Logo IS Decisions

Sécuriser les connexions Remote Desktop Protocol (RDP) avec la MFA et les contrôles d’accès RDP d’UserLock

Lorsqu’il s’agit de réduire le risque lié à l’utilisation du protocole Remote Desktop Protocol (RDP), l’authentification multifacteur (MFA) est incontournable. Découvrez comment sécuriser les accès RDP à l’aide de la MFA et des contrôles d’accès RDP de UserLock.

Publié le 23 mai 2024
Secure RDP with UserLock MFA and access controls

Le protocole Remote Desktop Protocol (RDP) a été créé par Microsoft dans les années 1990 pour aider les administrateurs Windows à contrôler et administrer leurs PC à l’aide d’une interface graphique sans avoir à interagir physiquement avec les machines. La MFA RDP garantit que seules les personnes autorisées accèdent à ces connexions vulnérables. Apprenez à sécuriser vos connexions RDP avec la MFA et les contrôles d’accès de UserLock.

Qu’est-ce que le protocole RDP ?

Lorsque les réseaux locaux (LAN) Windows se sont démocratisés dans le monde de l’entreprise, il est rapidement devenu essentiel de pouvoir se connecter ou gérer à distance les PC situés à un autre étage.

Plusieurs raisons ont contribué à la démocratisation du protocole RDP pour les tâches d’administration à distance. Au commencement était la plateforme Windows, omniprésente. Puis, au début des années 2000, Internet et les connexions haut débit se sont invités dans le monde de l’entreprise. Très vite, il est devenu possible de contrôler un ordinateur Windows non seulement depuis un autre point du réseau, mais de n’importe où dans le monde.

Pendant longtemps, le protocole RDP était majoritairement utilisé par les administrateurs. Ces derniers peuvent utiliser un client RDP pour se connecter à un PC ou un serveur distant et contrôler la souris et le clavier comme s’ils se trouvaient devant la machine.

Récemment, l’accélération du télétravail a exacerbé le recours au protocole RDP (et aux VPN), puisque les effectifs en télétravail peuvent se connecter aux ressources de l’entreprise à distance via RDP. Le protocole RDP est également essentiel pour les pratiques BYOD, qui permet aux collaborateurs de se connecter aux fichiers, aux ressources et aux logiciels de l’entreprise depuis leur propre appareil.

Quelles sont les vulnérabilités du protocole RDP ?

Malheureusement, comme nous l’expliquons ci-dessous, cette capacité à se connecter à un ordinateur depuis n’importe quel point du globe étend votre surface d’attaque et transforme le protocole RDP en risque majeur.

Aujourd’hui, toutes les organisations qui utilisent Windows exécutent le protocole RDP quelque part sur leur réseau, en parallèle d’applications d’accès à distance non-RDP. Toutefois, cette omniprésence et le risque d’erreur de configuration des accès distants font du protocole RDP une cible privilégiée des hackers, qui l’exploitent couramment pour se déplacer latéralement.

Le protocole relie un client, l’ordinateur à l’origine de la connexion, à un serveur, la machine de destination. Les deux machines sont exposées l’une à l’autre, même si une attaque « inversée » provenant du serveur est beaucoup plus dangereuse, puisqu’elle peut potentiellement infecter chacun des clients RDP qui se connectent à lui.

Au-delà des vulnérabilités de sécurité non corrigées au niveau du logiciel RDP à proprement parler, les vulnérabilités les plus importantes liées au protocole sont les suivantes :

  • Absence de restrictions sur l’accès aux ports : les connexions RDP peuvent être laissées exposées à Internet sur un port par défaut que les hackers peuvent facilement trouver à l’aide d’outils automatisés. Si des ports RDP sont laissés ouverts, ou même s’ils sont simplement exposés au reste du réseau et que des attaquants peuvent s’en servir pour se déplacer latéralement, ils posent un risque énorme.

  • Identifiants de connexion faibles : souvent, l’accès RDP est uniquement sécurisé par des identifiants Windows faibles, et donc vulnérables aux attaques par force brute ou de phishing.

  • Connexions RDP mal sécurisées : lorsque des connexions RDP sont laissées dans un état mal sécurisé, la situation a tendance à empirer au fil du temps. On les oublie, ce qui crée autant de points d’entrée invisibles.

Les attaques RDP sont-elles fréquentes ?

Une étude Sophos publiée en 2024 fait la lumière sur la popularité du protocole RDP auprès des cybercriminels : elle estime que le protocole RDP a joué un rôle dans 90 % des attaques subies par un échantillon des clients de l’entreprise. Lorsque les attaquants sont parvenus à ouvrir une faille dans un réseau, le point d’entrée initial était dans 65 % des cas une connexion RDP.

Comment les attaquants exploitent les connexions RDP

L’une des vulnérabilités RDP les plus connues s’appelle « BlueKeep » (CVE-2019-0708) ; elle est présente dans d’anciennes versions des services de bureau distant (RDS) de Microsoft, qui servent à mettre en œuvre RDP dans Windows. Même si les chercheurs ont rapidement publié des annonces sur cette vulnérabilité, les cybercriminels n’ont pas perdu de temps pour l’exploiter dans le cadre d’attaques réelles.

Autre type de menace exploitant régulièrement les faiblesses du protocole : les ransomwares. À tel point que certains experts de la sécurité surnomment le protocole RDP Ransomware Distribution Protocol, « protocole de distribution de ransomware ».

Un exemple : dans l’entreprise du secteur médical LabCorp, en 2018, le ransomware SamSam aurait infecté 7 000 systèmes et 1 900 serveurs en l’espace de 50 minutes après une attaque par force brute sur des identifiants RDP.

Comment sécuriser les connexions RDP ?

La réponse est simple : multiplier et améliorer les mesures de sécurité. Les mots de passe peuvent être forcés ou volés, on ne peut donc se contenter d’utiliser des mots de passe forts. Voici quelques façons de sécuriser les connexions RDP :

1. Limiter le nombre de ports ouverts

Évitez d’exposer les connexions RDP à Internet Si vous ne pouvez pas faire autrement, assurez-vous de changer le port par défaut et implémentez l’authentification multifacteur (MFA) pour le bureau distant.

2. Activer la MFA pour RDP

Même si renforcer la gestion des mots de passe contribue à la sécurité des connexions RDP, des mots de passe forts ne suffisent pas et sont relativement faciles à pirater. Il est vital d’ajouter une couche de sécurité supplémentaire grâce à l’authentificat

ion à deux facteurs (2FA) pour les connexions RDP. Souvent requise par les polices d’assurance cyber et les exigences de conformité, cette bonne pratique protège les identifiants associés à ces connexions vulnérables.

Quelle que soit la méthode de MFA choisie, l’implémentation de la MFA pour RDP complique la tâche des attaquants, même déterminés. Immédiatement, la première voie d’accès non autorisée aux connexions RDP, le vol d’identifiants, est neutralisée.

La mise en œuvre de la MFA pour les connexions RDP de UserLock ajoute cette couche de sécurité supplémentaire. Elle réduit la capacité des attaquants à exploiter les connexions RDP à l’aide d’identifiants volés ou obtenus par force brute. Pour ce faire, UserLock s’intègre à l’environnement AD sur site existant de l’entreprise. Aucun logiciel supplémentaire à ajouter ou à synchroniser, vous pouvez installer et appliquer rapidement la MFA à vos connexions RDP.

Grâce à UserLock, les administrateurs peuvent proposer deux méthodes de MFA pour le RDP Windows parmi les options suivantes : notifications push, applications d’authentification ou dispositifs d’authentification physiques. Vous ne pouvez pas enregistrer les jetons via RDP, mais si le jeton a déjà été enrôlé par ailleurs, vous pouvez l’utiliser via RDP.

Cette flexibilité permet à vos équipes d’adapter la méthode de MFA aux circonstances du collaborateur concerné. Par exemple, beaucoup de nos clients fournissent une clé ou un jeton de sécurité à leurs utilisateurs finaux. Cette méthode de MFA pour RDP particulièrement sûre sert à s’authentifier sur les connexions à distance vulnérables comme RDP.

Il faut également veiller à ne pas négliger l’expérience utilisateur, et mettre en place la MFA RDP uniquement là où elle est nécessaire afin d’éviter de nuire à la productivité.

Cette granularité au niveau de l’application de la MFA pour le protocole RDP et la capacité d’authentifier les dispositifs permet aux administrateurs d’éviter MFA fatigue. Avec UserLock, vous pouvez appliquer la MFA de façon granulaire selon différents critères :

  • Structures AD existantes : appliquez la MFA en fonction de l’utilisateur, du groupe ou de l’unité d’organisation (UO).

  • Facteurs contextuels : appliquez la MFA sur toutes les sessions distantes, ou uniquement sur les sessions distantes provenant de l’extérieur du réseau, par exemple.

  • Type de connexion : appliquez l’authentification multifacteur aux connexions RDP là où vous en avez réellement besoin : sur la connexion RDP ou la session IIS, par exemple.

  • Fréquence : Choisissez d’appliquer la MFA à chaque tentative de connexion, à la première connexion de la journée, ou encore tous les n jours/heures/minutes.

3. Limitez l’accès RDP à l’aide des restrictions contextuelles et basées sur les rôles

La mise en œuvre de la MFA ne constitue toutefois qu’une pièce du puzzle. Les contrôles d’accès, qui limitent les accès avant et après l’authentification, sont essentiels pour éviter de gêner les utilisateurs et favoriser la conformité.

Les contrôles d’accès vous permettent de limiter les accès RDP en fonction des circonstances ou du rôle de l’utilisateur.

UserLock donne la possibilité aux administrateurs de mettre en œuvre des contrôles d’accès pour RDP en employant différents critères :

  • Contrôle d’accès basé sur les rôles (RBAC) : limitez l’accès en fonction de l’utilisateur, du groupe ou de l’UO AD

  • Facteurs contextuels :  Autorisez, refusez ou restreignez l’accès réseau d’un utilisateur en fonction de facteurs contextuels comme la géolocalisation, l’heure et le type de session. Vous pouvez aussi définir les machines autorisées à établir des connexions RDP.

  • Limites de sessions simultanées : définissez une limite pour le nombre de sessions RDP simultanées pouvant être établies par un utilisateur donné.

4. Surveillez les sessions RDP et bloquez les comptes à l’activité suspecte

Assurez-vous que vous disposez d’une bonne visibilité sur toutes les machines de votre environnement et sur les conditions d’utilisation de RDP (quand et comment). Vous devez être en mesure de bloquer les sessions RDP en réaction à une activité suspecte, même après authentification de l’utilisateur.

La gestion des sessions Windows de UserLock vous aide à surveiller qui se connecte, à quel moment et sur quel type de connexion. De même, vous pouvez configurer des alertes en temps réel dans UserLock, et les administrateurs peuvent directement déconnecter les sessions suspectes à partir de la console.

UserLock enregistre les événements d’accès, de MFA RDP, ainsi que l’historique des sessions au sein d’une base d’audit centralisée facilement consultable. Vous disposez ainsi de toutes les clés pour identifier et réagir rapidement aux accès inhabituels ou sessions simultanées suspectes.

5. Auditez et générez des rapports sur l’activité RDP

À cause du risque, la plupart des standards de conformité imposent le recours à l’authentification et aux contrôles d’accès sur les connexions distantes, dont RDP.

UserLock assure et prouve votre conformité aux principaux standards et réglementations grâce à l’audit simple et précis des rapports sur les connexions d’utilisateurs et les sessions Windows sur les connexions distantes comme RDP.

Sécurisez les connexions RDP avec la MFA et les contrôles d’accès RDP UserLock

Les vulnérabilités du protocole RDP mettent en lumière les difficultés auxquelles les entreprises sont confrontées lorsqu’il s’agit de les sécuriser. À ce problème s’ajoute l’omniprésence de ce protocole, de plus en plus utilisé par les entreprises pour les connexions mobiles et le télétravail. Cela signifie que le protocole RDP est un outil essentiel à la panoplie de tous les administrateurs, même si les risques qu’il pose sont bien réels (et souvent sous-estimés).

Grâce à la MFA et aux contrôles d’accès RDP proposés par UserLock, vous pouvez protéger vos connexions RDP à l’aide de la MFA et réduire considérablement les risques liés au protocole RDP.

XFacebookLinkedIn

Essayez UserLock gratuitement

Plus de 3400 organisations comme la vôtre utilisent UserLock pour sécuriser les accès des identités Active Directory et répondre aux exigences de conformité.

Télécharger une version d'essai gratuite