Sensibilisation interne

Ransomwares : part.2 - Les dangers du protocole d’accès à distance RDP

Temps de lecture: 15 minutes

Dans la première partie de cette série, nous avons fourni un aperçu des ransomwares et de leur fonctionnement. Nous nous penchons maintenant de plus près sur les moyens spécifiques utilisés par les opérateurs de ransomwares pour s’infiltrer dans vos systèmes, en commençant par le protocole d’accès à distance RDP.

Lisez les autres articles de la série :

PARTIE  1 : Introduction aux ransomwares 

PARTIE  3 : Ransomwares : Comment fournir une précieuse couche de protection à la messagerie 

PARTIE  4 : Ransomwares : La nécessité de protéger le maillon le plus faible 

PARTIE  5 : Ransomwares : Le jeu du chat et de la souris 

PARTIE  6 : Ransomwares : Comment protéger votre entreprise contre les attaques 

En raison de la pandémie, la proportion de personnes travaillant à domicile a plus que doublé. C’est une tendance qui ne montre aucun signe de ralentissement : plus de la moitié (54 %) des employés déclarent préférer continuer de travailler à domicile, même depuis al fin des confinements.En raison de la pandémie, la proportion de personnes travaillant à domicile a plus que doublé. C’est une tendance qui ne montre aucun signe de ralentissement : plus de la moitié (54 %) des employés déclarent préférer continuer de travailler à domicile, même depuis al fin des confinements.

Pourtant, si cela est malheureusement devenu une nécessité pendant la pandémie, les employés télétravaillant et utilisant des outils d’accès à distance comme le protocole RDP pour accéder aux données de l’entreprise courent un risque élevé. Entre mai et août 2021, ESET a détecté 55 milliards de nouvelles attaques par force brute contre des réseaux utilisant des accès RDP ouverts au public. Ce chiffre représente une augmentation de 104 % par rapport à la période de janvier à avril, ou encore six fois le nombre d’attaques entre le premier semestre 2020 et le premier semestre 2021. 

La popularité croissante de RDP 

Le RDP est inclus dans toutes les versions de Microsoft Windows depuis Windows XP. Sa popularité a toutefois considérablement augmenté pendant la pandémie, car il permet aux employés contraints de travailler à domicile d’accéder à distance aux serveurs de l’entreprise via leur ordinateur portable, téléphone et tablette. S’il est indéniablement utile pour permettre l’accès à distance aux systèmes de l’entreprise, le RDP est devenu un vecteur d’attaque pour des acteurs mal intentionnés :

  • Les systèmes RDP vulnérables sont faciles à trouver 
  • Des pirates peuvent facilement prendre pied sur des systèmes RDP mal configurés pour y implanter des ransomwares
  • De nombreux systèmes RDP ne sont pas suffisamment sécurisés et des attaquants peuvent exploiter le port 3389, qui est couramment utilisé par défaut pour la connexion RDP
  • Les outils et les techniques d’escalade de privilèges et d’obtention de droits d’administration sur des systèmes RDP compromis sont largement connus et disponibles

Une double responsabilité

L’augmentation du nombre d’attaques de ransomwares via RDP montre à quel point de bonnes pratiques de sécurité sont essentielles lors de la configuration et de l’utilisation d’outils de collaboration et d’autres systèmes d’entreprise. Il ne faut pas oublier que la sécurité est une double responsabilité au sein de l’entreprise ; d’abord pour les administrateurs informatiques qui fixent les règles et surveillent les activités, et ensuite pour tout le personnel qui utilise les outils. Qu’ils le veuillent ou non, tous les membres du personnel, aussi bien les consultants que le PDG, qui utilisent des outils tels que RDP pour effectuer leur travail à distance, ont un rôle à jouer dans la sécurisation de leur environnement. Ce n’est pas quelque chose à prendre à la légère.

Pour défendre des systèmes utilisant le RDP contre les accès non autorisés, les entreprises devraient :

  • Mettre en place des politiques pour assurer la sécurité de l’accès à distance, par exemple en exigeant que l’accès RDP se fasse uniquement via un réseau privé virtuel (VPN) ou à l’aide d’une authentification multifacteur (MFA)
  • Veillez à ce que tout le monde respecte les règles, tout en vous préparant à l’éventualité de la réussite d’une attaque en dépit de ces règles
  • N’autorisez pas le personnel à connecter un serveur utilisant RDP à la fois au réseau de l’entreprise et à Internet tant qu’il n’est pas configuré de manière sécurisée
  • Faites l’inventaire de toutes les ressources connectées à Internet et déterminez celles qui nécessitent un accès à distance. Si l’accès est véritablement nécessaire, exigez des mots de passe longs et insistez pour que l’accès se fasse uniquement à l’aide d’un VPN sécurisé
  • Durcissez et corrigez tous les appareils accessibles à distance. Assurez-vous que tous les services et composants non essentiels aient été supprimés ou désactivés, et que les paramètres soient configurés pour une sécurité maximale.

Un niveau de protection est nécessaire

Le RDP est devenu un élément essentiel du lieu de travail hybride d’aujourd’hui. Toutefois, il a ouvert la voie aux cybercriminels qui souhaitent s’infiltrer dans les systèmes des entreprises pour y implanter des ransomwares. Des compétences approfondies en matière d’administration informatique, des paramètres système correctement configurés et une culture de la sécurité renforcée sont autant d’éléments essentiels pour répondre aux exigences de sécurité liées au travail hybride et à la forte augmentation des plateformes de collaboration et de productivité telles que le RDP.

Tout cela doit s’appuyer sur des solutions de cybersécurité robustes et primées qui protègent les endpoints, les données et les utilisateurs de votre entreprise.

Bannière faisant référence à la solution de sécurité avancée ESET PROTECT

Lire plus