Windows : la fin des attaques en force brute sur les services RDP ?
Dans les nouvelles moutures de Windows 11, une règle aidant à prévenir les attaques en force brute contre les services de déport d’affichage (RDP) est activée par défaut. De quoi protéger contre de nombreuses cyberattaques.
Enfin, diront certains. David Weston, vice-président de Microsoft en charge de la sécurité du système d’exploitation et des offres entreprises, vient d’annoncer, sur Twitter, l’activation, par défaut, dans Windows 11, d’une règle susceptible de ralentir significativement les attaques en force brute contre les services de déport d’affichage (RDP). Cette règle bloque ainsi pendant 10 minutes l’accès à un compte utilisateur après 10 tentatives infructueuses d’ouverture de session.
Mieux encore, selon David Weston, l’activation par défaut de cette règle est prévue pour Windows 10 ainsi que certaines versions de Windows Server.
Les attaques en force brute contre les services RDP exposés directement sur Internet, sans authentification à la couche réseau (NLA, Network Level Authentification), sont bien identifiées de longue date comme un vecteur d’intrusion initiale de choix pour les cyberattaques avec ransomware. C’est même l’un des principaux.
La sécurisation des accès RDP a régulièrement été recommandée pour prévenir les attaques avec rançongiciel. À l’occasion de l’édition 2019 des Assises de la Sécurité, Fleury Michon avait ainsi expliqué que la cyberattaque dont il avait été antérieurement victime était partie… d’un service RDP exposé par une machine virtuelle hébergée sur Azure.
Récemment encore, la CISA américaine alertait sur les attaques avec le ransomware MedusaLocker, déployé après intrusion initiale via… des services RDP exposés suivant des configurations fragiles. Selon la division 42 de Palo Alto Networks, RDP est détourné dans 50 % des cyberattaques avec rançongiciel. Pour le NCSC britannique, les attaques contre RDP « sont les outils d’accès distant les plus exploités » dans ces cyberattaques.
Depuis plusieurs années, l’expert Kevin Beaumont a régulièrement alerté l’opinion publique sur cette menace, ou tempêté contre l’inaction de Microsoft à son sujet – et encore pas plus tard qu’en février. Aujourd’hui, il ne manque pas de saluer l’annonce de David Weston.
Pour approfondir sur Sécurité du Cloud, SASE
-
PC Copilot+ : comment Microsoft a revu la fonction Recall
-
Ransomware : des identifiants compromis aux avant-postes de près de 40 % des attaques
-
Cybersécurité : les demandes d’indemnisation liées à certains équipements réseau ont augmenté
-
Selon Sophos, RDP est détourné dans plus de 90 % des cyberattaques