Quels sont les risques de sécurité du RDP ? | Vulnérabilités de RDP

Une authentification des utilisateurs faible et le ciblage des ports sont deux des principales vulnérabilités présentes dans le protocole RDP (Remote Desktop Protocol).

Objectifs d’apprentissage

Cet article s'articule autour des points suivants :

  • Comprendre les risques du protocole RDP (Remote Desktop Protocol)
  • Apprenez comment vous protéger contre ces vulnérabilités
  • En savoir plus sur la solution de Cloudflare pour la sécurité du RDP

Contenu associé


Vous souhaitez continuer à enrichir vos connaissances ?

Abonnez-vous à theNET, le récapitulatif mensuel de Cloudflare des idées les plus populaires concernant Internet !

Consultez la politique de confidentialité de Cloudflare pour en savoir plus sur la manière dont nous collectons et traitons vos données personnelles.

Copier le lien de l'article

Qu'est-ce que le RDP ?

Le RDP, ou Remote Desktop Protocol, est l'un des principaux protocoles utilisés pour les sessions de bureau à distance, c'est-à-dire lorsque les employés accèdent à leur ordinateur de bureau depuis un autre appareil. Le protocole RDP est inclus dans la plupart des systèmes d'exploitation Windows et peut également être utilisé avec macOS. De nombreuses entreprises s'appuient sur le RDP pour permettre à leurs employés de travailler à domicile.

Quelles sont les principales vulnérabilités de sécurité du RDP ?

Une vulnérabilité est une lacune ou une erreur dans la conception d'un logiciel qui permet à des personnes malveillantes d'obtenir un accès non autorisé. Pensez à un verrou mal installé sur la porte d'entrée d'une maison qui permet à des cambrioleurs de s'y introduire.

Voici les vulnérabilités les plus importantes du RDP :

  1. Identifiants de connexion des utilisateurs peu sécurisés. La plupart des ordinateurs de bureau sont protégés par un mot de passe, et les utilisateurs peuvent généralement créer ce mot de passe comme ils le souhaitent. Le problème est que le même mot de passe est souvent utilisé également pour les connexions à distance RDP. Les entreprises ne gèrent généralement pas ces mots de passe pour s'assurer de leur force, et laissent souvent ces connexions à distance ouvertes aux attaques par force brute ou de credential stuffing.
  2. Accès au port non restreint. Les connexions RDP ont presque toujours lieu sur le port 3389*. Des attaquants peuvent supposer qu'il s'agit du port utilisé et le cibler pour mener notamment des attaques de type « attaques sur voie ».

*En technologie réseau, un port est un emplacement logique basé sur un logiciel qui est désigné pour certains types de connexions. L'affectation de différents processus à différents ports aide les ordinateurs à suivre ces processus. Par exemple, le trafic HTTP transite toujours par le port 80, tandis que le trafic HTTPS transite par le port 443.

Quels sont les moyens de remédier à ces vulnérabilités du RDP ?

Réduire la prévalence de la faiblesse des identifiants de connexion :

Authentification unique (Single Sign-On, SSO) : de nombreuses entreprises utilisent déjà des services SSO pour gérer l'authentification des utilisateurs dans différentes applications. Les services SSO permettent aux entreprises d'imposer plus facilement l'utilisation de mots de passe forts et la mise en œuvre des mesures encore plus sécurisées, telles que l'authentification à deux facteurs (2FA). Il est possible de placer l'accès à distance via le protocole RDP derrière un service SSO, afin de consolider la vulnérabilité liée à la connexion des utilisateurs, décrite ci-dessus. (Cloudflare Zero Trust, par exemple, offre cette capacité aux entreprises.)

Gestion et application des mots de passe :pour certaines entreprises, déplacer le RDP derrière le SSO n'est pas toujours possible. Au minimum, ces entreprises devraient exiger des employés qu'ils réinitialisent les mots de passe de leur bureau pour les rendre plus sûrs.

Pour se protéger contre les attaques basées sur les ports :

Fermez le port 3389 : un logiciel de tunnellisation sécurisée peut aider à empêcher des acteurs malveillants de transmettre des requêtes parvenant au port 3389. Avec un tunnel sécurisé (par exemple, Cloudflare Argo Tunnel) en place, toute requête non acheminée par le tunnel sera bloquée.

Règles de pare-feu : il peut être possible de configurer manuellement un pare-feu d'entreprise de manière à ce qu'aucun trafic ne puisse passer par le port 3389, à l'exception du trafic provenant de plages d'adresses IP figurant sur une liste blanche (par exemple, les appareils connus comme appartenant aux employés). Cependant, cette méthode demande beaucoup d'efforts manuels et demeure vulnérable aux attaques si des attaquants détournent une adresse IP de la liste blanche ou si les appareils des employés sont compromis. En outre, il est généralement très difficile d'identifier et de mettre sur liste blanche tous les appareils des employés à l'avance, ce qui entraîne des demandes d'assistance informatiques continues de la part des employés bloqués.

Quelles sont les autres vulnérabilités du RDP ?

Le RDP présente d'autres vulnérabilités qui ont été techniquement corrigées, mais qui restent graves si elles ne sont pas vérifiées.

L'une des vulnérabilités les plus graves du RDP est dénommée « BlueKeep ». BlueKeep (officiellement classée CVE-2019-0708) est une vulnérabilité qui permet aux personnes malveillantes d'exécuter n'importe quel code sur un ordinateur en envoyant une requête spécialement élaborée à cet effet au bon port (généralement 3389). BlueKeep est « wormable » , ce qui signifie que de futurs exploits peuvent l'utiliser pour répandre des logiciels malveillants à tous les ordinateurs d'un réseau sans aucune action de la part des utilisateurs.

Le meilleur moyen de se défendre contre cette vulnérabilité est de désactiver le RDP, à moins qu'il ne soit indispensable. Le blocage du port 3389 à l'aide d'un pare-feu peut également être une solution. Enfin, Microsoft a publié un correctif qui corrige cette vulnérabilité en 2019, et il est essentiel que les administrateurs système l'installent.

Comme tout autre programme ou protocole, RDP présente également plusieurs autres vulnérabilités. La plupart d'entre elles peuvent être éliminées en utilisant toujours la toute dernière version du protocole. Les fournisseurs corrigent généralement les vulnérabilités dans chaque nouvelle version de logiciel qu'ils mettent sur le marché.

Comment Cloudflare contribue-t-il à sécuriser l'accès à distance ?

Ensemble, Cloudflare Zero Trust et Cloudflare Tunnel renforcent la sécurité des accès à distance en corrigeant les deux principales vulnérabilités du protocole RDP décrites ci-dessus. Contrairement aux pare-feu d'entreprise typiques, la solution Cloudflare offre l'avantage de ne pas être dépendante d'équipements et de ne pas nécessiter de configuration manuelle. Mettre en œuvre la protection des connexions RDP avec Argo Tunnel ne nécessite souvent que quelques clics depuis le tableau de bord de Cloudflare. Pour en savoir plus sur Cloudflare et le protocole RDP, lisez notre article de blog ou regardez cette démonstration.