Le protocole de bureau à distance (RDP) est sans aucun doute un outil inestimable pour l’infrastructure informatique moderne. Il permet aux utilisateurs de se connecter et de contrôler des ordinateurs à distance via le réseau. Cette fonction est particulièrement populaire dans les entreprises d’administration informatique, que ce soit pour le support ou la maintenance à distance des systèmes.

Mais si le RDP peut sans aucun doute augmenter la productivité, il comporte aussi des risques importants, surtout s’il n’est pas suffisamment sécurisé et accessible ouvertement sur Internet.

Lisez ici comment fermer les sources de danger et utiliser le RDP en toute sécurité.

Potentiels du protocole de bureau à distance

Le protocole de bureau à distance (RDP) est un outil précieux qui permet aux utilisateurs de se connecter et de contrôler un ordinateur distant via une connexion réseau. Cette fonction est particulièrement populaire pour l’administration informatique dans les entreprises, par exemple lorsque les employés ont besoin d’un support informatique.

Bien que le RDP puisse augmenter significativement la productivité de votre entreprise, il peut aussi exposer votre système à de graves risques si vous le laissez ouvert à Internet sans mesures de sécurité adéquates.

Qu’est-ce que le détournement RDP ?

Le détournement RDP se produit lorsque des personnes non autorisées accèdent à votre système compatible RDP. Les cybercriminels exploitent souvent les vulnérabilités dans des configurations RDP ouvertes pour lancer des attaques. Cela peut entraîner des accès non autorisés, des violations de données et une potentielle compromission du système. Les conséquences peuvent être graves et vont de la divulgation ou de la fuite de données sensibles à la perte totale de contrôle de votre système, en passant par le chiffrement d’une infrastructure à l’échelle de l’entreprise avec un cheval de Troie ransomware.

D’après notre expérience, nous conseillons toujours à nos clients de ne pas exposer les services à Internet sans une sécurité supplémentaire. Cela signifie que vous ne devez pas connecter le service RDP directement à Internet, car de tels services présentent toujours des risques de sécurité. Ce que nous avons appris des cas précédents, c’est que les attaquants pouvaient prendre le contrôle de ces services exposés (sans protection supplémentaire, comme un pare-feu ou un VPN) assez rapidement via des attaques par force brute (en testant des listes de combinaisons utilisateurs et mots de passe) et ainsi accéder à l’ensemble des infrastructures de l’entreprise en quelques heures.

Les attaquants ciblent les ports standards du service (port 3389) partagés par Internet pour accéder aux réseaux. Malheureusement, modifier ces ports pour l’obfuscation n’est pas non plus un moyen adapté, car les attaquants peuvent déterminer ce décalage en scannant les 65 535 ports possibles sans effort.

Que puis-je faire ?

Pour limiter ce risque au maximum, il est conseillé de ne pas publier directement les services RDP et d’envisager des solutions alternatives. Envisagez d’utiliser un pare-feu avec accès VPN, Microsoft Remote Desktop Gateway, ou Azure Multi-Factor Authentication Server pour un accès sécurisé.

De plus, définissez la Politique de Groupe : Ajustez les paramètres pour que les utilisateurs soient déconnectés immédiatement après la déconnexion d’une session RDP afin d’empêcher les attaquants de simplement « reprendre » les sessions. De plus, le nombre de connexions incorrectes doit être réduit à, par exemple, cinq échecs. Cela réduit également la surface d’attaque par force brute.

Restez vigilant : Avec la prolifération du télétravail, il est important de comprendre les risques associés au RDP et de minimiser la surface d’attaque. La mise en œuvre de stratégies de prévention et la connaissance de l’endroit où les informations sur les nouvelles menaces sont régulièrement listées (par exemple BSI ou CERT Bund) sont des éléments fondamentaux pour la protection de vos systèmes informatiques.