Le travail à domicile est devenu la norme pour de nombreuses entreprises. Il a modifié le profil des logiciels et des services sur lesquels l’entreprise moyenne doit s’appuyer et, alors que de nombreuses sociétés utilisaient déjà le Protocole de Bureau à Distance (RDP) et les solutions de Réseau Privé Virtuel (VPN), ces services sont devenus des piliers permettant aux employés d’accéder aux données et aux services de l’entreprise en dehors du périmètre traditionnel du réseau. Inévitablement, cela a conduit les pirates à augmenter considérablement leurs attaques contre les services RDP, VPN et autres services d’accès à distance.
Le RDP est déjà l’un des services les plus attaqués sur Internet, mais nous soupçonnons que de nouvelles entreprises l’utilisent soudainement plus comme un moyen de donner aux employés travaillant à domicile l’accès aux appareils de l’entreprise. Bien que nous pensions que vous ne devriez utiliser un RDP qu’avec un VPN, beaucoup choisissent de l’activer seul, s’offrant ainsi pour cible aux pirates. De plus, les cybercriminels savent que les télétravailleurs utilisent souvent le VPN. Bien que le VPN leur offre une certaine sécurité, les hackers réalisent que s’ils peuvent accéder à un VPN, ils ont une porte grande ouverte sur votre réseau d’entreprise. En utilisant des informations d’identification volées, des exploits et un bon forçage brutal à l’ancienne, nous pensons que les attaques contre les serveurs RDP, VPN et de connexion à distance doubleront en 2021.
Alors, comment comprendre et prévenir les attaques ?
Le protocole RDP (Remote Desktop Protocol) est l’un des outils les plus utilisés, qui a permis la migration massive vers le télétravail au début de la pandémie.
Qui dit migration massive dit augmentation massive des cyberattaques, d’autant plus que ce type d’accès à distance est particulièrement vulnérable aux ransomwares.
Un des moyens les plus simples de sécuriser les accès de type RDP est d’obliger les utilisateurs à passer par une connexion VPN et des stratégies d’authentification multi facteurs.
Cette étape est primordiale. Pour preuve, la mise en place de RDP dans la précipitation au début de la pandémie n’a pas laissé de temps pour installer toutes les couches de sécurité nécessaires à un télétravail serein. Résultat, le nombre de port RDP exposés sur internet a grimpé en flèche, passant de 3 millions en janvier 2020 à 4,5 millions en mars ! Une autre étude a dénombré 145 000 attaques par force brute le 8 mars et 872 000 le 11 mars uniquement en France !
Bonnes pratiques à mettre en place pour atténuer les risques d’attaques
- Bloquez les accès RDP aux ressources non indispensables.
- Assurez-vous que les accès RDP sont désactivés sur les appareils qui n’en ont pas besoin.
- Utilisez RDP conjointement avec un VPN et une solution d’authentification multi facteurs.
- Verrouillez les comptes dont les tentatives de connexion ont échoué en trop grand nombre (paramètres à régler via GPO)
- Identifiez les adresses IP à l’origine de ces échecs de connexion les bloquez-les dans le firewall Windows (cette opération peut être automatisée avec des solutions spécifiques)
- Réduisez le nombre d’administrateurs locaux afin de les rendre uniques et identifiables, et limitez le nombre d’utilisateurs qui peuvent se connecter avec le RDP.
- Mettez en place un plan de sauvegarde et de récupération en cas de sinistre.