Recrudescence des attaques par force brute sur RDP

L’équipe WeLiveSecurity de l’éditeur de solutions de sécurité ESET a récemment publié un article relatant la recrudescence d’attaques par force brute contre des accès distants ces derniers mois, notamment les accès RDP (Remote Desktop Protocol). 

La crise liée au COVID-19 a incité un grand nombre d’entreprises à utiliser massivement le télétravail avec des accès distants aux différents outils nécessaires à la continuité d’activité. Cependant, ces accès sont souvent mal protégés et certains employés peu ou non sensibilisés aux risques cyber peuvent utiliser des mots de passe faibles et facilement cassables. A cause de cela, les attaques par force brute contre les accès distants tels que RDP ont connu un regain de popularité avec environ deux fois plus d’attaques de ce type entre mars et mai 2020 que entre décembre 2019 et février 2020 selon les données recueillies par ESET. 

fig1

Il est donc indispensable de protéger au mieux les accès distants afin d’éviter de multiples attaques et intrusions. Pour cela plusieurs recommandations sont proposées par WeLiveSecurity :

  • Désactiver tout accès RDP depuis internet. Si cela est impossible, limiter le nombre d’utilisateurs autorisés à se connecter depuis internet.

  • Exiger des mots de passe forts pour toute authentification RDP

  • Utiliser une authentification à multiples facteurs

  • Utiliser un VPN pour tout accès depuis un réseau extérieur à l’entreprise

  • Configurer le pare-feu pour empêcher toute connexion externe vers les machines locales sur le port 3389 ou tout autre port RDP

  • Isoler et remplacer toute machine non sécurisée ou obsolète qui doit être accessible depuis internet via RDP

Pour rappel, les conséquences d’une attaque par force brute sur des accès distants ne se limitent pas qu’au chiffrement et vol de données. Les attaquants peuvent aussi créer une porte dérobée (backdoor) afin de pouvoir accéder au réseau à leur guise, changer ou supprimer des journaux d’événements afin d’effacer les traces de leur passage, injecter des maliciels sur le réseau ou encore supprimer des copies de sauvegarde.

L’intérêt des groupes d’attaquants pour les accès RDP ou tout autre accès distant ne date pas d’hier et remonte à plusieurs années déjà, cependant le contexte actuel a renforcé leur attrait pour ce type d’attaque. Alors qu’elles sont déjà fragilisées par la crise du COVID-19, les entreprises et organisations ne peuvent pas se permettre de subir une attaque informatique qui pourrait compromettre leur avenir immédiat. La sécurisation des accès distants est donc un point extrêmement important à régler au plus vite.

Pour plus d’informations, un lien vers l’article d’origine est disponible dans la section Références.