Windows 10 intégrera bien EMET pour réduire le risque d’exploitation des failles
Kaspersky aime ça
Le 28 juin 2017 à 15h20
6 min
Logiciel
Logiciel
Microsoft a confirmé que la prochaine évolution majeure de Windows 10 intègrera une partie des outils présents dans EMET, un kit permettant de réduire les possibilités de piratage. Une récupération prévisible et qui faisait récemment d’ailleurs l’objet de rumeurs.
EMET, pour Enhanced Mitigation Experience Toolkit, est un ensemble d’outils connu des utilisateurs avancés, experts en sécurité et autres administrateurs. Il ne s’agit clairement pas d’un kit conçu pour le grand public, puisqu’il agit sur de nombreux paramètres et peut entrainer divers soucis de compatibilité avec les applications. Son objectif, atténuer les risques d’exploitation des failles.
Ces outils ont longtemps été une référence chez Microsoft, tant et si bien que de nombreux descriptifs de failles dans les bulletins mensuels donnaient les niveaux de dangerosité pour Windows et pour le système accompagné d’EMET. Aussi, quand l’éditeur a annoncé début novembre qu’il allait mettre fin au kit, de nombreuses voix se sont élevées pour lui demander de reconsidérer sa position. Mais l’entreprise avait en fait des plans déjà arrêtés le concernant.
Plusieurs capacités d’EMET intégrées dans Windows 10
En fait, Windows 10 contient déjà une partie d’EMET. La ligne de communication de Microsoft était alors claire : EMET lui-même devenait superflu. Mais contrairement au kit une fois installé, le paramétrage et l’administration des mesures de sécurité peut laisser à désirer.
Par exemple, l’un des intérêts d’EMET a été pendant longtemps de pouvoir forcer l’activation de l’ASLR (Address space layout randomization) sur n’importe quelle application, y compris quand elle n’avait pas été développée pour en tenir compte. Pour rappel, ce mécanisme de sécurité déplace les données importantes dans une zone mémoire aléatoire, pour qu’un malware ne sache pas où chercher. Certaines applications avaient des problèmes de compatibilité avec cette fonction. Le déplacement de la mesure dans Windows 10 a fait perdre la possibilité de la paramétrer finement.
La future Fall Creators Update (FCU), attendue pour septembre, introduira donc Windows Defender Exploit Guard (Microsoft ajoute « Windows Defender » devant tous les noms de fonctionnalités liées à la sécurité, ce que nous ne ferons plus pour le reste de l’article). Exploit Guard reprend une bonne partie des outils présents dans EMET (présenté désormais comme « nativement intégré ») et en ajoute de nouveaux, avec les outils et règles pour les manier.
Application Guard et Device Guard eux aussi rapatriés
Dans un vaste mouvement qui risque très clairement de faire pester Kaspersky, Microsoft ajoutera deux autres briques importantes pour la sécurité de son système. Application Guard doit ainsi empêcher les pirates d’établir une tête de pont dans la machine. La protection permet en théorie une isolation de la menace, qu’il s’agisse de l’exploitation d’une faille 0-day ou du téléchargement d’un malware via le navigateur, en bloquant l’accès à la mémoire, au stockage, aux applications installées et autres ressources.
Point intéressant, AG aura un écho particulier pour Edge. Le navigateur devait déjà bénéficier de cette protection dans la Creators Update, mais Microsoft a repoussé ce rapprochement. Dans la FCU, Edge en bénéficiera et fonctionnera de manière isolée dès qu’une ressource sera considérée comme non fiable. Elle sera alors lue dans une instance miniature de Windows, comprenant le noyau et une version minimale du Windows Platform Service pour qu’Edge s’y exécute.
Application Guard est particulièrement lié à Exploit Guard. Les deux font appel à l’Intelligent Security Graph, à savoir la mise en relation des comportements et éléments de sécurité réunis par Microsoft de son côté. Il s’agit d’un type de protection qui prend de l’ampleur depuis plusieurs années, la détection statique des menaces n’étant plus suffisante. De nombreux éditeurs de solutions de sécurité ont recours désormais à ce type d’analyse.
Device Guard sera de son côté intégré dans Advanced Threat Protection. Le module doit permettre aux administrateurs de vérifier plus facilement les listes d’applications autorisées et de repérer plus rapidement un code qui n’est pas censé être exécuté. Le fonctionnement peut être manuel ou automatisé, ce dernier mode étant basé ici encore sur l’Intelligent Security Graph.
L’ensemble de ces nouveaux outils provoque l’apparition de nouveaux contrôles dans System Center Configuration Manager. Il faut préciser que la majeure partie de ces protections et de leur paramétrage restera réservé aux entreprises.
Évolution de la sécurité et concurrence
Bien entendu, Microsoft profite allègrement de son billet d’explications pour vanter les mérites de nouvelle vision de la sécurité. Il faudra s’y faire désormais, une bonne partie des défenses de Windows 10 seront liées au cloud et au traitement des informations par Microsoft, qui indique se baser sur « des milliers de milliards de signaux ».
Se pose évidemment la délicate question de la concurrence. Comme l’a montré récemment la plainte de Kaspersky pour abus de position dominante, l’intégration de Windows Defender ne plait pas à tout le monde. On attend encore de voir si elle va se mouvoir en action de groupe, l’éditeur russe ayant appelé les autres entreprises concernées à le rejoindre dans ce combat. Mais avec le renforcement qui s’annonce, on peut se demander si Microsoft n’est pas en train de tendre le bâton pour se faire battre.
L’éditeur pourra toujours rétorquer que Windows Defender ATP est déjà utilisé pour plusieurs des services hébergés, notamment Office 365 et Azure, et qu’il ne s’agit que d’aligner un produit supplémentaire, et particulièrement celui qui est le plus exposé aux menaces. L’entreprise évoque également l’arrivée prochaine de nouvelles API qui permettront aux éditeurs tiers de venir se brancher sur ces nouvelles métriques pour créer des solutions d’automatisation ou qui complèteront le tout.
Dans tous les cas, la firme semble décidée à avancer sur ce terrain, que la concurrence se plaigne ou non. Il est possible d’ailleurs que Kaspersky réagisse puisque ces nouvelles fonctionnalités pourraient bien apporter de l’eau à son moulin. La vidéo de présentation insiste d'ailleurs particulièrement sur deux points : Microsoft se pose comme champion novateur de la sécurité, et l'intégration à Windows 10 y est très marquée.
Windows 10 intégrera bien EMET pour réduire le risque d’exploitation des failles
-
Plusieurs capacités d’EMET intégrées dans Windows 10
-
Application Guard et Device Guard eux aussi rapatriés
-
Évolution de la sécurité et concurrence
Commentaires (21)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 28/06/2017 à 17h38
Certain éditeurs d’antivirus reproche a Microsoft d’empiéter sur leurs terrain.
Le 28/06/2017 à 17h39
Si c’est bien intégré (logiquement ça devrait), c’est une excellente nouvelle.
Le 28/06/2017 à 17h43
Ils vont avoir mal au cul avec ce qui arrive, l’augmentation du niveau de sécurité drastique de windows va leur faire mal au porte monnaie
Le 28/06/2017 à 19h08
mais c’est une excellente nouvelle ça ! l’outil est vraiment puissant, par contre j’avais tenter l’expérience d’intégration sur notre parc, j’avais eu quelques soucis avec des applis internes, ça demandais beaucoup de temps pour le rendre fonctionnel la boite n’avais pas valider le projet dommage.
Le 28/06/2017 à 19h10
Le 28/06/2017 à 20h06
Je comprends la position de Kapersky de vouloir défendre son gagne pain, mais comment reprocher à Microsoft d’intégrer des outils dans Windows permettant de le sécuriser davantage ?
Surtout avec l’actualité en ce moment.
Le 28/06/2017 à 20h43
Ben yaka se rappeler de l’histoire de wmp. (media player)
Le 28/06/2017 à 20h45
Le 29/06/2017 à 06h38
C’est clair.
Ils ont bâti leur business sur les “lacunes” de Windows.
Maintenant que Microsoft tente de les combler, c’est à eux de s’adapter…
Le 29/06/2017 à 07h26
C’est un peu comme si un fournisseur de médicaments contre les intoxications alimentaires reprochait à un fabricant de rillettes d’améliorer la qualité de ses contrôles en usine
Le 29/06/2017 à 07h57
Le 29/06/2017 à 08h25
Pour ceux qui sont encore sous Windows 7 et qui seraient tentés par un test, l’ANSSI a publié il y a déjà un certain temps un guide explicatif sur les différentes options, leurs apports, et comment mettre ça en place au niveau d’une entreprise. Très instructif :
République Française
Le 29/06/2017 à 08h40
Le 29/06/2017 à 11h54
Tout à fait, EMET (Doc Brown ?) est puissant mais requiert du doigté et peut-être lourd.
Toutefois, j’espère que MS va vraiment soigner l’intégration à Windows 10 (quand bien même il ne s’agit que d’une version allégé), sinon, ca risque de foutre un sacré bordel.
Le 29/06/2017 à 13h19
Le 28/06/2017 à 15h42
Nom de Zeus !
" />
Le 28/06/2017 à 15h43
gros changement en vu. Je l’avais essayé au boulot mais j’avais du l’enlever car j’avais des appli pro qui ne fonctionnait plus.
Le 28/06/2017 à 16h53
Je suis pro-Microsoft mais on leur reproche de sécuriser leur système ?
Autant le navigateur c’est une fonctionnalité mais la sécurité c’est normal qu’ils améliorent non ??
Le 28/06/2017 à 17h28
Pro-Microsoft c’est la première fois que j’entend ça, c’est assez drôle. A part avoir des parts dans une entreprise, je n’arrive pas à comprendre comment on peut être aussi sectaire. La sécurité est un domaine hyper important, sont amélioration est centrale bien sûr, ici ont par la mise à disposition au grand publique d’une technologie principalement dédié aux professionels.
Le 28/06/2017 à 17h35
Le 01/07/2017 à 16h21
doc :) c’est aussi un peu ma crainte