Risques de sécurité de RDP

Qu’est-ce que le RDP ?

RDP, ou Remote Desktop Protocol, est l'un des principaux protocoles utilisés pour les sessions de bureau à distance. C'est à ce moment-là que les employés accèdent à leur bureau depuis un autre appareil. RDP est inclus avec la plupart des systèmes d'exploitation Windows et peut également être utilisé avec les Mac. De nombreuses entreprises s'appuient sur RDP pour permettre à leurs employés de travailler à domicile.

RDP (Remote Desktop Protocol) est l'un des principaux protocoles utilisés pour les sessions de bureau à distance

Quelles sont les principales vulnérabilités de sécurité RDP ?

Les vulnérabilités sont des erreurs dans la manière dont un logiciel est construit, permettant aux attaquants d'obtenir un accès non autorisé. Considérez cela comme un pêne dormant mal installé sur la porte d’entrée d’une maison, permettant aux criminels d’entrer.

Voici les vulnérabilités les plus importantes de RDP :

1. Faibles informations d'identification des utilisateurs

La plupart des ordinateurs de bureau sont protégés par mot de passe et les utilisateurs peuvent généralement le définir comme ils le souhaitent. Le problème est que les utilisateurs utilisent souvent également le même mot de passe pour les connexions à distance RDP. Les entreprises ne gèrent généralement pas ces mots de passe pour garantir leur fiabilité, et laissent souvent ces connexions à distance ouvertes aux attaques Brute Force ou Credential Stuffing .

• Résumé de la façon de créer des mots de passe forts et de gérer les mots de passe de la manière la plus sécurisée

2. Accès illimité aux ports

Les connexions RDP s'effectuent presque toujours sur le port 3389*. Les attaquants pourraient supposer qu’il s’agit du port utilisé et le cibler pour mener des attaques.

* Dans un réseau, une passerelle est un emplacement logique, basé sur un logiciel, attribué à certains types de connexions. L'attribution de différents processus à différents ports aide l'ordinateur à suivre ces processus. Par exemple, le trafic HTTP va toujours vers le port 80, tandis que le trafic HTTPS va vers le port 443.

Quels sont les moyens de remédier à ces vulnérabilités RDP ?

• Pour réduire la prévalence des diplômes faibles :

Authentification unique (SSO)

De nombreuses entreprises ont utilisé les services SSO pour gérer les informations de connexion des utilisateurs pour diverses applications. Le SSO offre aux entreprises un moyen plus simple d'imposer l'utilisation de mots de passe forts, ainsi que de mettre en œuvre des mesures plus sécurisées telles que l'authentification à deux facteurs (2FA) . L'accès à distance RDP peut être déplacé derrière le processus SSO pour résoudre la vulnérabilité de connexion utilisateur décrite ci-dessus.

Gestion et application des mots de passe

Pour certaines entreprises, déplacer l’accès à distance RDP derrière le processus SSO n’est peut-être pas une option. Au minimum, ces entreprises devraient exiger que leurs employés réinitialisent leurs mots de passe de bureau avec quelque chose de plus fort.

• Pour vous protéger contre les attaques basées sur les ports :

Port de verrouillage 3389

Un logiciel de tunneling sécurisé peut aider à empêcher les attaquants d'envoyer des requêtes au port 3389. Avec un tunneling sécurisé, toutes les requêtes qui ne passent pas par le tunnel seront bloquées.

Règles de pare-feu

Le pare-feu de l'entreprise peut être configuré manuellement afin qu'aucun trafic sur le port 3389 ne puisse passer, à l'exception du trafic provenant des plages d'adresses IP autorisées (par exemple, les appareils connus pour appartenir à l'employé).

Cependant, cette méthode nécessite beaucoup d'efforts manuels et reste vulnérable si des attaquants détournent les adresses IP autorisées ou si les appareils des employés sont compromis. De plus, il est souvent difficile d'identifier et d'activer à l'avance tous les appareils des employés, ce qui entraîne des demandes informatiques constantes de la part des employés bloqués.

RDP présente également un certain nombre d'autres vulnérabilités, et la plupart d'entre elles peuvent être éliminées en utilisant toujours la dernière version du protocole.

Quelles sont les autres vulnérabilités de RDP ?

RDP présente d'autres vulnérabilités techniques qui ont été techniquement corrigées, mais qui restent graves si elles ne sont pas corrigées.

L'une des vulnérabilités les plus graves de RDP s'appelle « BlueKeep ». BlueKeep (officiellement classé CVE-2019-0708) est une vulnérabilité qui permet aux attaquants d'exécuter n'importe quel code de leur choix sur un ordinateur, s'ils envoient une requête spécialement conçue au bon port (généralement 3389). BlueKeep est vermifuge , ce qui signifie qu'il peut se propager à tous les ordinateurs du réseau sans aucune action de la part de l'utilisateur.

La meilleure protection contre cette vulnérabilité consiste à désactiver RDP, sauf si cela est nécessaire. Bloquer le port 3389 à l'aide d'un pare-feu peut également aider. Enfin, Microsoft a publié un correctif corrigeant cette vulnérabilité en 2019 et il est essentiel que les administrateurs système installent ce correctif.

Comme tout autre programme ou protocole, RDP présente également d'autres vulnérabilités et la plupart de ces vulnérabilités peuvent être éliminées en utilisant toujours la dernière version du protocole. Les fournisseurs corrigent souvent les vulnérabilités dans chaque nouvelle version logicielle qu’ils publient.