Bromium Protected App : pour sécuriser les applications sensibles

Connu pour son utilisation de la micro-virtualisation sur le poste de travail, l'éditeur mise cette fois-ci sur un hyperviseur client de type 1 pour isoler les applications sensibles sur des postes de travail non maîtrisés.

Bromium est un éditeur qui a démocratisé l’idée d’isolation de processus par micro-virtualisation, allant jusqu’à séduire Microsoft qui s’appuie dessus de plus en plus dans Windows. Pour faire simple, le concept consiste à s’appuyer sur un hyperviseur pour exécuter un processus ou une application donnée dans une machine virtuelle légère, sur le poste de travail. Si l’application ou le processus en question est réputé sain, il s’agit de le protéger contre les attaques en ajoutant une couche d’abstraction au système d’exploitation. S’il est suspect, ou connu comme vecteur d’entrée courant, il s’agit, de la même manière, de l’empêcher d’accéder au système, mais cette fois-ci pour protéger ce dernier.

Fondé en 2012 par Simon Crosby, ancien directeur technique de XenServer, Bromium a annoncé, fin juillet 2018, Protected App. Une pré-version alpha privée devrait être imminente.

Rien n'est sécurisé à 100 %

Avec Protected App, Bromium part du principe qu’il est impossible d’être pleinement sûr de la sécurité et que toute solution sera éventuellement compromise par une technologie ou une vulnérabilité encore inconnue.

De nombreux produits de sécurité se concentrent sur la prévention de la compromission, alors que Protected App repose sur le postulat selon lequel l’intrusion a déjà eu lieu : par exemple, le réseau, l'infrastructure et ses hôtes sont déjà compromis et hostiles. Pas question-là, donc, d’imaginer qu’il existe, au sein du SI, un environnement de confiance, sain et un autre où tout est potentiellement menace. Avec Protected App, Bromium cible ainsi les cas d'utilisation où l’on présuppose que l'hôte est déjà compromis (ou pourrait l'être à l'avenir).

Dans la pratique, l'utilisateur final reçoit l'application de la société propriétaire des données et du réseau auxquels il aura accès, sous la forme d’un paquet MSI. Son installation se traduit par l'insertion d'une extension dans l’UEFI (Unified Extensible Firmware Interface). Celle-ci entre en activité après le redémarrage de la machine et l’application protégée apparaît alors dans le menu démarrer de Windows. Elle s’exécute localement, mais la couche d’abstraction ajoutée par micro-virtualisation rend inaccessible à un pirate les saisies au clavier ou encore les éléments graphiques affichés.

Pour l’heure, Bromium utilise l'environnement Protected App pour isoler les clients RDP/ICA (Remote Desktop Protocol/Independant Computing Architecture). Les prochaines versions porteront sur les applications Web et les applications clients potentiellement riches.

Le retour de l’hyperviseur client bare metal ?

Le concept ne manque en fait pas de renvoyer au feu XenClient, l’hyperviseur client de type 1 abandonné par Citrix fin 2015. Car après installation d’une Protected App, c’est un hyperviseur qui contrôle la machine, avec d’un côté une machine virtuelle pour le système d’exploitation, et une autre, durcie, pour l’application dite protégée.

L'élément de menu Démarrer dans la machine virtuelle du système d’exploitation d’origine est en fait un client de la machine virtuelle cachée qui exécute l'application protégée. Et celle-ci utilise une mémoire et des ressources séparées. Elle est jetable et non persistante.

Fondamentalement, Bromium Protected App offre un moyen d'accéder à des réseaux de confiance sécurisés à partir de réseaux moins sécurisés, minimisant ainsi les risques. Avec ce nouveau produit, l’éditeur vise des cas d’usage spécifiques, dans l’administration, ou encore les services juridiques et financiers, où des collaborateurs sont susceptibles d’utiliser des ordinateurs personnels : il s’agit de s'assurer que les données des clients finaux sont protégées comme il se doit.

Mais Bromium entrevoit également des cas d’usage liés à des applications traitant localement des données ne devant pas être transférables à d’autres, comme dans le domaine médical ou les centres d’appel.

Ainsi, si avec son offre initiale, Bromium visait les environnements réputés sûrs à partir desquels il est nécessaire d’accéder à des environnements potentiellement à risque, comme le Web, il vise là l’inverse : assurer la protection de données et d’applications sensibles utilisées sur des systèmes dont la sécurisation ne peut être garantie.

Avec nos confrères de Brianmadden.com

Pour approfondir sur Protection du terminal et EDR

Close