionnalités ne pourront pas être altérées par un programme malveillant.
L'objectif est également d'assurer l'intégrité du noyau Windows grâce à cette couche d'isolation.
Les fonctions nécessaires sont le support de la virtualisation c'est-à-dire VT-d et Vt-x pour Intel, alors que pour AMD ce sera AMD-Vi et RVI. Par ailleurs, la fonctionnalité MBEC (Mode Based Execution Control), exclusive à la 7ème génération de CPU est obligatoire. Le tout sur un processeur 64 bits.
- Le chiffrement et la puce TPM
Microsoft recommande qu'une puce TPM soit présente dans les machines afin de générer les clés de chiffrement et de les stocker, notamment pour utiliser Bitlocker (bien que ce soit possible sans).
Le module TPM devra être conforme à la spécification du Trustworthy Computing Group (TCG), ce qui implique la présence d'une sécurité supplémentaire afin d'éviter de charger un firmware qui ne provient pas du constructeur. Chez Intel, cette fonctionnalité se nomme Boot Guard, du coté d'AMD il s'agit de l'Hardware Verified Boot.
- L'UEFI mais pas n'importe lequel
Pour faire l'interface entre Windows 10 et le firmware, l'UEFI est recommandé mais dans une version 2.4 au minimum et en activant le mode de démarre sécurisé. Concernant le firmware, il doit pouvoir être mis à jour via Windows Update pour que ce processus soit simplifié.
- RAM
La mémoire sera protégée par les attaques grâce à la fonctionnalité "Secure MOR". Par ailleurs, la machine devra embarquer 8 Go de RAM au minimum.
- Environnements virtuels
Pour les environnements virtuels, les pilotes du firmware devront être compatibles avec le standard HVCI (Hypervisor Code Integrity).
Voilà qui vous donne quelques points à vérifier lorsque vous allez envisager l'achat de votre prochain matériel. Quoi qu'il en soit, il y a du travail sur les PC grands publics pour respecter tout ces points, à commencer par la puce TPM.
Peut être que ne pas utiliser Windows 10 reste la meilleure solution 😀
Vu cet article, je préfère m’en tenir au Windows8 d’autant plus que la configuration de mon ordinateur ne me le permet pas.