On le sait, du fait de la pandémie Covid-19, un grand nombre d’entreprises ont dû autoriser leurs employés à travailler à domicile. Mais cette délocalisation du travail à distance a aussi entraîné l'exposition à Internet de plus de 1,5 million de serveurs RDP (Remote Desktop Protocol) supplémentaires. Aux États-Unis, le nombre d'attaques visant les ports RDP ouverts a plus que triplé en mars et avril. Peu d'entreprises disposaient d'un stock important d'ordinateurs portables managés qu’elles peuvent fournir rapidement à leurs employés pour leur permettre de travailler à distance. C’est le cas en particulier des personnels travaillant sur des postes équipés de logiciels hérités personnalisés ne fonctionnant que sur certaines versions de Windows.

Les équipes IT devant également travailler à domicile, la nécessité de gérer à distance les serveurs sur site est également un problème courant auquel sont confrontées les entreprises. Si la technologie RDP intégrée à Windows permet de résoudre facilement les problèmes de gestion à distance des ordinateurs, elle peut introduire aussi un sérieux maillon faible si elle est déployée de manière non sécurisée.

Le RDP, un problème grave, aggravé

Le protocole RDP est une cible fréquente des attaques par saturation d’identifiants et autres attaques par force brute destinées à deviner les mots de passe. Généralement, ces attaques exploitent des listes de noms d’utilisateurs et de combinaisons de mots de passe courants ou des identifiants volés provenant d'autres sources. Certains cybercriminels sont même spécialisés dans la vente sur le marché clandestin d’identifiants RDP volés à d'autres pirates qui les utilisent ensuite pour déployer leurs ransomwares et mineurs de cryptomonnaies ou pour mener des attaques plus sophistiquées et voler des données sensibles ou compromettre plus largement les réseaux. « McAfee ATR a remarqué une augmentation du nombre d'attaques contre les ports RDP et du volume d’identifiants RDP vendus sur les marchés clandestins », ont déclaré les chercheurs de l’entreprise de sécurité McAfee dans un rapport.

L’entreprise note que le nombre de ports RDP exposés à Internet est passé d'environ 3 millions en janvier à plus de 4,5 millions en mars. Plus d'un tiers de ces ports se trouvent aux États-Unis et un autre tiers en Chine. Plus de la moitié des machines ayant des ports RDP exposés fonctionnent avec une version de Windows Server, mais environ un cinquième d'entre elles tournent sous Windows 7, un OS qui n'est plus supporté par Microsoft et qui ne reçoit plus de mises à jour de sécurité. Cette situation est préoccupante, car en plus d'être souvent configurés avec des mots de passe faibles, les ports RDP ont également été affectés par de nombreuses vulnérabilités et ont fait l’objet de nombreux ciblages au fil des ans.

Environ la moitié de tous les identifiants RDP vendus sur le marché clandestin concernent des machines localisées en Chine. Viennent ensuite le Brésil, Hong Kong, l'Inde et les États-Unis. Le nombre d’identifiants pour des hôtes RDP basés aux États-Unis est assez faible, puisqu’il ne représente que 4 % du total, mais McAfee pense que c’est probablement parce que les pirates qui vendent ces identifiants ne cèdent pas la totalité de leurs listes et gardent pour eux les identifiants et les hôtes les plus précieux ou les réservent pour des ventes plus privées et sélectionnées.

Une recrudescence des attaques RDP

Selon un autre rapport livré récemment par le fournisseur Atlas VPN, le nombre d'attaques RDP a augmenté de manière significative aux États-Unis, en Espagne, en Italie, en Allemagne, en France, en Russie et en Chine à partir du 10 mars. Cette augmentation colle tout à fait avec le début des restrictions de déplacement des populations et des mesures de confinements mises en place dans le monde entier en réponse à la pandémie de Covid-19. « Aux États-Unis, les attaques ont atteint leur point culminant le 7 avril 2020, avec un nombre total de 1 417 827 attaques », indique le fournisseur dans son rapport. « Si l’on compare la période du 9 février au 9 mars 2020 à celle du 10 mars au 10 avril 2020, les attaques de RDP aux États-Unis ont fait un bond de 330% ». Entre le 10 mars et le 15 avril, le fournisseur a enregistré 148 millions d'attaques RDP dans le monde. Plus de 32 millions d'entre elles ont été détectées aux États-Unis, soit près de 900 000 attaques par jour en moyenne. « Ces attaques essayent systématiquement de nombreuses combinaisons de noms d'utilisateur et de mots de passe jusqu'à trouver la bonne », a déclaré Atlas VPN. « En cas d’attaque réussie, le cybercriminel gagne un accès à distance à l'ordinateur ou au serveur cible dans le réseau de l'entreprise ».

Protéger le RDP

D’abord, il faut rappeler qu’exposer un port RDP directement à Internet n’est pas une bonne pratique de sécurité, même si l’entreprise a adopté de bonnes pratiques en matière d’identifiants robustes, utilise des certificats numériques et a opté pour une authentification à deux facteurs. La lenteur des correctifs peut toujours exposer les serveurs à une vulnérabilité du RDP. Celui-ci devrait toujours être uniquement accessible via une connexion VPN sécurisée au réseau de l'entreprise ou via une passerelle d'accès à distance zero trust.

Voici quelques conseils pour sécuriser les ports RDP :

- N'autorisez pas les connexions RDP ouvertes directement sur Internet.

- Utilisez des mots de passe complexes ainsi qu'une authentification à plusieurs facteurs.

- Verrouillez les utilisateurs et bloquez ou retardez les IP ayant échoué à un nombre trop élevé de tentatives de connexion.

- Utilisez une passerelle RDP.

- Limitez l'accès au compte d'administrateur de domaine.

- Réduisez au minimum le nombre d'administrateurs locaux.

- Utilisez un pare-feu pour limiter l'accès.

- Activez le mode administrateur restreint.

- Activez l'authentification au niveau du réseau (NLA).

- Assurez-vous que les comptes des administrateurs locaux sont uniques et limitez les utilisateurs pouvant se connecter en utilisant le RDP.

- Envisagez un positionnement dans le réseau.

- Pensez à utiliser une convention de dénomination de compte qui ne révèle pas d’informations sur l’entreprise.