WEBVTT 00:00.000 --> 00:01.560 Instructeur : Dans cette leçon, nous 00:01.560 --> 00:02.730 allons explorer certaines 00:02.730 --> 00:05.100 des fonctions de sécurité du BIOS et de l'UEFI. 00:05.100 --> 00:07.200 En plus de fournir des protections sur notre réseau et dans 00:07.200 --> 00:09.120 l'environnement de notre système d'exploitation, 00:09.120 --> 00:10.740 nous devons également prendre en compte la sécurité 00:10.740 --> 00:13.320 de l'environnement de notre système de pré-exploitation. 00:13.320 --> 00:14.520 C'est la partie de l'ordinateur 00:14.520 --> 00:16.560 qui peut être attaquée pendant la phase de démarrage. 00:16.560 --> 00:18.720 Il faut donc prendre en compte les protections du chargeur 00:18.720 --> 00:22.290 de démarrage, y compris les mots de passe du BIOS et de l'UEFI, le processus de démarrage 00:22.290 --> 00:24.900 sécurisé et la définition des autorisations sur les ports USB 00:24.900 --> 00:27.030 de votre carte mère. 00:27.030 --> 00:29.700 Rappelons que le BIOS et l'UEFI sont deux types de microprogrammes 00:29.700 --> 00:32.430 différents utilisés dans nos ordinateurs pour nous aider 00:32.430 --> 00:35.730 à charger et à démarrer notre système d'exploitation. 00:35.730 --> 00:38.610 Chaque ordinateur peut contenir soit le BIOS, soit l'UEFI, 00:38.610 --> 00:39.870 mais pas les deux. 00:39.870 --> 00:42.300 Le BIOS est le système d'entrée/sortie de base. Il s'agit 00:42.300 --> 00:44.880 d'une interface micrologicielle qui initialise le matériel 00:44.880 --> 00:47.790 pour un système d'exploitation afin qu'il puisse démarrer. 00:47.790 --> 00:49.980 Les ordinateurs qui s'appuient sur le BIOS vont utiliser 00:49.980 --> 00:53.550 un enregistrement d'amorçage principal, ou MBR, pour contenir leurs informations d'amorçage 00:53.550 --> 00:56.070 et identifier les partitions d'un disque dur donné qui contiennent 00:56.070 --> 00:58.320 le système d'exploitation à charger. 00:58.320 --> 01:01.980 Le BIOS est l'ancien type de microprogramme. 01:01.980 --> 01:04.560 L'UEFI (Unified Extensible Firmware Initiative) 01:04.560 --> 01:07.170 est un type de microprogramme plus récent. 01:07.170 --> 01:09.660 L'UEFI est un type de micrologiciel système qui prend en charge 01:09.660 --> 01:12.690 les opérations du processeur 64 bits au moment du démarrage, une interface utilisateur 01:12.690 --> 01:15.660 graphique complète et des opérations de souris au démarrage, ainsi qu'une 01:15.660 --> 01:17.520 meilleure sécurité au démarrage. 01:17.520 --> 01:19.920 Les ordinateurs qui utilisent l'UEFI vont utiliser une table 01:19.920 --> 01:24.120 de partition GUID, connue sous le nom de GPT, pour contenir leurs informations de démarrage. 01:24.120 --> 01:26.160 L'UEFI permet d'accéder à des disques de plus 01:26.160 --> 01:28.740 de deux téraoctets et de démarrer à partir de ceux-ci. Il fournit 01:28.740 --> 01:31.470 une architecture et des pilotes indépendants du processeur, 01:31.470 --> 01:33.960 ainsi qu'un environnement pré-OS qui peut inclure des capacités 01:33.960 --> 01:36.840 réseau et un accès à la navigation sur le web. 01:36.840 --> 01:39.900 Dans l'ensemble, l'UEFI est plus récent et plus avancé que le BIOS et fournit 01:39.900 --> 01:42.150 des contrôles de sécurité et d'intégrité supplémentaires 01:42.150 --> 01:45.540 pendant le processus de démarrage, y compris le démarrage sécurisé. 01:45.540 --> 01:48.270 Désormais, le BIOS et l'UEFI peuvent également être protégés 01:48.270 --> 01:50.700 par différents types de mots de passe. 01:50.700 --> 01:52.740 Il s'agit du mot de passe du superviseur, de l'administrateur 01:52.740 --> 01:56.010 ou de la configuration, du mot de passe de l'utilisateur ou du système et du mot 01:56.010 --> 01:58.470 de passe du stockage ou du disque dur. 01:58.470 --> 02:00.930 Le mot de passe du superviseur, de l'administrateur ou de la configuration 02:00.930 --> 02:03.180 est le premier type de mot de passe que vous trouverez lorsque 02:03.180 --> 02:05.400 vous utiliserez le BIOS ou l'UEFI. 02:05.400 --> 02:07.470 Ce mot de passe est utilisé pour protéger l'accès 02:07.470 --> 02:10.050 au programme de configuration du BIOS ou de l'UEFI et empêche 02:10.050 --> 02:12.090 les utilisateurs non autorisés d'accéder à cet 02:12.090 --> 02:14.220 outil de configuration sensible. 02:14.220 --> 02:17.190 Si vous définissez ce mot de passe, chaque fois que quelqu'un 02:17.190 --> 02:19.890 tentera d'entrer dans le BIOS ou l'UEFI, il devra saisir 02:19.890 --> 02:22.170 le mot de passe avant d'accorder l'accès, mais 02:22.170 --> 02:25.410 cela n'empêchera pas quelqu'un d'allumer l'ordinateur et de démarrer 02:25.410 --> 02:28.710 dans l'environnement normal du système d'exploitation. 02:28.710 --> 02:31.590 Ce mot de passe sera presque toujours configuré sur les ordinateurs 02:31.590 --> 02:33.570 d'un réseau d'entreprise, de sorte que les utilisateurs 02:33.570 --> 02:36.870 finaux ne puissent pas accéder au BIOS ou à l'UEFI, mais que les administrateurs 02:36.870 --> 02:39.360 système et les techniciens puissent le faire s'ils disposent 02:39.360 --> 02:41.550 du bon mot de passe. 02:41.550 --> 02:43.830 Le mot de passe utilisateur ou système est le deuxième 02:43.830 --> 02:47.430 type de mot de passe qui peut être configuré dans le BIOS ou l'UEFI. 02:47.430 --> 02:51.270 Ce mot de passe est utilisé pour verrouiller l'accès à l'ensemble de l'ordinateur. 02:51.270 --> 02:53.100 Chaque fois que l'ordinateur est mis sous 02:53.100 --> 02:55.530 tension, il s'arrête et demande un mot de passe. 02:55.530 --> 02:58.380 Si l'utilisateur final saisit le bon mot de passe, l'ordinateur 02:58.380 --> 03:01.320 va continuer à charger le système d'exploitation et à démarrer. 03:01.320 --> 03:04.170 Bien qu'il s'agisse d'une méthode très sûre pour protéger un ordinateur, 03:04.170 --> 03:07.380 elle n'est presque jamais utilisée dans les réseaux d'entreprise, car ce 03:07.380 --> 03:09.300 mot de passe devrait être partagé avec tous les 03:09.300 --> 03:12.120 utilisateurs qui accèdent à cet ordinateur, et ce mot de passe partagé 03:12.120 --> 03:16.170 annule alors une partie de la sécurité que nous essayons d'obtenir. 03:16.170 --> 03:19.290 Au lieu de cela, vous verrez généralement un mot de passe d'utilisateur ou de système utilisé 03:19.290 --> 03:21.090 uniquement sur l'ordinateur d'une personne, lorsque 03:21.090 --> 03:23.160 celle-ci est le seul utilisateur de l'ordinateur. 03:23.160 --> 03:25.200 Il s'agit d'un mot de passe distinct et différent 03:25.200 --> 03:27.000 du mot de passe utilisateur qui sera 03:27.000 --> 03:30.570 utilisé pour accéder à Windows, Linux ou au système MacOS, et qui permet 03:30.570 --> 03:33.000 à l'utilisateur d'accéder au système dans cet 03:33.000 --> 03:35.820 environnement de pré-exploitation. 03:35.820 --> 03:38.130 Le troisième type de mot de passe est connu sous le nom 03:38.130 --> 03:40.050 de mot de passe de stockage ou de disque dur. 03:40.050 --> 03:42.240 Ce type de mot de passe était très répandu avant 03:42.240 --> 03:45.000 l'inclusion du module de plateforme de confiance ou du module 03:45.000 --> 03:48.180 de sécurité matériel dans les ordinateurs modernes. 03:48.180 --> 03:50.550 Ce mot de passe verrouille l'accès à un disque dur 03:50.550 --> 03:53.280 connecté à un système et oblige l'utilisateur final 03:53.280 --> 03:55.680 à saisir le mot de passe pour que le disque dur puisse 03:55.680 --> 03:58.530 être lu et le système d'exploitation chargé. 03:58.530 --> 04:01.290 Contrairement au mot de passe de l'utilisateur ou du système qui bloque 04:01.290 --> 04:03.420 l'accès à l'ensemble du système jusqu'à ce que le bon 04:03.420 --> 04:05.820 mot de passe soit saisi, le mot de passe de stockage ou de disque 04:05.820 --> 04:07.710 dur ne bloque que le disque dur et la possibilité 04:07.710 --> 04:10.769 de démarrer le système d'exploitation à partir de celui-ci. 04:10.769 --> 04:12.840 La prochaine fonction de sécurité que nous devons aborder 04:12.840 --> 04:14.550 est connue sous le nom de démarrage sécurisé. 04:14.550 --> 04:17.130 Le démarrage sécurisé peut être activé dans l'interface 04:17.130 --> 04:20.370 et les paramètres UEFI et n'est pas pris en charge par le BIOS. 04:20.370 --> 04:23.310 S'il est activé, il effectuera trois vérifications différentes 04:23.310 --> 04:25.620 au cours du processus de démarrage de Windows ou d'autres 04:25.620 --> 04:28.680 systèmes d'exploitation prenant en charge cette fonction, afin de 04:28.680 --> 04:31.350 s'assurer que l'ordinateur n'a pas été détourné par un code 04:31.350 --> 04:34.590 malveillant injecté dans le système d'exploitation. 04:34.590 --> 04:36.630 Examinons le processus de démarrage complet 04:36.630 --> 04:38.550 d'un système Windows normal. 04:38.550 --> 04:41.100 La première étape du processus se produit lorsqu'un ordinateur Windows 04:41.100 --> 04:43.950 démarre, que les composants de démarrage du microprogramme sont chargés et 04:43.950 --> 04:45.870 que le gestionnaire de démarrage est lancé. 04:45.870 --> 04:48.120 Ensuite, le chargeur Windows va démarrer, le noyau 04:48.120 --> 04:49.830 Windows va être lancé et les installations 04:49.830 --> 04:51.720 de pilotes critiques pour le démarrage 04:51.720 --> 04:53.130 vont avoir lieu. 04:53.130 --> 04:55.710 Maintenant, toutes les initialisations supplémentaires du système 04:55.710 --> 04:58.320 d'exploitation vont se produire, et enfin, l'utilisateur se voit 04:58.320 --> 05:00.420 présenter l'écran de connexion de Windows. 05:00.420 --> 05:02.610 Lorsque les composants de démarrage du micrologiciel 05:02.610 --> 05:05.430 sont chargés pendant un démarrage sécurisé, le micrologiciel va d'abord 05:05.430 --> 05:09.030 vérifier que tous les fichiers exécutables UV et le chargeur du système d'exploitation 05:09.030 --> 05:11.130 lui-même sont intacts et qu'ils n'ont pas été compromis 05:11.130 --> 05:13.320 par un logiciel malveillant. 05:13.320 --> 05:15.810 Cela signifie qu'ils peuvent être chargés en toute sécurité. 05:15.810 --> 05:18.300 Ensuite, les composants de démarrage de Windows vont vérifier 05:18.300 --> 05:20.370 la signature numérique de chaque composant avant 05:20.370 --> 05:21.750 de les charger. 05:21.750 --> 05:23.910 Si un composant échoue à ce contrôle de signature, 05:23.910 --> 05:26.100 il ne se chargera pas et déclenchera une alerte pour 05:26.100 --> 05:27.450 l'utilisateur final. 05:27.450 --> 05:30.060 Enfin, les pilotes critiques pour le démarrage vont être vérifiés 05:30.060 --> 05:32.490 par rapport à leurs hachages connus et, s'ils passent cette 05:32.490 --> 05:35.160 vérification, ils vont être chargés en tant que partie finale du 05:35.160 --> 05:37.110 processus de démarrage sécurisé. 05:37.110 --> 05:39.780 En ce qui concerne le démarrage sécurisé, je vous rappelle 05:39.780 --> 05:42.210 qu'il s'agit d'une procédure utilisée pour s'assurer 05:42.210 --> 05:45.060 que notre système d'exploitation est fiable et qu'il n'a pas été 05:45.060 --> 05:47.820 victime d'un type particulier de logiciel malveillant connu 05:47.820 --> 05:49.410 sous le nom de kit racine. 05:49.410 --> 05:51.690 Pour que le démarrage sécurisé fonctionne, il doit 05:51.690 --> 05:54.750 être activé dans votre système UEFI et votre système d'exploitation 05:54.750 --> 05:56.670 doit également le prendre en charge. 05:56.670 --> 05:59.070 La dernière fonction de sécurité que nous devons aborder 05:59.070 --> 06:01.950 dans le BIOS ou l'UEFI est la configuration des autorisations pour les 06:01.950 --> 06:03.300 ports USB de votre carte mère. 06:03.300 --> 06:06.090 La plupart des systèmes modernes peuvent être configurés pour activer 06:06.090 --> 06:08.700 ou désactiver les ports USB de votre carte mère, et certains vous 06:08.700 --> 06:11.700 permettront même de restreindre les ports USB de manière à ce qu'ils ne prennent 06:11.700 --> 06:13.380 pas en charge certains types de périphériques 06:13.380 --> 06:16.590 USB tout en permettant l'utilisation d'autres périphériques. 06:16.590 --> 06:18.660 La principale préoccupation concerne normalement 06:18.660 --> 06:20.940 les logiciels malveillants et la perte de données. 06:20.940 --> 06:24.120 En ce qui concerne les logiciels malveillants, les ports USB peuvent constituer un excellent 06:24.120 --> 06:25.560 moyen d'attaque pour quelqu'un qui tente 06:25.560 --> 06:27.270 de s'introduire dans votre système. 06:27.270 --> 06:29.700 Par exemple, si je charge une clé USB de logiciels malveillants, 06:29.700 --> 06:32.370 je peux la déposer dans un parking à l'extérieur d'un immeuble 06:32.370 --> 06:34.950 de bureaux, et si quelqu'un est curieux, la ramasse et la branche 06:34.950 --> 06:37.050 sur sa machine, cela peut alors installer des logiciels 06:37.050 --> 06:39.900 malveillants sur vos systèmes. 06:39.900 --> 06:42.810 Nous voulons donc empêcher cela en désactivant la capacité de 06:42.810 --> 06:46.320 l'USB à lire et à écrire à partir de périphériques de stockage de masse. 06:46.320 --> 06:49.110 Pour ce faire, vous pouvez soit bloquer complètement l'USB, mais vous 06:49.110 --> 06:51.630 ne pourrez alors pas utiliser des éléments tels que des écouteurs 06:51.630 --> 06:55.050 et des webcams, des souris et des claviers, et d'autres choses du même genre. 06:55.050 --> 06:58.020 Au lieu de cela, nous pourrions nous contenter de restreindre 06:58.020 --> 07:01.020 la possibilité de les utiliser comme périphériques de stockage 07:01.020 --> 07:03.630 de masse, ce qui empêcherait les clés USB, les lecteurs 07:03.630 --> 07:06.870 flash ou les disques durs externes d'être connectés au système. 07:06.870 --> 07:08.250 Cela peut nous aider à empêcher l'introduction 07:08.250 --> 07:10.110 de logiciels malveillants dans notre système. 07:10.110 --> 07:13.020 Mais en plus de cela, il pourrait également nous aider à empêcher 07:13.020 --> 07:14.880 les données de sortir de notre système. 07:14.880 --> 07:17.280 Par exemple, supposons que vous travailliez pour une organisation 07:17.280 --> 07:19.110 top secrète au sein du gouvernement. 07:19.110 --> 07:20.760 Vous ne voudriez pas que quelqu'un puisse 07:20.760 --> 07:23.700 entrer avec une petite clé USB, la brancher sur l'ordinateur, télécharger 07:23.700 --> 07:25.560 toutes vos informations et sortir par la 07:25.560 --> 07:27.540 porte d'entrée avec. 07:27.540 --> 07:30.960 Pour éviter cela, vous pouvez configurer votre UEFI de manière à bloquer 07:30.960 --> 07:34.560 ces ports USB ou à empêcher qu'ils soient utilisés pour des périphériques 07:34.560 --> 07:37.830 de stockage de masse, et encore une fois, bloquer la possibilité d'utiliser 07:37.830 --> 07:40.650 des clés USB et des disques durs externes, ce qui empêchera 07:40.650 --> 07:42.540 les gens de sortir par la porte d'entrée 07:42.540 --> 07:45.120 avec vos informations critiques. 07:45.120 --> 07:48.180 N'oubliez donc pas qu'en matière de sécurité, votre BIOS 07:48.180 --> 07:51.270 ou UEFI peut vous apporter trois choses principales. 07:51.270 --> 07:54.060 La première est la possibilité de définir des mots de passe pour contrôler 07:54.060 --> 07:56.910 les différents accès aux différentes parties de votre système. 07:56.910 --> 07:59.280 La seconde est la possibilité d'activer le démarrage sécurisé 07:59.280 --> 08:01.770 pour s'assurer que votre système d'exploitation n'a pas été compromis 08:01.770 --> 08:03.180 avant de le charger. 08:03.180 --> 08:07.050 Enfin, il est possible de restreindre ou de désactiver les ports USB de la carte mère 08:07.050 --> 08:08.850 afin d'empêcher l'introduction de logiciels 08:08.850 --> 08:10.380 malveillants dans le système ou 08:10.380 --> 08:13.083 l'exfiltration de données de ce dernier.