Travailler à domicile: RDP et l'accès à distance sécurisé

L'accès à distance aux ordinateurs de bureau de vos serveurs ou postes de travail est un excellent moyen de les gérer. C'est aussi une cible de choix pour les pirates informatiques.

Par exemple, si les pirates peuvent accéder à la connexion de l'administrateur à votre contrôleur de domaine, ils possèdent effectivement votre infrastructure Windows et peuvent rapidement faire des ravages dans votre organisation. Qu'il s'agisse d'envoyer des courriers électroniques d'entreprise aux services comptables et aux comptables, de détourner la propriété intellectuelle de votre entreprise ou de chiffrer tous les fichiers de votre entreprise dans le cadre d’attaques de rançongiciel, les pirates informatiques qui utilisent le protocole RDP (Remote Desktop Protocol) peuvent être très dangereux.

Dans ce contexte et pour simplifier, nous utiliserons « RDP » pour désigner toutes sortes de logiciels de bureau à distance et d'accès à distance, y compris VNC, PC Anywhere, TeamViewer etc., et pas seulement le RDP de Microsoft. Bonne nouvelle : il existe de nombreux moyens de défense contre les attaques RDP, à commencer par la désactivation. Si vous n'avez pas vraiment besoin d'un accès à distance, la solution la plus simple est de simplement bloquer cette fonctionnalité.

Si vous devez autoriser cet accès, il y a plusieurs moyens à votre disposition afin de le restreindre aux utilisateurs légitimes :

Tout d'abord, n'autorisez l'accès qu'à partir d'adresses IP internes provenant du serveur VPN de votre entreprise. Cette solution présente l'avantage supplémentaire de ne pas exposer les ports de connexion RDP à l'internet public.

À propos d'exposition des ports, si c'est votre seul choix, vous pouvez utiliser un numéro de port non standard pour éviter que des vers simplistes n'attaquent votre réseau par l'intermédiaire de ses ports RDP. Gardez cependant à l'esprit que la plupart des scanners de réseau vérifient tous les ports pour l'activité RDP, ce qui doit être considéré comme une « sécurité par l'obscurité », car cela ne fournit pratiquement aucune sécurité supplémentaire contre des attaquants modestement sophistiqués. Vous devrez être extrêmement vigilant en examinant les activités d'accès au réseau et de connexion dans les journaux de votre serveur RDP, car il s'agit plutôt de savoir quand et non pas si un attaquant accède à votre réseau.

LECTURES CONNEXES : COVID 19 et l'âge d'or du télétravail

Deuxièmement, assurez-vous d'activer l'authentification multi-facteur (MFA) comme autre couche d'authentification pour les utilisateurs à distance. Nous avons couvert plus en profondeur ce sujet dans notre récent article Travail à domicile : Améliorez votre sécurité grâce à l'AMF.

Troisièmement, dans la mesure du possible, n'autorisez les connexions RDP entrantes qu'à partir des adresses IP publiques de vos utilisateurs. Le moyen le plus simple pour les employés à distance de rechercher leur adresse IP publique est d’effectuer la recherche suivant dans Google : What is my IP address (ce qui signifie : Quelle est mon adresse IP). Le premier résultat sera leur adresse IP. Ensuite, vos travailleurs à distance peuvent fournir cette information à votre personnel de sécurité informatique afin que votre entreprise ou organisation puisse établir une liste blanche des adresses IP autorisées. Il est également possible d'établir une liste blanche d'adresses IP autorisées en autorisant leur sous-réseau, car les adresses IP domestiques dynamiques devraient normalement toujours faire partie d'un sous-réseau après un redémarrage du routeur ou une autre maintenance du réseau du côté client.

Même si vous sécurisez votre accès RDP, il a récemment fait l'objet d'une série d'exploits, alors pour éviter les problèmes, assurez-vous que l’ensemble des correctifs et mises-à-jour sont faites. Pour plus d'informations sur la sécurisation de RDP, consultez l’article It’s time to disconnect RDP from the internet.