Une authentification des utilisateurs faible et le ciblage des ports sont deux des principales vulnérabilités présentes dans le protocole RDP (Remote Desktop Protocol).
Cet article s'articule autour des points suivants :
Contenu associé
Qu'est-ce que le RDP ?
Sécurité des collaborateurs en télétravail
Contrôle des accès
Qu'est-ce que l'lAM ?
Accès à distance et RGPD
Abonnez-vous à theNET, le récapitulatif mensuel de Cloudflare des idées les plus populaires concernant Internet !
Copier le lien de l'article
Le RDP, ou Remote Desktop Protocol, est l'un des principaux protocoles utilisés pour les sessions de bureau à distance, c'est-à-dire lorsque les employés accèdent à leur ordinateur de bureau depuis un autre appareil. Le protocole RDP est inclus dans la plupart des systèmes d'exploitation Windows et peut également être utilisé avec macOS. De nombreuses entreprises s'appuient sur le RDP pour permettre à leurs employés de travailler à domicile.
Une vulnérabilité est une lacune ou une erreur dans la conception d'un logiciel qui permet à des personnes malveillantes d'obtenir un accès non autorisé. Pensez à un verrou mal installé sur la porte d'entrée d'une maison qui permet à des cambrioleurs de s'y introduire.
Voici les vulnérabilités les plus importantes du RDP :
*En technologie réseau, un port est un emplacement logique basé sur un logiciel qui est désigné pour certains types de connexions. L'affectation de différents processus à différents ports aide les ordinateurs à suivre ces processus. Par exemple, le trafic HTTP transite toujours par le port 80, tandis que le trafic HTTPS transite par le port 443.
Réduire la prévalence de la faiblesse des identifiants de connexion :
Authentification unique (Single Sign-On, SSO) : de nombreuses entreprises utilisent déjà des services SSO pour gérer l'authentification des utilisateurs dans différentes applications. Les services SSO permettent aux entreprises d'imposer plus facilement l'utilisation de mots de passe forts et la mise en œuvre des mesures encore plus sécurisées, telles que l'authentification à deux facteurs (2FA). Il est possible de placer l'accès à distance via le protocole RDP derrière un service SSO, afin de consolider la vulnérabilité liée à la connexion des utilisateurs, décrite ci-dessus. (Cloudflare Zero Trust, par exemple, offre cette capacité aux entreprises.)
Gestion et application des mots de passe :pour certaines entreprises, déplacer le RDP derrière le SSO n'est pas toujours possible. Au minimum, ces entreprises devraient exiger des employés qu'ils réinitialisent les mots de passe de leur bureau pour les rendre plus sûrs.
Pour se protéger contre les attaques basées sur les ports :
Fermez le port 3389 : un logiciel de tunnellisation sécurisée peut aider à empêcher des acteurs malveillants de transmettre des requêtes parvenant au port 3389. Avec un tunnel sécurisé (par exemple, Cloudflare Argo Tunnel) en place, toute requête non acheminée par le tunnel sera bloquée.
Règles de pare-feu : il peut être possible de configurer manuellement un pare-feu d'entreprise de manière à ce qu'aucun trafic ne puisse passer par le port 3389, à l'exception du trafic provenant de plages d'adresses IP figurant sur une liste blanche (par exemple, les appareils connus comme appartenant aux employés). Cependant, cette méthode demande beaucoup d'efforts manuels et demeure vulnérable aux attaques si des attaquants détournent une adresse IP de la liste blanche ou si les appareils des employés sont compromis. En outre, il est généralement très difficile d'identifier et de mettre sur liste blanche tous les appareils des employés à l'avance, ce qui entraîne des demandes d'assistance informatiques continues de la part des employés bloqués.
Le RDP présente d'autres vulnérabilités qui ont été techniquement corrigées, mais qui restent graves si elles ne sont pas vérifiées.
L'une des vulnérabilités les plus graves du RDP est dénommée « BlueKeep ». BlueKeep (officiellement classée CVE-2019-0708) est une vulnérabilité qui permet aux personnes malveillantes d'exécuter n'importe quel code sur un ordinateur en envoyant une requête spécialement élaborée à cet effet au bon port (généralement 3389). BlueKeep est « wormable » , ce qui signifie que de futurs exploits peuvent l'utiliser pour répandre des logiciels malveillants à tous les ordinateurs d'un réseau sans aucune action de la part des utilisateurs.
Le meilleur moyen de se défendre contre cette vulnérabilité est de désactiver le RDP, à moins qu'il ne soit indispensable. Le blocage du port 3389 à l'aide d'un pare-feu peut également être une solution. Enfin, Microsoft a publié un correctif qui corrige cette vulnérabilité en 2019, et il est essentiel que les administrateurs système l'installent.
Comme tout autre programme ou protocole, RDP présente également plusieurs autres vulnérabilités. La plupart d'entre elles peuvent être éliminées en utilisant toujours la toute dernière version du protocole. Les fournisseurs corrigent généralement les vulnérabilités dans chaque nouvelle version de logiciel qu'ils mettent sur le marché.
Ensemble, Cloudflare Zero Trust et Cloudflare Tunnel renforcent la sécurité des accès à distance en corrigeant les deux principales vulnérabilités du protocole RDP décrites ci-dessus. Contrairement aux pare-feu d'entreprise typiques, la solution Cloudflare offre l'avantage de ne pas être dépendante d'équipements et de ne pas nécessiter de configuration manuelle. Mettre en œuvre la protection des connexions RDP avec Argo Tunnel ne nécessite souvent que quelques clics depuis le tableau de bord de Cloudflare. Pour en savoir plus sur Cloudflare et le protocole RDP, lisez notre article de blog ou regardez cette démonstration.