Le protocole RDP est un protocole qui permet aux utilisateurs d'accéder à des ordinateurs distants et de les contrôler. Bien qu'il offre une flexibilité conviviale, il génère également des risques de sécurité importants pour ce qui est de la surface d'attaque de votre organisation.

Il est essentiel de comprendre les risques spécifiques associés au protocole RDP pour élaborer des stratégies d'atténuation efficaces.

RISQUES

Les organisations et les utilisateurs doivent être conscients que l'utilisation du protocole RDP présente plusieurs menaces pour la sécurité. Il est essentiel de comprendre et de traiter ces menaces pour maintenir la sécurité des systèmes et des données lors de l'utilisation du protocole RDP. Afin d'atténuer les risques de manière efficace, les organisations devraient adopter une approche de sécurité à plusieurs niveaux, combinant des mesures techniques avec la sensibilisation des utilisateurs et une surveillance proactive.

Exposition des ports et visibilité du réseau :

Menace : le RDP utilise généralement le port 3389, et, si la connexion se produit sur l’Internet ouvert, il expose votre réseau à des attaques potentielles.

Atténuation : envisagez de restreindre l'accès RDP à des adresses IP spécifiques ou d'utiliser un réseau privé virtuel (VPN) pour limiter l'exposition et renforcer la sécurité de votre réseau.

Vulnérabilités et exploitations :

Menace : le logiciel RDP et le système d'exploitation sous-jacent peuvent présenter des vulnérabilités susceptibles d'être exploitées par des hackers pour obtenir un accès non-autorisé ou exécuter du code malveillant.

Atténuation : mettez régulièrement à jour le logiciel RDP et le système d'exploitation afin de remédier aux vulnérabilités connues. Suivez les avis de sécurité régulièrement pour obtenir les dernières mises à jour.

Attaques Man-in-the-Middle (MitM) :

Menace : les sessions RDP non sécurisées sont susceptibles d'être interceptées, ce qui permet aux hackers d'espionner les communications entre le client et le serveur.

Atténuation : utilisez une solution de chiffrement, comme les VPN ou les configurations RDP sécurisées, pour protéger les données pendant leur transit et pour vous prémunir contre les attaques MitM.

Attaques par force brute :

Menace : les hackers peuvent tenter d'obtenir un accès non autorisé en essayant systématiquement différentes combinaisons de noms d'utilisateur et de mots de passe.

Atténuation : mettez en œuvre des politiques de mots de passe forts, utilisez l'authentification multifactorielle (MFA) et configurez des politiques de verrouillage de compte pour limiter le nombre de tentatives de connexion infructueuses.

Vol de données d'identification :

Menace : les hackers peuvent utiliser le phishing ou d'autres tactiques pour voler les informations d'identification RDP, ce qui permet un accès non autorisé.

Atténuation : sensibilisez les utilisateurs aux risques de phishing, mettez en place une protection des terminaux et organisez régulièrement des formations de sensibilisation à la sécurité. Envisagez d'utiliser une MFA pour ajouter une couche de sécurité supplémentaire.

Mouvements latéraux et exploitation des réseaux :

Menace : une fois à l'intérieur d'un réseau, les acteurs malveillants peuvent utiliser des sessions RDP compromises pour se déplacer latéralement, élever leurs privilèges et cibler des systèmes critiques.

Atténuation : implémenter une bonne segmentation du réseau, limiter les privilèges des utilisateurs et surveiller les activités inhabituelles des sessions RDP afin de détecter les incidents de sécurité potentiels et d'y répondre.

Attaque par ransomware :

Menace : le RDP est souvent la cible des opérateurs de ransomwares. Ils l'utilisent comme point d'entrée pour déployer des ransomwares sur les systèmes ciblés et crypter des données précieuses.

Atténuation : renforcez la sécurité du RDP, sauvegardez régulièrement les données critiques et utilisez une protection des terminaux pour détecter et prévenir les attaques par ransomware.

Image
server.jpg

Les opérateurs de ransomware qui exploitent le RDP

SamSam :

Stratégie : SamSam s'est fait connaître en prenant pour cible les organisations via l’exploitation de vulnérabilités au niveau du RDP. Ses membres recherchaient activement sur Internet les systèmes dont les ports RDP étaient exposés et recouraient à des attaques par force brute ou exploitaient des données d'identification faillibles pour obtenir un accès non autorisé.
Cibles : le groupe a souvent pris pour cible des secteurs de premier plan, notamment les soins de santé, les autorités et les infrastructures critiques.

Crysis/Dharma :

Stratégie : Crysis (également connu sous le nom de Dharma) a été associé à des attaques qui exploitaient le protocole RDP pour pénétrer dans les réseaux. Le groupe exigeait souvent des rançons élevées pour décrypter les fichiers.
Évolution : Crysis/Dharma a évolué au fil du temps, adaptant ses tactiques et exploitant les vulnérabilités du RDP pour compromettre les systèmes ciblés.

Ryuk :

Stratégie : Ryuk est une souche de ransomware sophistiquée qui a été associée à des attaques ciblées contre de grandes organisations. Bien qu'il ne s'appuie pas exclusivement sur le RDP, nous avons noté qu'il utilisait diverses méthodes, y compris l'exploitation du RDP, pour se déplacer latéralement au sein des réseaux.
Des demandes de rançon élevées : Ryuk est connu pour exiger des rançons importantes et ses attaques sont souvent motivées par l'aspect financier.

Phobos:

Stratégie : Phobos est une variante de ransomware qui utilise le protocole RDP comme l'un de ses vecteurs d'infection. Le groupe à l'origine de Phobos cible généralement les entreprises et les organisations.
Double extorsion : comme de nombreux groupes de ransomwares modernes, Phobos se livre souvent à une « double extorsion », en volant des données sensibles avant de chiffrer les fichiers et de menacer de les divulguer si la rançon n'est pas payée.

GandCrab :

Stratégie : bien que GandCrab ait été officiellement fermé, il s'agissait d'un ransomware-as-a-service (RaaS) très répandu. Il était connu pour exploiter les vulnérabilités RDP et les mots de passe faibles afin d'infecter les systèmes.
Ransomware-as-a-Service : GandCrab était unique en son genre. Plusieurs criminels affiliés pouvaient utiliser le ransomware et partager les profits avec les développeurs.

Solutions alternatives

Lors de la mise en œuvre d'une solution alternative d'accès à distance, il est essentiel de respecter les bonnes pratiques en matière de sécurité :

SSH (Secure Shell):

Cas d'utilisation : accès sécurisé à la ligne de commande et aux transferts de fichiers.
Caractéristiques de sécurité : chiffrement efficace, authentification par clé publique et possibilité d'acheminer d'autres protocoles en toute sécurité.
Applications notables : OpenSSH (open source), PuTTY (Windows), WinSCP (Windows, pour les transferts de fichiers).

VPN (Virtual Private Network) :

Cas d'utilisation : connecter en toute sécurité des utilisateurs distants à un réseau privé.
Caractéristiques de sécurité : tunnel crypté pour l'ensemble du trafic réseau, incluant souvent des mécanismes d'authentification et d'autorisation.
Applications notables : OpenVPN, Cisco AnyConnect, Microsoft VPN.

VNC (Virtual Network Computing) :

Cas d'utilisation : accès et contrôle du bureau à distance.
Caractéristiques de sécurité : versions cryptées (telles que VNC via SSH), authentification par mot de passe et prise en charge de l'authentification multifactorielle.
Applications notables : TightVNC, RealVNC, TigerVNC.

TeamViewer :

Cas d'utilisation : accès au bureau à distance avec support multiplateforme.
Caractéristiques de sécurité : chiffrement de bout en bout, authentification à deux facteurs et enregistrement des sessions.
Remarque : TeamViewer est facile à utiliser, mais il faut veiller à avoir une configuration correcte et prévoir des pratiques de sécurité pour les comptes utilisateurs.

AnyDesk :

Cas d'utilisation : accès léger et rapide au bureau à distance.
Caractéristiques de sécurité : chiffrement TLS, authentification à deux facteurs et enregistrement de session.
Remarque : comme pour TeamViewer, il convient d'être attentif aux configurations de sécurité.

Splashtop :

Cas d'utilisation : accès au bureau à distance pour les particuliers et les entreprises.
Caractéristiques de sécurité : chiffrement TLS et AES 256 bits, authentification des périphériques et authentification à deux facteurs.
Remarque : offre des solutions pour les particuliers et les entreprises.

Guacamole :

Cas d'utilisation : passerelle de bureau à distance basée sur Internet.
Caractéristiques de sécurité : support pour SSL/TLS, authentification multifactorielle et intégration LDAP.
Remarque : Guacamole permet un accès via un navigateur web sans nécessiter de logiciel client.

Radmin (Remote Administrator) :

Cas d'utilisation : contrôle et support à distance.
Caractéristiques de sécurité : chiffrement AES 256 bits, authentification Windows et filtrage des adresses IP.
Remarque : axé sur un accès à distance rapide et sécurisé.

ATTÉNUATIONS RECOMMANDÉES

La mise en œuvre d'actions et de mesures de sécurité spécifiques est essentielle pour sécuriser efficacement le RDP. Voici les actions recommandées pour en renforcer la sécurité :

Activation de l'authentification au niveau du réseau (NLA) :

Assurez-vous que l'authentification au niveau du réseau est activée sur votre serveur RDP. L'authentification de niveau réseau exige une authentification avant l'établissement d'une session à distance, ce qui ajoute une couche de sécurité en validant les informations d'identification de l'utilisateur avant d'autoriser l'accès.

Restriction de l'accès RDP :

Limitez l'accès RDP à des adresses IP spécifiques ou utilisez un réseau privé virtuel (VPN) pour créer un tunnel sécurisé pour le trafic RDP. Cela permet de réduire l'exposition via Internet et de s'assurer que seuls les utilisateurs autorisés peuvent se connecter à distance.

Recours à des méthodes d'authentification fortes :

Mettez en œuvre des méthodes d'authentification fortes, telles que l'authentification multifactorielle (MFA), pour renforcer la vérification des utilisateurs. Le MFA ajoute une couche de sécurité en demandant aux utilisateurs de fournir plusieurs formes d'identification, ce qui réduit le risque d'accès non autorisé.

Mise en œuvre de politiques de verrouillage des comptes :

Configurez des politiques de verrouillage des comptes pour empêcher les attaques par force brute. Cela limite le nombre de tentatives de connexion infructueuses, réduisant ainsi le risque d'accès non autorisé par des tentatives de connexion répétées.

Mises à jour et correctifs réguliers des systèmes :

Maintenez le système d'exploitation et le logiciel RDP à jour avec les derniers correctifs de sécurité. Vérifiez régulièrement l'existence de mises à jour et appliquez-les rapidement afin de corriger les vulnérabilités connues et de vous protéger contre les exploitations potentielles.

Recours au chiffrement :

Veillez à ce que les sessions RDP soient cryptées pour protéger les données pendant leur transit. Utilisez des protocoles tels que Transport Layer Security (TLS) ou mettez en place un VPN pour créer un canal de communication sécurisé entre le client et le serveur, empêchant ainsi toute interception et espionnage.

Modification des ports par défaut :

Envisagez de remplacer le port RDP par défaut (TCP 3389) par un port non standard. Bien que cette mesure n'offre pas une sécurité à toute épreuve, elle peut contribuer à décourager les attaques automatisées qui ciblent les ports par défaut. Toutefois, cette mesure n'est pas suffisante et doit s'inscrire dans le cadre d'une stratégie de sécurité plus large.

Audit et surveillance des sessions RDP :

Activez la journalisation des sessions RDP et examinez régulièrement les journaux pour détecter toute activité suspecte. Mettez en place des alertes en cas d'échecs multiples de tentatives de connexion ou d'autres comportements anormaux. La surveillance et l'audit sont essentiels pour détecter les incidents de sécurité potentiels et y répondre.

Recours à la protection des terminaux :

Installez et maintenez des solutions solides de protection des terminaux, tant du côté client que du côté serveur. Il s'agit notamment de logiciels antivirus, de pare-feu et de systèmes de détection/prévention des intrusions destinés à détecter et prévenir les activités malveillantes.

Formation régulière des utilisateurs à la sécurité :

Sensibilisez les utilisateurs aux bonnes pratiques en matière de sécurité RDP, notamment à l'importance d'utiliser des mots de passe forts, d'éviter les réseaux publics pour les sessions RDP et de signaler rapidement toute activité suspecte.

Audits de sécurité réguliers :

Effectuez régulièrement des audits de sécurité afin d'identifier et de corriger les vulnérabilités potentielles de votre infrastructure RDP. Cette approche proactive permet de s'assurer que les mesures de sécurité restent efficaces au fil du temps.