Alors que les organisations continuent de se débattre pour savoir comment gérer une main-d’œuvre hybride, la sécurité en dehors du pare-feu de l’entreprise continue de jouer un rôle énorme dans les opérations informatiques quotidiennes.

Après la sortie en octobre de Windows 11, qui proposait des fonctionnalités visant à permettre un travail hybride, Microsoft a annoncé la semaine dernière les premiers PC avec sa technologie de sécurité Pluton chip-to-cloud. La technologie vise à sécuriser les ordinateurs des télétravailleurs et autres.

À CES, Microsoft a annoncé que Lenovo et le fabricant de puces AMD ont lancé les premiers ordinateurs portables – les ThinkPad Z13 et ThankPad Z16 – qui sont livrés nativement avec les puces de sécurité Pluton. Le prix du ThinkPad Z13 commence à 1 549 $, le prix du ThinkPad Z16 commence à 2 099 $. Les deux ordinateurs portables seront disponibles en mai et Lenovo a déclaré qu’il n’y avait aucun coût supplémentaire associé à la puce Pluton à l’intérieur.

Pluton sera désactivé par défaut sur les plates-formes Lenovo ThinkPad 2022 (en particulier, les Z13, Z16, T14, T16, T14s, P16s et X13 utilisant des processeurs AMD série 6000). Les clients auront la possibilité d’activer Pluton eux-mêmes, a déclaré un porte-parole de Lenovo.

Interrogé sur la raison pour laquelle la puce est initialement désactivée, le porte-parole a déclaré que les entreprises clientes « nous ont dit qu’elles testaient et évaluaient de manière approfondie tout nouveau logiciel ou fonctionnalité lié à la sécurité qui serait introduit dans leur réseau et pouvaient choisir d’activer Pluton sur leurs appareils comme bon leur semblait. Au fur et à mesure que Pluton se déploie sur le marché et que nous avons le temps d’évaluer la demande des clients pour l’activation en usine, nous examinerons l’activation [it]. »

Le processeur Pluton vise à offrir une meilleure protection que le Trusted Platform Module (TPM) existant car il s’agit d’une puce de sécurité dédiée qui gère des fonctionnalités de sécurité telles que BitLocker, Windows Hello et System Guard.

Windows 11 est venu avec une pléthore de mises à jour de sécurité, dont la moindre n’était pas l’impossibilité de désactiver les fonctionnalités existantes telles que UEFI, Secure book et le TPM cryptographique. Windows 11 est un système d’exploitation compatible Zero Trust conçu pour être sécurisé de la puce au cloud, avec des vérifications de sécurité vérifiables intégrées et activées par défaut.

TPM 2.0 est utilisé pour générer et protéger les clés de chiffrement, les informations d’identification des utilisateurs et d’autres données sensibles afin que les logiciels malveillants et les attaquants ne puissent pas accéder aux données ni les altérer.

La puce Pluton est un processeur de sécurité spécialement conçu développé grâce à un effort conjoint entre Microsoft et les principaux fabricants de silicium, dont AMD et Qualcomm. Il vise à protéger les PC contre certaines des attaques de logiciels malveillants les plus sophistiquées en stockant de manière plus sécurisée les informations d’identification des utilisateurs (y compris les informations d’empreintes digitales), les identités, les données personnelles et les clés de chiffrement. Le processeur de sécurité intégré combine les fonctionnalités de TPM 2.0 avec la possibilité de mettre à jour et d’ajouter dynamiquement de nouvelles fonctionnalités de sécurité de manière transparente via Windows Update, le service Microsoft qui installe le dernier logiciel/micrologiciel sur un ordinateur.

Le «matériel et logiciel étroitement intégrés» aide à protéger contre les vulnérabilités de sécurité en ajoutant une visibilité et un contrôle supplémentaires, et est plus adaptable aux changements dans le paysage des menaces, selon Microsoft.

La puce Pluton est intégrée dans la matrice du processeur d’un appareil et est donc plus difficile d’accès pour les attaquants. Les informations sensibles qui y sont stockées ne peuvent pas être supprimées, même si un attaquant a installé un logiciel malveillant ou est physiquement en possession du PC, car la puce est isolée du reste du système. La puce discrète aide également à empêcher les techniques d’attaque émergentes, telles que l’exécution spéculative (une attaque par canal latéral) qui exploite le comportement et les fonctionnalités du processeur.

Pluton peut agir comme un TPM ou fournir une sécurité supplémentaire à un appareil en conjonction avec un TPM discret tiers, selon Matt Wo, porte-parole de Microsoft Cybersecurity.

« Nos partenaires ont le choix et la flexibilité d’offrir Pluton avec ou sans TPM tiers », a déclaré Wo dans une réponse par e-mail à Computerworld. « Lorsque Pluton est configuré en tant que TPM, il protège les clés BitLocker utilisées pour aider à chiffrer et protéger les données client stockées sur le système. »

Patrick Hevesi, analyste vice-président chez Gartner, a déclaré que le plus grand avantage de la puce Pluton est l’élimination possible des attaques par canal latéral physique contre les canaux de communication autonomes TPM-CPU.

Attaques par canal latéral ne ciblez pas les faiblesses des systèmes cryptographiques eux-mêmes ; au lieu de cela, le logiciel malveillant recherche des fuites d’informations susceptibles d’indiquer quelque chose sur le fonctionnement du système cryptographique. Par exemple, les attaques acoustiques peuvent enregistrer le son des touches d’un utilisateur pour voler sa phrase secrète ou le rayonnement du champ électromagnétique (EMF) émis par un écran d’ordinateur peut être utilisé pour afficher des informations avant qu’elles ne soient cryptées.

« Étant donné que le processus de sécurité Pluton sera intégré directement dans les puces System on a Chip (SoC), il ne devrait y avoir aucun moyen d’accéder au canal sans détruire la puce », a déclaré Hevesi par e-mail. « De plus, selon les spécifications de Microsoft, les clés ne quitteront jamais la frontière de Pluton Security, ce qui aidera à prévenir les attaques telles que l’exécution spéculative et d’autres types d’attaques matérielles clés. »

Un autre avantage de l’architecture Pluton est que Microsoft contrôlera les mises à jour du micrologiciel du processeur de sécurité et autorisera les mises à jour directes à partir de Windows Update ; qui permet à l’entreprise de contrôler et de sécuriser le code du micrologiciel et de continuer à ajouter de nouvelles fonctionnalités de sécurité au fur et à mesure du déploiement des nouvelles versions de Windows, selon Hevesi.

Microsoft sera également en mesure de faire progresser les fonctionnalités de sécurité matérielles et logicielles telles que le démarrage sécurisé, le démarrage mesuré et la sécurité basée sur la virtualisation directement sur un seul processeur SoC.

« Cela aidera à prévenir même les attaques à distance qui tentent de modifier le processus de démarrage du noyau ou du système d’exploitation. La puce Pluton aidera à sécuriser les appareils distants grâce à la fois à la couche physique et à l’intégration des fonctions de sécurité logicielles », a déclaré Hevesi. « Cette technologie peut également s’appliquer aux appareils sur site pour éventuellement empêcher les attaques internes physiques et ils ont également ajouté cette technologie à Sphère azur dans le nuage. »

Tout le monde ne croit pas que la nouvelle puce Pluton est la sécurité ultime.

Michael Suby, vice-président de la recherche pour le service de recherche sur la sécurité et la confiance d’IDC, a déclaré que la plate-forme SoC est une avancée utile qui, à court terme, ne changera pas radicalement les décisions d’achat de PC des entreprises.

« Une séquence d’exploitation potentielle d’acteurs malveillants pourrait prendre possession clandestinement de l’ordinateur portable de l’exécutif, ouvrir l’appareil et l’infecter au niveau matériel, puis laisser l’appareil, apparemment intact, à l’exécutif et aux équipes de sécurité informatique potentielles également », dit Suby.

Les nouveaux ordinateurs portables de Lenovo sont alimentés par des processeurs AMD Ryzen série 6000, qui intègrent la puce Pluton Security sur les nouveaux PC Windows 11. La puce Pluton est basée sur une technologie utilisée depuis des années dans Microsoft Xbox et Microsoft Azure Sphere.

« Alors que nous entrons dans cette nouvelle ère de travail hybride, vous avez besoin de solutions de sécurité modernes qui offrent une protection de bout en bout où que vous soyez », a déclaré Wo. « Windows 11 a été conçu pour élever la barre en matière de sécurité, prête à l’emploi, pour activer des protections telles que Windows Hello, le chiffrement de périphérique, la sécurité basée sur la virtualisation (VBS), l’intégrité du code protégé par l’hyperviseur (HVCI) et le démarrage sécurisé – une combinaison il a été démontré qu’il réduisait les logiciels malveillants de 60 %. »

Microsoft a déclaré que de nombreuses mises à niveau de Windows 11 et la conception de puces collaboratives étaient inspirées par des thèmes de travail hybrides.

« Il est clair que ces dernières années ont favorisé de grands apprentissages que nos partenaires ont intégrés dans la conception de ces dispositifs. Ces apprentissages – et les nouvelles méthodes de travail – ont également influencé de nombreuses innovations dans la conception de Windows 11 », a déclaré Nicole Dezen, vice-présidente de Microsoft Device Partner Sales, dans un article de blog.