Chiffrement des postes : attention aux mises à jour Windows !

Les mises à jour majeures des systèmes d’exploitation Windows récents (8 / 10) peuvent engendrer des problématiques d’accès aux solutions de chiffrement (encryption). Veuillez à bien vous assurer de leur compatibilité avant d’appliquer les mises à jours, surtout celles à venir en 2017 !

En tant qu’intégrateur, conseiller et auditeur de solutions de sécurité, SYNETIS intervient régulièrement chez ses clients pour déployer, moderniser ou réaliser des expertises sur des périmètres de postes / serveurs chiffrés.

Il se peut que vous ayez des outils de chiffrement déjà déployés au sein de votre SI, ou que vous prévoyez de vous en équiper. Nous souhaitons simplement informer que le nouveau système de mises à jour majeures de Windows peut engendrer des incompatibilités avec ces types d’outils de sécurité.

  • Le chiffrement bas-niveau de l’ensemble des partitions systèmes d’un poste (workstation / laptop) avec une mire d’authentification pré-boot est une solution de protection de plus en plus adoptée permettant d’assurer la confidentialité globale des données du poste en cas de vol ou de perte de l’équipement. Plusieurs de nos partenaires éditeurs fournissent de telles solutions tels que l’éditeur Prim’X avec sa solution CryHod, ou encore Symantec avec Encryption Server.
  • Le chiffrement haut-niveau quant à lui est activé une fois l’OS démarré en tant que service Windows / agent. Celui-ci permet le chiffrement de sous-partie du disque dur (fichier, dossier, partition, arborescence, partage réseau, etc.). Idem, notre partenaire Prim’X avec sa solution ZoneCentral assure de telles fonctionnalités.

Les mises à jour majeures telles que Anniversary updateThreshold 2, RedStone ou très prochainement la Creators Update se déploient en deux temps : tout d’abord au travers de la session courante, puis, suite à un redémarrage, via un OS intermédiaire (ISO) chargé à la volée et de manière transparente pour terminer cette mise à jour.

Le problème est lors de cette seconde phase via l’ISO de l’OS intermédiaire chargé, car à ce stade de la mise à jour, des modifications sont censées être réalisées sur la partition SYSTEM du poste. Or cette partition peut s’avérer chiffrée et donc impossible de finaliser cette mise à jour entraînant un état instable de la machine voire en la rendant totalement inutilisable.

Un de nos clients s’est retrouvé dans cas cas lors du déploiement automatique des mises à jour majeures sur des postes Windows ; et ce problème est global et commun à toutes les solutions de chiffrement bas-niveau (Prim’X, Symantec, Sophos, etc.).

Rares sont les éditeurs de solutions de chiffrement offrant une méthode de contournement, ainsi plusieurs choix s’offrent aux clients rencontrant cette problématique :

  • Réinstaller l’OS (non-chiffré) en déployant les mises à jour majeures puis redéployer le chiffrement bas-niveau par la suite (ceci peut se faire via un master par exemple) ;
  • Bloquer les mises à jour majeures au niveau du serveur de mise à jour on-premise pour le périmètre des postes chiffrés ;
  • Déchiffrer le poste avant la mise à jour majeure, mettre à jour, puis le chiffrer de nouveau par la suite ;
  • Appliquer les directives préconisées par l’éditeur de l’outil de chiffrement pour assurer la mise à jour sans encombre, si de telles préconisations sont disponibles.

Dans le cas de la solution de chiffrement bas-niveau CryHod par exemple, l’éditeur Prim’X a réalisé un billet sur son blog de R&D offrant la solution de contournement pour appliquer les mises à jours majeure dans un environnement chiffré. L’idée est d’incorporer dans l’ISO de l’OS intermédiaire les drivers cryptographiques de CryHod, ainsi la mise à jour aura la capacité d’accès à la partition SYSTEM bien que celle-ci soit chiffrée.

La mise à jour de Windows 8 ou Windows 10 d’une machine, depuis une image disque .ISO, lance un OS intermédiaire, qui au premier redémarrage de la machine terminera l’installation en modifiant des fichiers sur la partition SYSTEM du poste. Un problème intervient lorsque cette partition est chiffrée avec Cryhod car cet OS intermédiaire n’a pas la capacité de la déchiffrer, rendant la mise à jour impossible.
Il est tout de même possible de mettre à jour votre OS sans déchiffrer complètement votre machine, en lui intégrant les pilotes de CRYHOD.

Cet éditeur informe également de toutes solutions de contournement pour ses autres produits, notamment pour ZoneCentral, fournissant pour chaque nouvelles versions des rapports de compatibilités de ses produits.

La raison principale de ce présent article, suite à cette mise en situation, est l’annonce récente de Microsoft que deux nouvelles mises à jour majeures vont voir le jour courant 2017.

Cette annonce a été faite discrètement lors d’une conférence Australienne, au travers d’une slide repérée par onmsft : deux mises à jours majeures vont voir le jour courant 2017, la Creators Update et une autre sans nom pour l’instant.

Bien que ces mises à jours majeures soient prévues pour 2017, l’utilisateur “lambda” n’en profitera qu’en 2018 d’après la roadmap.

Si vous êtes équipés de solution de chiffrement ou que vous prévoyez d’en déployer une, garder à l’esprit que ces mises à jour majeures arriveront et qu’il vous faudra les déployer de manière contrôlée au sein de votre SI. SYNETIS propose une assistance / expertise technique au besoin pour vous accompagner sur ces problématiques.

Sources & ressources :