Tech Days 2013 – Windows 8 et la sécurité

A cause d’un service “à la Parisienne” (30 minutes de retard pour servir un plat du jour), impossible de voir la session sur Gadgeteer, et pas plus de chance sur la meta-programmation. Fait suer… Du coup, obligé de se rabattre sur une session en amphithéâtre, où il y presque toujours de la place, sauf bien sûr pour Coding 4 Fun, où la queue menaçait de sortir du Palais des Congrès (Eric, il va falloir la faire dans l’amphi principale, celle-là Sourire).

Heureusement (car c’est un signe de qualité), c’est Bernard Ourghanlian qui présente. Toujours très clair, très érudit, un plaisir à l’écouter. Du coup, les notes sont un peu en vrac, car avec un bon orateur, on passe plus de temps à écouter qu’à prendre en note pendant les hésitations…

Windows 8 détecte si l’antivirus a passé sa période d’évaluation et n’a plus sa BD à jour.

Par défaut, pas de restriction pare-feu sur le trafic sortant. Par contre, pare feu intelligent pour gérer les capabilities déclarées par les applis d’un store. DirectAccess est mis en avant pour simplifier la configuration du pare-feu.

Windows 8 utilise le TPM pour construire une carte à puce virtuelle, par l’extension des canaux possibles pour l’authentification multifacteurs. Par exemple, un PC peut être utilisé comme matériel d’authentification. La portabilité des crédentités reste évidemment plus simple avec une vraie carte a puce, mais elles sont aussi plus facilement volables (c’est d’ailleurs pour cela qu’on la couple avec les accès aux bâtiments, la cantine, etc. : de façon que le propriétaire se rende vite compte de son absence).

Interdiction de l’export des certificats, opérations de chiffrement isolées et fonctions de protection additionnelles (autodestruction, etc.) sont les trois fonctionnalités les plus importantes des cartes à puce.

Sauvegarde de la clé de recouvrement dans Skydrive. Attention, les modifs dans la chaine de boot bloque BitLocker.

Contrôle d’accès dynamique pour le BYOD : cela passe par le support des revendications, plus générales que l’identification seulement Kerberos. Par exemple, un attribut d’identité peut être ‘je suis français’, ou ‘je suis majeur’. Donc, le contrôleur Windows ne gère plus que des groupes, mais le jeton Windows rajoute une section de type claims, et une autre de type terminal (il faut savoir si on peut faire confiance au device, en plus du user).

Windows 8 permet de gérer des expressions sur les groupes, ce qui évitera leur inflation. On pourra ainsi faire une ACL en fonction de si le terminal est géré par l’IT ou pas. Classification des ressources par cette grammaire SDDL, avec l’ACL sur la ressource qui dit qu’elle est par exemple ‘high impact’. Bref, une façon beaucoup plus claire d’exprimer des exigences de sécurité : au lieu de créer un groupe pour les utilisateurs de tablettes, un groupe pour les utilisateurs de tablette mais qui ont des droits élevés, etc., on peut créer des ACL sur le fait que la demande vienne d’une tablette, que la personne ait des droits élevés ET que la ressource demandée soit “high impact”. A voir comment ça se configure en vrai, et si ça n’est pas plus facile à se tromper, mais c’est clairement plus clair à la présentation.

A propos de sécurité, même si ça n’a rien à voir avec l’informatique mais plutôt la sécurité physique, voici ce que les Parisiens appelle un trottoir :

12-TrottoirParis

Il s’agit de la bande de goudron en dehors de la route et laissée libre par les scooters et motos, permettant aux vélos de se faufiler et aux piétons de se faire tuer…

About JP Gouigoux

Jean-Philippe Gouigoux est Architecte Logiciel, MVP Connected Systems Developer. Il intervient régulièrement à l'Université de Bretagne Sud ainsi qu'à l'Agile Tour. Plus de détails sur la page "Curriculum Vitae" de ce blog.
This entry was posted in Retours, Sécurité and tagged . Bookmark the permalink.

2 Responses to Tech Days 2013 – Windows 8 et la sécurité

  1. Eric F says:

    Beaucoup d’antiparisianisme dans tes billets, mon cher JP 🙂

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Captcha Captcha Reload