EMET (Enhanced Mitigation Experience Toolkit)

EMET (Microsoft Enhanced Mitigation Experience Toolkit) est un utilitaire de Microsoft, gratuit, qui protège et empêche l'exploitation des vulnérabilités logicielles grâce à des techniques de réduction des risques de sécurité. Ces techniques fonctionnent comme des protections spéciales et des insertions d'obstacles que l'auteur de l'attaque doit mettre en échec pour exploiter les vulnérabilités logicielles et progresser dans son attaque.

Ces techniques de réduction des risques de sécurité ne garantissent pas à 100% la non-exploitation des vulnérabilités. Toutefois, elles font en sorte que l'exploitation soit aussi difficile que possible.

Les vulnérabilités sont innombrables (il n'existe pas, n'a jamais existé et n'existera jamais de logiciel 100% sans erreur [error free]) et il en est découvert à chaque instant par les cybercriminels (hackers black hat), comme par les hackers white hat, qui sont d'excellents informaticiens.

Historique, sur notre forum, au jour le jour, des correctifs à appliquer aux vulnérabilités et failles de sécurité.

Concerne tous les grands logiciels, toutes marques confondues, systèmes ou applicatifs, utilisés par les grands comptes français.

EMET (Microsoft Enhanced Mitigation Experience Toolkit) est une trousse à outils mise à disposition gratuitement par Microsoft, qui s'applique au système Microsoft Windows et à n'importe quelle application tournant sous Windows (peu importe qu'elle soit de Microsoft ou d'un autre auteur, peut importe qu'elle soit vieille ou toute nouvelle...).

EMET (Microsoft Enhanced Mitigation Experience Toolkit) complique la vie des cybercriminels en rendant quasi impossible l'exploitation de failles de sécurité (vulnérabilités). Il arrive fréquemment qu'une exploitation pleinement fonctionnelle d'une faille de sécurité, pouvant contourner l'utilitaire EMET, ne puisse jamais se développer. Il s'agit de perdre l'attaquant dans un dédale labyrinthique d’obstacles.

EMET (Microsoft Enhanced Mitigation Experience Toolkit) réduit la surface d'exposition aux attaques - ASR (Attack Surface Reduction).

EMET (Microsoft Enhanced Mitigation Experience Toolkit) est donc un outil de durcissement du système et de sa défense.

EMET 5.5 est compatible avec :

• Tous les postes de travail Microsoft Windows à partir de Windows Vista SP2.

• Tous les serveurs à partir de Windows Server 2003 SP2.

EMET 4.1, moins performant que EMET 5.5, mais compatible avec les postes de travail sous Windows XP et Windows 2000, reste téléchargeable.

Systèmes d'exploitation pris en charge :

Système d'exploitation (minimum pris en charge)	EMET 5.2	EMET 5.5
Windows 10
Windows 8.1
Windows 8
Windows Server 2012 R2
Windows Server 2012
Windows 7 Service Pack 1
Windows Server 2008 R2 Service Pack 1
Windows Server 2008 Service Pack 2
Windows Vista Service Pack 2

EMET peut fonctionner avec n'importe quel logiciel, quel que soit le moment de sa conception ou son auteur. Il peut s'agir de logiciels développés par Microsoft ou de logiciels développés par d'autres fournisseurs.

Toutefois, vous devez être conscient que certains logiciels risquent de ne pas être compatibles avec EMET. Pour plus d'informations sur la compatibilité, reportez-vous au paragraphe « Quels sont les risques d'utilisation de la trousse à outils EMET ? » (paragraphe 9 ci-dessous).

Sous tous les systèmes Windows, EMET 4.1 nécessite Microsoft .NET Framework 4.0.

Avec Internet Explorer 10 sous Windows 8, pour qu'EMET fonctionne, la KB2790907 doit être installée.

Aucune autre condition n'est requise pour toute autre version prise en charge de Windows.

Une fois EMET installé, il faut lui donner des règles de conduite, sinon, il ne fait rien tout seul. Vous devez configurer EMET de manière à protéger des logiciels particuliers. Vous devez alors fournir le nom et l'emplacement du fichier exécutable que vous souhaitez protéger. Pour cela, appliquez l'une des méthodes suivantes :

• Utilisation de la fonctionnalité de configuration des applications de l'application graphique de Windows.

• Utilisation de l'utilitaire d'invite de commande.

Remarques :

• Vous trouverez les instructions décrivant l'utilisation des deux méthodes dans le guide de l'utilisateur installé avec EMET.

• Deux jeux de règles facultatifs sont fournis avec EMET et adaptés aux postes de travail :

  • Popular Software
    Ce jeu de règles contient des règles pour une cinquantaine de logiciels très répandus, dont les navigateurs Mozilla Firefox et Google Chrome, les technologies Adobe Acrobat Reader, Oracle Java, etc.

  • Recommended Software
    Ce jeu de règles contient les règles recommandées pour quelques produits Microsoft, dont la suite Microsoft Office, et les technologies courantes comme Adobe Acrobat Reader et Oracle Java.

• Ces jeux de règles ne sont pas appliqués par défaut.

  • Sur le poste de travail, ces règles doivent être importées manuellement depuis le sous-dossier où est installé EMET (« \Deployment\Protection Profiles »).

  • Sur un parc de postes de travail, au sein d’un système d’information, ces règles doivent être appliquées par configuration centralisée.

• Les règles concernant toute autre application ne figurant pas dans ces deux jeux de règles prédéfinis doivent être créées et testées.

Tutoriel en français sur la configuration d'EMET.

La manière la plus simple de déployer la version actuelle d'EMET dans une entreprise consiste à utiliser les technologies de configuration et de déploiement de l'entreprise. La version actuelle intègre la prise en charge de la stratégie de groupe et de System Center Configuration Manager. Pour plus d'informations sur la manière dont EMET assure la prise en charge de ces technologies, voir la section 3 du guide de l'utilisateur d'EMET.

Vous pouvez également déployer EMET à l'aide de l'utilitaire d'invite de commandes. Pour ce faire, procédez comme suit :

1. Installez le fichier .msi sur chaque ordinateur cible. Ou placez une copie de tous les fichiers installés sur un partage réseau.

2. Exécutez l'utilitaire d'invite de commande sur chaque ordinateur cible pour configurer EMET.

République française.

Déploiement et configuration centralisés d’EMET pour le durcissement des postes de travail et des serveurs Microsoft Windows.
Note technique, format PDF, français, 18 pages, de l'ANSSI (Agence nationale de la sécurité des systèmes d’information) - Secrétariat général de la défense et de la sécurité nationale du 08.03.2016 (version du 26 octobre 2016).

Quels sont les risques d'utilisation de la trousse à outils EMET ?

Les technologies de réduction des risques de sécurité utilisées par EMET engendrent un risque de compatibilité d'application. Certaines applications utilisent exactement le comportement que les technologies de réduction des risques de sécurité bloquent. Il est important de tester rigoureusement EMET sur tous les ordinateurs cibles à l'aide de scénarios tests avant de le déployer dans un environnement de production. En cas de problème concernant une réduction spécifique, vous pouvez activer et désactiver individuellement les réductions spécifiques. Pour plus d'informations, reportez-vous au guide de l'utilisateur d'EMET.

Une nouvelle version d'EMET a été publiée le 31 juillet 2014. Pour plus d'information sur la dernière version d'EMET, accédez au site Web du blog Microsoft TechNet à l'adresse suivante :
Blog Microsoft TechNet - EMET 5.5.
Blog Microsoft TechNet - EMET 4.0.

Le point d'entrée du Blog « La trousse à outils EMET » ne concerne plus EMET, mais est le guide des mises à jour de sécurité Microsoft (failles de sécurité), toujours avec un délai de 3 mois de retard pour des questions de confidentialité, tant que les correctifs apportés par les mises à jour ne sont pas considérés comme universellement appliqués et donc ne doivent pas donner l'idée aux cybercriminels qui ne la connaissaient pas de se jeter dessus pour l'exploiter.

Quelles versions d'EMET sont actuellement prises en charge ?

Chaque version majeure d'EMET est prise en charge pendant les 24 mois suivants sa date de publication ou pendant les 12 mois suivants la date de publication de la version majeure suivante, en fonction de la date la plus proche. Le tableau suivant présente le cycle de vie de toutes les versions d'EMET.

Les clients de Microsoft qui disposent de contrats de support technique ou de contrat de support Premium de Microsoft Services peuvent recevoir un support sous forme de conseils payants par ces canaux.

Les clients qui ne disposent pas de contrats de support techniques ni de contrat de support Premium peuvent bénéficier d'un support par le biais du forum de support officiel suivant :

• Support EMET.

1. ↑ [01] La société Bromium (Br Labs) - Jared DeMott - a publié, en février 2014, une analyse de EMET, version 4.1 (document PDF, anglais, 19 pages), montrant qu'il était entièrement contournable (bien qu'ils écrivent, page 7 : « Pour simuler ces conditions, nous trichons un peu. »).