Sécurité : l'initiative Microsoft Pluton se concrétise sur les PC
Le CES 2022 a donné lieu à l'annonce des premiers ordinateurs portables qui embarqueront le sous-système de sécurité Microsoft Pluton.
Rendez-vous en mai pour les grands débuts de Pluton sur PC ? C'est en tout cas la date de commercialisation annoncée pour deux laptops qui embarqueront ce sous-système. Il s'agit des Lenovo ThinkPad Z13 et Z16.
Pluton sera intégré au CPU. Ici, des Ryzen PRO 6000 - gamme qu'AMD vient d'officialiser. Pas encore de nouvelles du côté d'Intel, qui participe lui aussi à l'initiative, comme Qualcomm.
Impulsé par Microsoft, Pluton est déjà mis en oeuvre sur les microcontrôleurs Azure Sphere. Il en gère l'identification et orchestre le démarrage des composants critiques. Il s'appuie principalement sur un coeur de processeur, des moteurs de chiffrement, un magasin de clés et un générateur matériel de nombre aléatoires.
Le premier terrain d'expérimentation de Pluton fut la console Xbox One. Avec pour but de lutter contre le piratage des jeux (cf. vidéo ci-dessous).
Pluton ou l'antithèse des TPM physiques ?
L'approche ne diffère pas dans l'univers du PC. L'idée est de placer la racine de confiance matérielle dans le processeur, plutôt que de s'appuyer sur un TPM (module de plate-forme sécurisée) physique. La suppression de cette puce annexe - dont les capacités restent toutefois accessibles par émulation - est censée réduire la surface d'attaque en éliminant un point faible : le bus de communication avec le CPU. En toile de fond, des attaques par interception sur ce bus. L'une d'entre elles, particulièrement médiatisée l'été dernier, avait permis de récupérer, en une demi-heure, la clé BitLocker d'un portable Lenovo. Celui-ci avait un TPM, un mot de passe BIOS, Secure Boot activé et le disque dur intégralement chiffré.
Sur PC comme sur Xbox, la technologie SHACK (Secure Hardware Cryptography) est un pilier de Pluton. Le sous-système génère ses propres paires de clés pendant la fabrication des composants, sans dépendre d'un HSM. Il doit par ailleurs faciliter les mises à jour de firmware, en les intégrant à Windows Update.
* On peut utiliser Pluton comme TPM ou simplement comme coprocesseur de sécurité, pour des scénarios qui n'exigent pas ce module.
Photo d'illustration © Intel
Sur le même thème
Voir tous les articles Cybersécurité