Page d'accueil Sécurité Ce que vous devez savoir sur les clés de démarrage sécurisées Windows 10

Ce que vous devez savoir sur les clés de démarrage sécurisées Windows 10

  • Edmund Richardson
  • 0
  • 3720
  • 944
Publicité

Dans ce qui pourrait être absolument considéré comme un exemple scintillant de exactement Pourquoi les clés d'or offrant une porte dérobée aux services sécurisés ne devraient pas exister, Microsoft a accidentellement divulgué la clé principale de son système Secure Boot.

La fuite déverrouille potentiellement tous les périphériques dotés de la technologie Microsoft Secure Boot, masquant ainsi le statut de leur système d'exploitation verrouillé, permettant ainsi aux utilisateurs d'installer leurs propres systèmes d'exploitation et applications à la place de ceux désignés par le géant technologique Redmond..

La fuite ne devrait pas compromettre la sécurité de votre appareil - en théorie. Mais cela ouvrira les lignes pour des systèmes d'exploitation alternatifs et d'autres applications qui auparavant n'auraient pas fonctionné sur un système Secure Boot.

Comment Microsoft va-t-il réagir à cela? Une simple mise à jour pour modifier chaque clé de base Secure Boot? Ou est-ce simplement trop tard, dommage causé?

Voyons ce que signifie la fuite Secure Boot pour vous et vos périphériques..

Qu'est-ce que le démarrage sécurisé??

“Secure Boot vous permet de vous assurer que votre PC ne démarre qu'en utilisant un micrologiciel approuvé par le fabricant.”

Microsoft Secure Boot est arrivé avec Windows 8 et est conçu pour empêcher les opérateurs malveillants d'installer des applications Qu'est-ce que l'UEFI et en quoi cela vous garde-t-il plus sécurisé? Qu'est-ce que l'UEFI et comment vous sécurise-t-il davantage? ou tout système d'exploitation non autorisé lors du chargement ou de la modification du système au cours du processus de démarrage du système. À son arrivée, on craignait que son introduction limiterait considérablement la capacité de systèmes à double ou multi-démarrage de Microsoft. En fin de compte, cela était en grande partie non fondé - ou des solutions de contournement ont été trouvées.

Comme Secure Boot repose sur la spécification UEFI (interface de micrologiciel extensible unifié) Qu'est-ce que l'UEFI et en quoi cela vous garde-t-il plus sécurisé? Qu'est-ce que l'UEFI et comment vous sécurise-t-il davantage? fournir des fonctionnalités de base de cryptage, d'authentification réseau et de signature de pilote, offrant ainsi aux systèmes modernes une protection supplémentaire contre les rootkits et les malwares de bas niveau.

Windows 10 UEFI

Microsoft voulait monter en puissance “protection” offert par UEFI sous Windows 10.

Avant la publication de la version de Windows 10, Microsoft informait les fabricants que le choix de supprimer l’option de désactivation de Secure Boot était entre leurs mains. Linux ne fonctionnera-t-il plus sur le futur matériel Windows 10? Linux ne fonctionnera-t-il plus sur les futurs matériels Windows 10? Le démarrage sécurisé peut empêcher certaines distributions Linux de démarrer. Sur les appareils Windows 10 à venir, les fabricants peuvent supprimer l’option permettant de désactiver le démarrage sécurisé. Cela affectera Linux Mint et plusieurs autres distributions populaires. , verrouillant efficacement le système d’exploitation à celui par lequel un ordinateur arrive. Il convient de noter que Microsoft n'a pas poussé directement cette initiative (du moins pas entièrement publiquement), mais comme l'explique Peter Bright d'Ars Technica, des modifications apportées aux règles UEFI existantes antérieures à la date de publication de Windows 10 ont rendu cela possible:

“Si cela se maintenait, nous pourrions envisager que les constructeurs OEM construisent des machines qui n'offriront pas de moyen facile de démarrer des systèmes d'exploitation construits par eux-mêmes, ou même tout système d'exploitation ne disposant pas des signatures numériques appropriées..”

Bien qu'il existe sans aucun doute de nombreux ordinateurs de bureau et ordinateurs portables à vendre dotés de paramètres UEFI déverrouillés, cela pourrait constituer un autre obstacle pour ceux qui souhaitent essayer une alternative au système d'exploitation Windows..

Encore un autre obstacle pour les partisans de Linux: soupir.

Et maintenant, Secure Boot est débloqué en permanence?

En permanence, je n'en suis pas si sûr. Mais pour le moment, Secure Boot peut être déverrouillé. Voici ce qui s'est passé.

Secure Boot est sur son lit de mort.

Rédaction à venir demain ou mercredi.

- slipstream / RoL (@ TheWack0lian) 8 août 2016

Je sais que j'ai fait référence à une clé de type squelette super-duper qui déverrouille chaque verrou de l'univers Microsoft UEFI Secure Boot… mais il s'agit en réalité de déterminer les stratégies que vous avez signées sur votre système..

Démarrage sécurisé désactivant la fuite de binaire. Quoi de plus agaçant pour Microsoft? https://t.co/n0fGr7pwdo

- Mythic Beasts (@Mythic_Beasts) 10 août 2016

Secure Boot fonctionne conjointement avec certaines stratégies, lu et entièrement respecté par le gestionnaire de démarrage Windows. Comment résoudre la plupart des problèmes de démarrage Windows? Comment résoudre la plupart des problèmes de démarrage Windows Votre ordinateur Windows ne démarre-t-il pas? Cela peut être dû à une erreur matérielle, logicielle ou micrologicielle. Voici comment diagnostiquer et résoudre ces problèmes. . Les stratégies conseillent au gestionnaire de démarrage de garder le démarrage sécurisé activé. Cependant, Microsoft a créé une stratégie conçue pour permettre aux développeurs de tester les versions de système d'exploitation sans avoir à signer numériquement chaque version. Cela annule efficacement le démarrage sécurisé, en désactivant les vérifications anticipées du système pendant le processus de démarrage. Les chercheurs en sécurité, MY123 et Slipstream, ont documenté leurs conclusions (sur un site Web vraiment charmant):

“Au cours du développement de Windows 10 v1607 'Redstone', MS a ajouté un nouveau type de stratégie de démarrage sécurisé. À savoir, “complémentaire” politiques qui se trouvent dans la partition EFIESP (plutôt que dans une variable UEFI) et dont les paramètres sont fusionnés, en fonction de conditions (à savoir qu'un certain “Activation” la politique existe aussi et a été chargée).

Les charges bootmgr.efi de Redstone “héritage” politiques (à savoir, une politique à partir de variables UEFI) en premier. À un certain moment dans redstone dev, il n’a effectué aucune vérification supplémentaire au-delà des vérifications de signature / deviceID. (Cela a maintenant changé, mais voyez comme le changement est stupide) Après avoir chargé le “héritage” politique, ou une politique de base de la partition EFIESP, elle est ensuite chargée, vérifiée et fusionnée dans les politiques supplémentaires.

Voir le problème ici? Sinon, laissez-moi vous l'expliquer clairement. le “complémentaire” stratégie contient de nouveaux éléments, pour les conditions de fusion. Ces conditions sont (bien, à la fois) décochées par bootmgr lors du chargement d’une politique héritée. Et bootmgr de Win10 v1511 et versions antérieures ne sait certainement pas à leur sujet. Pour ces bootmgrs, il vient de charger une politique signée parfaitement valide.”

Cela ne fait pas bonne lecture pour Microsoft. Cela signifie en réalité que la stratégie en mode débogage conçue pour permettre aux développeurs - et uniquement aux développeurs - d’annuler les processus de signature est ouverte à toute personne disposant d’une version commerciale de Windows 10. Cette stratégie a également été divulguée sur Internet..

Rappelez-vous l'iPhone de San Bernardino?

“Vous pouvez voir l'ironie. Aussi, l’ironie dans le fait que MS nous-mêmes nous a fourni plusieurs “clés d'or” (comme dirait le FBI;) à utiliser à cette fin :)

À propos du FBI: lisez-vous ceci? Si vous l’êtes, c’est un exemple du monde réel parfait expliquant pourquoi votre idée de détourner des systèmes cryptographiques avec un “clé dorée sécurisée” est très mauvaise! Des gens plus intelligents que moi vous le disent depuis si longtemps, il semble que vous ayez les doigts dans les oreilles. Vous ne comprenez pas encore sérieusement? Microsoft a mis en place un “clé dorée sécurisée” système. Et les clés d'or ont été libérées de la stupidité propre à la SP. Maintenant, qu'advient-il si vous dites à tout le monde de faire un “clé dorée sécurisée” système? J'espère que vous pourrez ajouter 2 + 2… ”

Pour les défenseurs du chiffrement, ce fut un moment doux-amer qui, espérons-le, fournira une clarté bien nécessaire aux organismes chargés de l'application de la loi et aux représentants gouvernementaux. Backdoors d'or jamais rester caché. Ils seront toujours découverts, que ce soit par une vulnérabilité interne imprévue (révélations de Snowden, héros ou méchant? NSA modère sa position sur Snowden, héros ou méchant?). Bien qu’il n’y ait pas eu de débat, il semble que la NSA ne qualifie plus Snowden de traître. Qu'est-ce qui a changé?) ou de ceux qui sont intéressés par la technologie et son code sous-jacent.

Considérez l'iPhone de San Bernardino…

“Nous avons un grand respect pour les professionnels du FBI et nous pensons que leurs intentions sont bonnes. Jusqu'à présent, nous avons fait tout ce qui était en notre pouvoir et dans le respect de la loi pour les aider. Mais à présent, le gouvernement américain nous a demandé quelque chose que nous n’avons tout simplement pas et que nous considérons comme trop dangereux de créer. Ils nous ont demandé de créer une porte dérobée sur l'iPhone. Quel est le système d'exploitation mobile le plus sécurisé? Quel est le système d'exploitation mobile le plus sécurisé? Luttant pour le titre de système d'exploitation le plus sécurisé pour mobile, nous avons: Android, BlackBerry, Ubuntu, Windows Phone et iOS. Quel système d'exploitation est le mieux à même de résister aux attaques en ligne? .”

La balle repose avec Microsoft

Comme je l’ai dit plus tôt, cela ne devrait pas poser de risque énorme pour la sécurité de vos appareils personnels, et Microsoft a publié une déclaration minimisant la pertinence de la fuite Secure Boot:

“La technique de jailbreak décrite dans le rapport des chercheurs du 10 août ne s'applique pas aux systèmes PC de bureau ou d'entreprise. Il nécessite un accès physique et des droits d'administrateur sur les périphériques ARM et RT, sans compromettre les protections de chiffrement..”

En outre, ils ont publié à la hâte un bulletin de sécurité Microsoft intitulé “Important.” Cela résoudra la vulnérabilité une fois installée. Cependant, l'installation d'une version de Windows 10 sans le correctif requis ne prend pas beaucoup..

Golden Keys

Malheureusement, il est peu probable que cela conduise à une nouvelle surabondance de périphériques Microsoft exécutant des distributions Linux. Je veux dire, il y aura des individus entreprenants qui feront le test du temps, mais pour la majorité des individus, ce sera simplement un autre problème de sécurité qui les a dépassés..

Il ne devrait pas.

Ne pas se soucier des distributions Linux sur les tablettes Microsoft est une chose, bien sûr. Mais les implications plus larges d’une clé d’or qui fuit dans le domaine public pour déverrouiller potentiellement des millions d’appareils en est un autre..

Il y a quelques années, le Washington Post a lancé un appel à la mobilisation “faire des compromis” sur le cryptage, proposant que si nos données devraient évidemment être interdites aux pirates, peut-être Google et Apple et al devrait avoir une clé dorée sécurisée. Dans une excellente critique de pourquoi il s’agit là d’une “proposition erronée et dangereuse,” Christ Coyne, co-créateur de Keybase, explique très clairement que “Honnête, les bonnes personnes sont mises en danger par tout porte dérobée qui contourne leurs propres mots de passe.”

Nous devons tous nous efforcer d'atteindre le niveau maximum de sécurité personnelle possible. Commencez l'année avec un audit de sécurité personnelle Commencez une année avec un audit de sécurité personnelle gratter. Voici 10 étapes à suivre pour tout mettre à jour à l'aide de votre PC, téléphone ou tablette. , ne daignez pas l'affaiblir à la première occasion disponible. Parce que, comme nous l'avons vu à plusieurs reprises, ces clés de type squelette super-duper volonté se retrouver entre de mauvaises mains.

Et quand ils le font, nous jouons tous un jeu dangereux de défense réactive, que nous voulions ou non.

Les grandes entreprises technologiques doivent-elles créer des backdoors dans leurs services? Ou les agences gouvernementales et autres services devraient-ils s'occuper de leurs affaires et s'attacher à maintenir la sécurité?

Crédit d'image: DutchScenery / Shutterstock, Constantine Pankin / Shutterstock




Personne n'a encore commenté ce post.

Ne pas simplement trouver un emploi Trouver une entreprise pour laquelle vous aimerez travailler
Productivité
5 bonnes alternatives à Google Docs à prendre en compte
Productivité
Comment convertir des fichiers texte délimités en feuilles de calcul Excel
Productivité
De la technologie moderne, simple et abordable.
Votre guide dans le monde de la technologie moderne. Apprenez à utiliser les technologies et les gadgets qui nous entourent chaque jour et à découvrir des choses intéressantes sur Internet.