Les tentatives d'attaques contre les accès à distance ont explosé
Les attaques par force brute contre les serveurs RDP (Remote Desktop Protocol) ont nettement augmenté depuis le début des mesures de confinement et le bon du télétravail. Alors que ce vecteur est privilégié pour les attaques par ransomware, les entreprises ont intérêt à blinder leur accès à distance en prenant un certain nombre de précautions.
Le recours accru au télétravail dans le cadre de la lutte contre la propagation du Covid-19 est une aubaine pour les cybercriminels. Preuve en est la très nette augmentation des attaques par force brute à l’encontre des systèmes d'accès à distance. Un récent rapport de Kaspersky se focalise sur les assauts ciblant les serveurs RDP (Remote Desktop Protocol), le protocole propriétaire d’accès à distance de Microsoft. Les données montrent un bon impressionnant de ce type d’attaques dans plusieurs pays dès le début des mesures de confinement. En France par exemple, leur nombre est passé de 182’325 le 9 mars à 872’130 le 11 mars, date du début du confinement de la population et de l’adoption du travail à domicile par beaucoup d’employés. Mi-avril, la fréquence des attaques par force brute avait baissé légèrement mais était toujours bien plus élevée qu’avant la crise sanitaire.
L'utilisation du RDP a augmenté de 41%
La connexion à un serveur RDP nécessite un nom d'utilisateur et un mot de passe. Une attaque par force brute consiste à forcer l’accès en testant tous les identifiants possibles, en se basant sur des combinaisons de caractères aléatoires ou sur un dictionnaire de mots de passe populaires ou compromis. Selon le service d’indexation Shodan, l'utilisation du RDP a augmenté de 41% depuis le début de la pandémie. «Les attaquants par force brute ne sont pas chirurgicaux dans leur approche, mais opèrent par zone. Pour autant que l'on puisse dire, suite au passage massif au travail à domicile, ils ont logiquement conclu que le nombre de serveurs RDP mal configurés allait augmenter, d'où la hausse du nombre d'attaques», explique Kaspersky.
Le vecteur privilégié des attaques par ransomware
En parvenant à trouver les identifiants RDP, les cybercriminels accèdent alors à l'ordinateur cible. Selon un rapport de Coveware, il s’agit du vecteur privilégié pour l’installation d’un rançongiciel (en particulier Phobos), nettement devant le phishing et l’exploitation de failles dans les logiciels. Un attrait qui s’explique notamment par le prix des identifiants RDP, qui peuvent se trouver sur le dark web dès 20 dollars.
Que faire pour se protéger?
Des serveurs RDP déployés à la hâte et mal sécurisés sont donc une mine d’or potentiel pour les cyberpirates. Pour les contrer, il convient de prendre un certain nombre de mesures listées par Kaspersky:
a minima, utiliser des mots de passe forts
rendre le RDP accessible uniquement via un VPN d'entreprise
utiliser l'authentification au niveau du réseau (NLA)
activer si possible l'authentification à deux facteurs
désactiver le RDP et fermer le port 3389 si le RDP n’est pas utilisé
utiliser une solution de sécurité fiable
Microsoft a également publié récemment des recommandations de sécurité pour les accès à distance >> Security guidance for remote desktop adoption