Une authentification des utilisateurs faible et le ciblage des ports sont deux des principales vulnérabilités présentes dans le protocole RDP (Remote Desktop Protocol).
Cet article s'articule autour des points suivants :
Contenu associé
Qu'est-ce que le protocole RDP ?
Sécurité des collaborateurs en télétravail
Contrôle des accès
Qu'est-ce que l'lAM ?
Accès à distance et RGPD
Abonnez-vous à theNET, le récapitulatif mensuel par Cloudflare des informations les plus populaires sur Internet !
Copier le lien de l'article
Le RDP, ou Remote Desktop Protocol, est l'un des principaux protocoles utilisés pour les sessions de bureau à distance, c'est-à-dire lorsque les employés accèdent à leur ordinateur de bureau depuis un autre appareil. Le protocole RDP est inclus dans la plupart des systèmes d'exploitation Windows et peut également être utilisé avec macOS. De nombreuses entreprises s'appuient sur le RDP pour permettre à leurs employés de travailler à domicile.
Une vulnérabilité est une lacune ou une erreur dans la conception d'un logiciel qui permet à des personnes malveillantes d'obtenir un accès non autorisé. Pensez à un verrou mal installé sur la porte d'entrée d'une maison qui permet à des cambrioleurs de s'y introduire.
Voici les vulnérabilités les plus importantes du RDP :
*En technologie réseau, un port est un emplacement logique basé sur un logiciel qui est désigné pour certains types de connexions. L'affectation de différents processus à différents ports aide les ordinateurs à suivre ces processus. Par exemple, le trafic HTTP transite toujours par le port 80, tandis que le trafic HTTPS transite par le port 443.
Réduire la prévalence de la faiblesse des identifiants de connexion :
Authentification unique (Single Sign-On, SSO) : de nombreuses entreprises utilisent déjà des services SSO pour gérer l'authentification des utilisateurs dans différentes applications. Les services SSO permettent aux entreprises d'imposer plus facilement l'utilisation de mots de passe forts et la mise en œuvre des mesures encore plus sécurisées, telles que l'authentification à deux facteurs (2FA). Il est possible de placer l'accès à distance via le protocole RDP derrière un service SSO, afin de consolider la vulnérabilité liée à la connexion des utilisateurs, décrite ci-dessus. (Cloudflare Zero Trust, par exemple, offre cette capacité aux entreprises.)
Gestion et application des mots de passe :pour certaines entreprises, déplacer le RDP derrière le SSO n'est pas toujours possible. Au minimum, ces entreprises devraient exiger des employés qu'ils réinitialisent les mots de passe de leur bureau pour les rendre plus sûrs.
Pour se protéger contre les attaques basées sur les ports :
Fermez le port 3389 : un logiciel de tunnellisation sécurisée peut aider à empêcher des acteurs malveillants de transmettre des requêtes parvenant au port 3389. Avec un tunnel sécurisé (par exemple, Cloudflare Argo Tunnel) en place, toute requête non acheminée par le tunnel sera bloquée.
Règles de pare-feu : il peut être possible de configurer manuellement un pare-feu d'entreprise de manière à ce qu'aucun trafic ne puisse passer par le port 3389, à l'exception du trafic provenant de plages d'adresses IP figurant sur une liste blanche (par exemple, les appareils connus comme appartenant aux employés). Cependant, cette méthode demande beaucoup d'efforts manuels et demeure vulnérable aux attaques si des attaquants détournent une adresse IP de la liste blanche ou si les appareils des employés sont compromis. En outre, il est généralement très difficile d'identifier et de mettre sur liste blanche tous les appareils des employés à l'avance, ce qui entraîne des demandes d'assistance informatiques continues de la part des employés bloqués.
Le RDP présente d'autres vulnérabilités qui ont été techniquement corrigées, mais qui restent graves si elles ne sont pas vérifiées.
L'une des vulnérabilités les plus graves du RDP est dénommée « BlueKeep ». BlueKeep (officiellement classée CVE-2019-0708) est une vulnérabilité qui permet aux personnes malveillantes d'exécuter n'importe quel code sur un ordinateur en envoyant une requête spécialement élaborée à cet effet au bon port (généralement 3389). BlueKeep est « wormable » , ce qui signifie que de futurs exploits peuvent l'utiliser pour répandre des logiciels malveillants à tous les ordinateurs d'un réseau sans aucune action de la part des utilisateurs.
Le meilleur moyen de se défendre contre cette vulnérabilité est de désactiver le RDP, à moins qu'il ne soit indispensable. Le blocage du port 3389 à l'aide d'un pare-feu peut également être une solution. Enfin, Microsoft a publié un correctif qui corrige cette vulnérabilité en 2019, et il est essentiel que les administrateurs système l'installent.
Comme tout autre programme ou protocole, RDP présente également plusieurs autres vulnérabilités. La plupart d'entre elles peuvent être éliminées en utilisant toujours la toute dernière version du protocole. Les fournisseurs corrigent généralement les vulnérabilités dans chaque nouvelle version de logiciel qu'ils mettent sur le marché.
Pour simplifier et sécuriser l'accès au RDP, Cloudflare a développé un proxy RDP rapide qui comprend des contrôles de sécurité Zero Trust de notre plateforme SASE. Cloudflare propose désormais un service d'accès RDP sans client, basé sur navigateur, sans infrastructure ni configuration supplémentaire sur l'appareil client. En savoir plus sur la plateforme SASE de Cloudflare et l'accès RDP.
Le RDP est une norme technique courante qui permet aux particuliers d’utiliser un ordinateur à distance. Les entreprises utilisent fréquemment ce protocole pour permettre aux employés d’accéder à leur ordinateur de bureau tout en travaillant à domicile.
Les deux risques les plus importants sont la faiblesse des identifiants de connexion et l’accès sans restriction au port 3389. Comme de nombreuses organisations ne gèrent pas les mots de passe RDP par le biais de systèmes centralisés, les utilisateurs utilisent souvent des mots de passe simples ou réutilisés qui sont faciles à deviner pour les attaquants. De plus, comme le RDP utilise le port 3389, les attaquants peuvent cibler ce port spécifique pour lancer des attaques ou obtenir une entrée non autorisée.
BlueKeep est une faille de sécurité critique, officiellement désignée CVE-2019-0708, qui permet aux acteurs malveillants d’exécuter du code non autorisé sur un ordinateur en envoyant un type de requête spécifique à son port RDP. Cette vulnérabilité présente des similitudes avec les vers dans la mesure où elle peut se propager automatiquement sur l’ensemble d’un réseau à d’autres ordinateurs sans l’aide d’un utilisateur.
L’intégration du RDP avec un service SSO permet aux organisations de déplacer l’accès à distance derrière un processus de connexion plus sécurisé. Cela permet aux entreprises d’appliquer des exigences plus strictes en matière de mots de passe et de mettre en œuvre des couches de sécurité supplémentaires, telles que l’authentification à deux facteurs (authentification à deux facteurs), afin de vérifier plus efficacement l’identité d’un utilisateur.
Les entreprises peuvent protéger ce port en utilisant un logiciel de tunnellisation sécurisée, capable de bloquer toutes les requêtes n’empruntant pas un chemin sécurisé désigné. Il existe une autre option qui consiste à configurer des règles de pare-feu qui n’autorisent que le trafic provenant d’adresses IP spécifiques et fiables, cette méthode s’avère toutefois difficile à gérer manuellement pour les grandes équipes.
Cloudflare fournit un proxy RDP rapide qui applique des contrôles de sécurité Zero Trust à chaque connexion. En utilisant des outils tels que Cloudflare Access et des tunnels sécurisés, les entreprises peuvent masquer leurs ressources RDP de l’Internet public et faire en sorte que seuls les utilisateurs authentifiés disposant des autorisations appropriées puissent y accéder.