Attaques RDP

Le RDP ou bureau à distance est un protocole massivement utilisé par les entreprises pour permettre à leurs collaborateurs d’accéder aux ressources internes à distance. Récemment, la pandémie de Covid 19 et les mesures sanitaires associées, ont conduit de nombreuses organisations à utiliser le protocole RDP. Dans l’urgence, elles ont parfois sacrifié à la sécurisation que requièrent ces accès distants, ce qui a eu des conséquences lourdes en matière de cybersécurité et explique d’ailleurs partiellement l’explosion des attaques cyber depuis plusieurs mois. Les cyberattaquants y ont en effet vu une opportunité unique d’accéder aux réseaux des entreprises utilisatrices du protocole.

 

Pour mener leurs attaques via RDP, les cyberattaquants ont plusieurs possibilités. Le protocole reposant sur une authentification identifiant/mot de passe basique, certains n’hésitent pas à récupérer d’éventuels mails professionnels et à tenter de craquer le mot de passe par bruteforce, ce qui s’avère payant dans de nombreux cas en raison de mot de passe trop peu sécurisés.

 

De plus, le port utilisé par RDP étant généralement toujours le même, le 3389, une entreprise qui n’aurait pas sécurisé ce port avec un pare-feu se retrouve très exposée. En effet, il est important pour elle de bloquer les connexions et requêtes non-autorisées sur ce port pour éviter que des cyberattaquants ne l’exploitent.

 

Enfin, quelques attaques via RDP ont été rendues possibles grâce à des failles 0-day. Bien que rares, ces dernières représentent un véritable danger pour les organismes utilisant le protocole et à l’inverse des deux autres chemins d’attaques présentés, celui-ci ne résulte pas d’une faille ou erreur humaine des utilisateurs et administrateurs. Pour en apprendre plus, n’hésitez pas à consulter notre post dédié à ce sujet !