RDP : dix pratiques de référence pour prévenir les cyberattaques

Un long historique

S’il n’est pas correctement sécurisé avant d’être utilisé, RDP peut devenir une passerelle permettant aux cyberdélinquants de prendre pied dans le réseau, d’élever leurs privilèges, d’installer des rançongiciels ou d’accéder à des informations sensibles et de les voler. Malheureusement, pour les équipes de sécurité, lorsque les assaillants utilisent un service réseau légitime, il est plus facile pour eux de faire profil bas et de ne pas être découverts.

Microsoft a mis à jour RDP à nombreuses reprises – historiquement, on a longtemps parlé des Terminal Services. Mais le protocole continue de présenter des faiblesses. En raison de son utilisation très répandue, RDP est et restera un vecteur d’attaque populaire pour les attaquants. Les moteurs de recherche spécialisés, tels que Shodan et Onyphe, permettent aux attaquants d’identifier rapidement les services RDP mal sécurisés et les machines vulnérables accessibles ouvertement.

Les attaques en force brute (qui consiste à tester de façon systématique toutes les combinaisons possibles de caractères et d'espaces jusqu'à une certaine longueur) contre RDP sont très répandues . En outre, les opérateurs de nombreux maliciels – à l’instar des ransomwares Ryuk, Sodinokibi et GandCrab – intègrent des modules RDP. L’attaque RobinHood contre la ville de Baltimore et l’attaque SamSam contre la ville d’Atlanta ont toutes deux été initialement menées par RDP. Et c’est sans compter avec la vulnérabilité BlueKeep.

Les pratiques de sécurité de référence

En raison de ces risques permanents, les organisations doivent comprendre le fonctionnement du RDP et adopter les pratiques de sécurité de référence afin de protéger leurs réseaux et maintenir la sécurité des données. Par exemple, un service RDP doit être protégé par plusieurs niveaux de contrôle d’accès et d’authentification. L’utilisation d’un VPN pour accéder à une instance RDP, tout en exigeant un second facteur d’authentification, doit également être mise en place.

Vous trouverez ci-dessous une liste des pratiques de sécurité de référence pour RDP, effectives et peu coûteuses à mettre en œuvre :

• Activer les mises à jour automatiques de Microsoft pour garantir l’installation des dernières versions des logiciels client et serveur. À défaut, donner la priorité à la correction des vulnérabilités RDP déjà exploitées.
• Rendre obligatoires les mots de passe forts et l’authentification à deux facteurs lors de l’utilisation de RDP.
• Mettre en place des politiques de verrouillage des comptes pour se défendre contre les attaques en force brute.
• Rendre accessible le service RDP sur un port TCP autre que 3389.
• Restreindre l’accès au port utilisé pour le service RDP à une adresse ou un groupe d’adresses IP de confiance et n’autoriser les connexions qu’à des hôtes de confiance précis. Cela signifie que le serveur n’acceptera aucune tentative de connexion provenant d’une adresse IP qui ne figure pas dans la liste d’autorisation et qu’il n’aura pas à traiter les tentatives de connexion malveillantes.
• N’autorisez les connexions qu’à partir d’ordinateurs exécutant Remote Desktop avec authentification au niveau réseau (NLA, Network Layer Authentication) sur TLS. Notez que NLA n’est pas activé par défaut dans les anciennes versions de Windows. Cela permettra de se protéger contre les attaques MitM qui interceptent les informations d’identification, et bien plus encore.
• Adopter le principe du moindre privilège en veillant à ce que seuls les employés qui ont besoin d’un accès à distance aient un accès RDP et en accordant le niveau minimum de droits nécessaires pour faire leur travail.
• Utiliser un VPN pour permettre aux utilisateurs distants d’accéder en toute sécurité au réseau de l’entreprise sans exposer directement sur Internet de services RDP.
• Surveiller l’utilisation de RDP, et signaler les comportements anormaux et inhabituels, ainsi que les échecs d’ouverture de session.
• Utiliser un serveur passerelle RDP, fourni par les versions récentes de Windows Server. Celui-ci fournit une interface externe unique à de multiples services RDP internes, ce qui simplifie considérablement la gestion des logs, des certificats TLS, ou encore de l’authentification et des autorisations.

Même lorsque l’on a adopté une politique de mot de passe forte et l’authentification à facteurs multiples, les services RDP ne devraient jamais être directement exposés sur Internet : cela rend le système d’information vulnérable à un large éventail d’attaques. Alors une fois que les pratiques de référence ci-dessus sont en place, assurez-vous de balayer le réseau pour rechercher toutes les instances RDP qui pourraient encore être directement exposées sur Internet.

Et même si vous estimez ne pas avoir besoin de RDP, effectuez des contrôles réguliers pour vous assurer qu’aucune machine de votre environnement n’expose, à votre insu, de service RDP sur Internet. Et cela peut être d’autant plus important que RDP n’est pas exclusif aux systèmes d’exploitation Microsoft : il existe aussi des serveurs RDP pour macOS et Linux.