Accès système à distance : des menaces réelles pour une exposition stable

Plus de 850 000 tentatives d’accès en force brute à des services RDP exposés sur Internet mi-mars. C’est ce que Kaspersky indique avoir observé en France. Et le phénomène n’est pas limité à l’Hexagone. Avant ce pic, les tentatives quotidiennes s’établissaient autour de 130 000 à 200 000. Mais depuis la mi-mars, elles ne sont pas retombées en deçà de 400 000.

L’éditeur explique ce phénomène par le retour massif au télétravail induit par les mesures de confinement en vigueur depuis la mi-mars : « suite à la transition de masse au travail à domicile, [les attaquants] ont logiquement conclu que le nombre de serveurs RDP mal configurés allait croître ». Un tel raisonnement n’apparaît assurément pas totalement infondé.

Gérôme Billois, directeur de la practice Cybersécurité de Wavestone nous confiait récemment avoir observé l’exposition quelque peu précipitée de services RDP à l’occasion du confinement. Eric Freyssinet, chef du pôle national de lutte contre les cybermenaces de la Gendarmerie nationale, en atteste également, dans un billet publié sur LinkedIn : « au cours de nos opérations de prévention, et des échanges avec les acteurs de la cybersécurité, nous avons identifié qu’un grand nombre d’organisations – y compris des professions médicales – avaient déployé des solutions de télétravail reposant sur le partage de l’accès au bureau Windows par le protocole RDP ».

Las, « dans beaucoup de cas que nous rencontrons, celui-ci n’est pas suffisamment protégé, soit parce que les contrôles d’accès ne sont pas suffisamment renforcés (en particulier nous relevons l’utilisation de mots de passe trop simples), et les vulnérabilités connues des services RDP ne sont pas corrigées par des mises à jour ».

Pour autant, les espoirs des assaillants ont dû être au moins en partie douchés. Le premier avril, Censys indiquait ne pas avoir observé de croissance du nombre de services RDP exposés directement sur RDP. Chez Onyphe, Patrice Auffret fait le même constat : « je n’ai pas vu d’augmentation notable ».
Pour RDP, mais également pour un autre service d’accès distant, VNC. De son point de vue, en définitive, si des accès distants à des systèmes ont été mis en place à l’occasion du confinement, sans trop de précautions, ce n’est probablement qu’un épiphénomène. De quoi laisser à penser que, très majoritairement, administrateurs et utilisateurs se sont montrés plutôt sérieux sur ce point.

Pour autant, cela ne doit pas faire oublier le fait qu’il existe de nombreux services d’accès distant exposés directement sur Internet. Kaspersky ne manque alors pas de rappeler quelques mesures relevant de l’hygiène de sécurité de base : « à tout le moins, utiliser des mots de passe robustes ; ne rendre RDP accessible que via un VPN d’entreprise ; utiliser l’authentification au niveau réseau (NLA) ; si possible, activer l’authentification à facteurs multiples ». Et bien sûr, lorsque des services tels que RDP ne sont pas utilisés, les désactiver et fermer les ports correspondants.

Eric Freyssinet va plus loin : « assurez-vous de n’autoriser des accès distants que pour des utilisateurs ne disposant pas de droits d’administration ; fermez les accès distants des utilisateurs qui n’ont pas ou plus besoin de l’utiliser (anciens employés, stagiaires) » ; ou encore, « mettez en place des règles de filtrage géographique ou par adresse IP ».

Et c’est sans compter avec la mise en place de mécanismes d’identification, voire de blocage, d’activités suspectes, comme les essais répétés. Et l’on pense là notamment à l’incontournable fail2ban pour les systèmes Linux, mais également FreeBSD et macOS.