Alors que de plus en plus d’organisations s’orientent vers le travail à distance, les équipes distribuées et les environnements connectés au cloud, les solutions d’accès à distance sont devenues des outils indispensables pour permettre la flexibilité de la main-d’œuvre.
Cependant, si l’essor de l’accès à distance constitue un excellent progrès technologique, il a créé davantage de points d’accès et d’opportunités pour les attaquants.
Aujourd’hui, les attaques par accès à distance et l’exploitation du protocole Remote Desktop (RDP) restent parmi les méthodes d’accès initial les plus utilisées par les groupes de ransomware et les cybercriminels.
Une tendance positive ? Nous disposons aujourd’hui de rapports plus détaillés que jamais. Les fournisseurs de solutions de sécurité, les équipes de RI et les organes de presse publient fréquemment des analyses d’incidents qui montrent précisément comment les attaquants obtiennent un accès, quels sont les outils d’accès à distance qu’ils utilisent et comment ils escaladent les privilèges.
Pour les organisations désireuses d’y prêter attention, ce niveau de transparence offre deux avantages majeurs :
- Vous voyez exactement comment les vulnérabilités de l’accès à distance sont exploitées.
- Vous voyez ce qui doit changer dans votre environnement pour réduire les risques.
Dans ce guide, nous examinons les vulnérabilités d’accès à distance les plus courantes, la façon dont les attaquants les exploitent et les mesures spécifiques que vous pouvez prendre pour sécuriser votre environnement et prévenir les attaques de ransomware basées sur RDP.
Vulnérabilités courantes en matière d’accès à distance
Les vulnérabilités liées à l’accès à distance constituent l’épine dorsale de nombreuses cyberattaques réussies. Elles permettent aux pirates d’infiltrer votre réseau, de voler des données ou de déployer des logiciels malveillants.
À mesure que le travail à distance se développe dans le monde, les risques liés à l’accès à distance augmentent. Selon le Forum économique mondial, le nombre d’emplois numériques dans le monde devrait augmenter de 25 % d’ici à 2030, ce qui ajoutera des millions de nouveaux terminaux distants qui pourraient devenir des points d’entrée potentiels pour les attaquants.
Cela souligne l’importance de comprendre ces vulnérabilités pour renforcer votre posture de sécurité et prévenir les brèches potentielles.
Nous abordons ci-dessous les vulnérabilités les plus courantes en matière d’accès à distance auxquelles les organisations sont confrontées aujourd’hui :
Manque d’information et de visibilité
De nombreuses organisations ne disposent pas d’une visibilité et d’une compréhension complètes des systèmes d’accès à distance, tels que les configurations VPN, les paramètres RDP et les contrôles d’accès tiers.
Sans un inventaire clair des outils d’accès à distance et des points d’extrémité, il est facile de commettre des erreurs de configuration. Ces lacunes dans les connaissances peuvent conduire à :
- VPN et pare-feu mal configurés
- Exposition accidentelle de données sensibles
- Des utilisateurs non autorisés accèdent au système via des dispositifs mal sécurisés.
En outre, les travailleurs à distance peuvent se connecter à leur insu à un Wi-Fi public non sécurisé, ce qui augmente le risque d’attaques de type « man-in-the-middle ».
Partage de mots de passe et identifiants faibles
Le partage des mots de passe est une pratique courante mais dangereuse. Lorsque les salariés partagent leurs identifiants, en particulier pour les systèmes d’accès à distance, le suivi de la responsabilité devient difficile.
Les mots de passe réutilisés ou faibles rendent les systèmes vulnérables aux attaques par force brute ou au bourrage d’informations d’identification. En outre, lorsqu’un employé quitte l’entreprise, le fait de ne pas modifier les mots de passe partagés peut laisser les systèmes ouverts à l’exploitation longtemps après le départ de l’employé.
Logiciels non sécurisés ou obsolètes
Les rançongiciels et autres types de logiciels malveillants exploitent les logiciels non corrigés. De nombreuses organisations continuent d’utiliser des logiciels RDP, des clients VPN ou d’autres systèmes d’accès à distance obsolètes, qui sont des cibles connues des cybercriminels. Les vulnérabilités de ces systèmes :
- Permettre la diffusion de logiciels malveillants par le biais d’exploits non corrigés
- Permettre l’exécution de code à distance par des attaquants
- Fournir un accès détourné aux données et systèmes sensibles
De nombreux éditeurs de logiciels publient régulièrement des correctifs pour remédier à ces vulnérabilités, mais le fait de ne pas appliquer les mises à jour laisse les systèmes exposés. Les logiciels tiers, les plugins ou les extensions obsolètes ou non sécurisés peuvent également constituer des points d’entrée involontaires.
Utilisation de dispositifs personnels pour le travail à distance
Les dispositifs personnels, ceux qui ne sont pas gérés par le service informatique de l’organisation, présentent un risque important lorsqu’ils sont utilisés pour le travail. Les salariés peuvent se connecter à partir de :
- Dispositifs personnels non sécurisés, qui ne disposent pas de contrôles de sécurité de niveau entreprise.
- Les dispositifs qui ne respectent pas les politiques de sécurité de l’entreprise, comme le chiffrement des terminaux.
- Shadow IT, qui consiste à utiliser des applications ou des services non autorisés dans le cadre du travail
Ces dispositifs peuvent également ne pas bénéficier de mises à jour de sécurité régulières, ce qui rend les organisations vulnérables aux attaques de logiciels malveillants et de ransomwares. Les dispositifs personnels n’ont généralement pas le même niveau de contrôle, de surveillance ou d’authentification que les dispositifs gérés par l’entreprise, ce qui les rend vulnérables aux accès non autorisés.
Gestion inadéquate des correctifs
De nombreuses organisations rencontrent des difficultés pour appliquer les correctifs et mettre à jour les systèmes, en particulier lorsqu’il s’agit d’une infrastructure ancienne ou de ressources informatiques limitées. Les systèmes non corrigés sont des cibles faciles pour les cybercriminels, qui analysent activement les réseaux à la recherche de vulnérabilités. Lorsque les correctifs sont retardés ou manqués :
- Les attaquants peuvent exploiter les vulnérabilités connues des logiciels d’accès à distance
- Des outils d’attaque automatisés peuvent rechercher des dispositifs non corrigés et les compromettre.
- Des codes malveillants peuvent se propager sur le réseau en utilisant ces vulnérabilités comme points d’entrée.
Dans le cas de RDP, les attaquants utilisent souvent des attaques par force brute sur des services vulnérables ou non corrigés pour obtenir l’accès.
Sauvegardes vulnérables
Les sauvegardes sont essentielles pour la récupération en cas de cyberattaque, mais les sauvegardes non sécurisées peuvent également être une cible. Les attaquants recherchent souvent des sauvegardes en nuage exposées ou des données non cryptées, les utilisant comme points d’attaque secondaires. En l’absence de contrôles d’accès et de chiffrement solides, ces sauvegardes peuvent devenir un point d’entrée facile pour le vol de données ou les ransomwares.
Mauvaise hygiène des dispositifs
Négliger les mises à jour régulières des dispositifs et les contrôles de sécurité peut augmenter le risque d’infections par des logiciels malveillants et des ransomwares. Au fil du temps, les dispositifs accumulent des vulnérabilités, qui :
- Augmenter la surface d’attaque des cybercriminels
- Permettre un accès non autorisé si les autorisations ou les certificats de sécurité sont périmés.
- Permettre aux attaquants d’infecter les dispositifs, qui peuvent ensuite être utilisés comme rampes de lancement pour des infiltrations de réseaux plus importantes.
L’hygiène régulière des dispositifs et la mise à jour des logiciels de sécurité sont essentielles pour réduire le risque de failles de sécurité.
Attaques par hameçonnage
Le phishing reste l’une des méthodes les plus répandues pour obtenir un accès non autorisé. Les cybercriminels envoient :
- Des courriels trompeurs qui semblent légitimes: Les attaquants envoient souvent des courriels qui imitent des entreprises, des fournisseurs ou des services internes dignes de confiance. Ces messages peuvent comprendre de fausses factures, des liens de réinitialisation de mot de passe ou des demandes urgentes conçues pour inciter les utilisateurs à cliquer sur des liens malveillants ou à partager des informations sensibles.
- Smishing (hameçonnage par SMS) ou vishing (hameçonnage vocal): Les cybercriminels utilisent également des messages textuels et des appels téléphoniques pour paraître crédibles. Les messages de smishing peuvent contenir des liens vers des sites web frauduleux ou des invites urgentes à « vérifier » votre compte. Dans le cas de l’hameçonnage vocal, les appelants se font passer pour des banques, des services d’assistance informatique ou des agences gouvernementales afin de pousser les victimes à révéler leurs identifiants de connexion, leurs informations financières ou leurs codes de sécurité.
- Faux portails de connexion: Les attaquants mettent en place des pages de connexion ressemblantes pour des services tels que le courrier électronique ou les comptes en ligne. Ces pages imitent fidèlement les marques et les URL réelles, incitant les utilisateurs à saisir leurs noms d’utilisateur et leurs mots de passe, qui sont ensuite volés.
Les attaquants utilisent désormais des tactiques avancées, notamment l’apprentissage automatique, pour concevoir des messages de phishing personnalisés et des usurpations de domaine afin de rendre leurs attaques plus crédibles. Une fois les informations d’identification volées, elles peuvent facilement être utilisées pour accéder à des systèmes d’accès à distance tels que RDP, VPN ou services cloud.
Comment les pirates exploitent les vulnérabilités de l’accès à distance pour accéder
On sait depuis longtemps qu’un pourcentage important d’attaques par ransomware, quelle que soit la variante, commence par des intrusions de type phishing ou liées au bureau à distance.
Le phishing, que nous avons évoqué dans la section précédente, est un point d’entrée évident : lorsqu’il réussit, il permet aux attaquants d’ouvrir une session sur un terminal et d’obtenir des informations d’identification valides. Mais les attaques via le bureau à distance (y compris celles menées au moyen d’outils commerciaux d’accès à distance) offrent le même résultat.
Que les attaquants utilisent des tentatives de force brute – en testant des milliers de mots de passe – ou des informations d’identification volées, achetées ou récoltées lors de brèches antérieures, les attaques basées sur RDP restent tout aussi efficaces et se placent donc au même niveau que le phishing en tant que vecteur d’attaque initial de premier ordre.
Exemples réels d’exploitation de RDP
Un exemple bien documenté concerne MedusaLocker, une variante de ransomware identifiée pour la première fois en 2019 et qui a récemment refait surface au point de susciter un avis conjoint de cybersécurité de la part des agences gouvernementales. Les opérateurs de MedusaLocker ciblent principalement les connexions RDP exposées — parfois publiées intentionnellement pour des raisons de commodité, d’autres fois laissées ouvertes accidentellement. Après avoir obtenu l’accès, ils déploient un ransomware, chiffrent les données critiques et exigent un paiement.
Un autre cas à fort impact, documenté par des chercheurs de Sophos, a révélé comment un groupe utilisant le ransomware LockBit s’est infiltré dans un réseau du gouvernement américain via RDP. Il est choquant de constater que les attaquants ont mené une exploration latérale du réseau pendant cinq mois sans être détectés avant d’initier le déploiement du ransomware.
Comment les attaquants élèvent leurs privilèges et se déplacent latéralement à l’aide de l’accès à distance
Maintenant que vous comprenez comment les attaquants exploitent les vulnérabilités de l’accès à distance pour obtenir un accès, examinons comment ils escaladent et se déplacent latéralement en utilisant l’accès à distance :
Une fois que les attaquants ont obtenu un accès local, la phase logique suivante, selon le cadre ATT&CK de MITRE, est le mouvement latéral. Les mécanismes d’accès à distance (en particulier le RDP interne) sont couramment utilisés de manière abusive au cours de cette phase.
Des données récentes de la société Coveware, spécialisée dans la réponse aux incidents liés aux ransomwares, montrent que le mouvement latéral se produit dans environ 70 % des attaques de ransomwares. Leurs analystes notent que cette phase « consiste principalement à abuser du bureau à distance interne (RDP) après qu’un accès initial a été obtenu. »
En se déplaçant latéralement, les attaquants augmentent les autorisations, accèdent à d’autres points d’extrémité, localisent les données sensibles et positionnent le ransomware pour un impact maximal.
Stratégies efficaces pour prévenir l’utilisation abusive de l’accès à distance lors d’attaques par ransomware
Comme les acteurs de la menace abusent constamment de l’accès à distance à des fins malveillantes, les responsables de l’informatique et de la sécurité doivent prendre des mesures décisives pour réduire les risques. Vous trouverez ci-dessous les mesures les plus efficaces que les organisations peuvent prendre pour prévenir les abus :
Désactiver l’accès à distance accessible depuis l’extérieur
Les attaquants procèdent fréquemment à des forçages d’identifiants sur les ordinateurs de bureau et les serveurs exposés à l’internet public. Même la récente mise à jour de Windows 11 de Microsoft, qui bloque automatiquement les tentatives de force brute RDP, ne permet pas d’atténuer totalement la menace, en particulier lorsque les attaquants ont en main un ensemble d’informations d’identification volées.
Avec 59 % des organisations qui subissent des campagnes de phishing axées sur le vol d’informations d’identification, combinées à la présence de services du Dark Web consacrés à la vente d’informations d’identification, il devrait être évident que de nombreux attaquants ne s’appuient plus sur la force brute pour accéder.
Dans la mesure du possible, éliminez les voies d’accès RDP et autres voies d’accès à distance au niveau du poste de travail qui sont accessibles de l’extérieur.
Envisagez d’arrêter complètement RDP
Pour l’accès à distance aux postes de travail, qu’il soit externe ou interne, Microsoft a pris des mesures pour que ses services RDP soient aussi sûrs que possible. Mais un double problème subsiste :
- Tout d’abord, toutes les organisations ne sécurisent pas le protocole RDP sur tous les terminaux.
- Deuxièmement, même s’il est sécurisé, les gangs de ransomware sont désormais à la recherche d’exploits de type « zero-day » (et sont prêts à payer des sommes à sept chiffres pour les obtenir), et la prévalence de RDP dans presque tous les environnements Microsoft en fait une cible de choix pour les pirates qui cherchent à trouver des moyens de tirer parti des applications « de base » qui sont largement disponibles.
Le passage à des solutions d’accès à distance sécurisées et modernes, avec des contrôles granulaires, peut réduire considérablement votre surface de risque.
Activer l’authentification sécurisée
L’authentification multifactorielle (MFA) reste l’une des défenses les plus efficaces contre les abus d’accès à distance. Le fait d’exiger un deuxième facteur, tel que des cartes à puce, des certificats, des applications d’authentification ou des clés matérielles, rend les mots de passe volés inutiles et empêche l’accès non autorisé même lorsque les informations d’identification sont compromises.
Mettez régulièrement à jour et corrigez les logiciels
Il est essentiel de mettre à jour et de corriger régulièrement tous les outils et logiciels d’accès à distance pour tenir les attaquants à distance. Les systèmes non corrigés constituent une cible de choix pour les cybercriminels, c’est pourquoi il est essentiel de se tenir au courant des mises à jour pour protéger votre réseau.
Sensibilisez et formez les salariés
Investissez dans une formation à la cybersécurité pour sensibiliser aux risques liés à l’accès à distance. La formation de votre personnel aux dangers du phishing et à la gestion des mots de passe contribuera à réduire la probabilité de vol de données d’identification et d’accès non autorisé.
Vous pouvez aussi aimer : VNC vs SSH : Choisir le bon protocole d’accès à distance pour une administration système sécurisée.
Renforcez la sécurité de l’accès à distance avec RealVNC avant qu’il ne soit trop tard
Les stratégies de cybersécurité doivent évoluer en permanence pour refléter le paysage actuel des menaces. C’est précisément pour cette raison que des cadres tels que MITRE ATT&CK existent, afin d’aider les organisations à rester en phase avec la manière dont les attaquants opèrent dans des environnements réels.
L’accès à distance restera une cible de choix pour les groupes de ransomwares tant que les entreprises ne donneront pas la priorité à la configuration en fonction de la sécurité plutôt qu’à la commodité en fonction de la productivité.
En étudiant les schémas d’attaque actuels et en mettant en œuvre les recommandations ci-dessus, les entreprises peuvent renforcer considérablement la sécurité de leur environnement d’accès à distance et réduire leur surface d’attaque interne et externe.
En bref : la sécurisation de l’accès à distance n’est pas facultative, elle est essentielle pour éviter les risques de sécurité.
Le moment est venu d’évaluer vos solutions d’accès à distance et de vous assurer qu’elles sont suffisamment robustes pour vous défendre contre les menaces actuelles.
En savoir plus sur la façon dont les solutions d’accès à distance sécurisé de RealVNC peuvent contribuer à protéger votre réseau contre les attaques de ransomware et à bloquer les tentatives d’accès non autorisé.
FAQ
Vous trouverez ci-dessous les réponses à certaines des questions les plus fréquemment posées sur les attaques par accès à distance.
Qu’est-ce qu’une attaque par accès à distance ?
Une attaque par accès à distance se produit lorsque des cybercriminels s’introduisent sans autorisation dans un système ou un réseau par le biais de méthodes d’accès à distance telles que RDP, VPN, SSH ou des outils à distance basés sur le cloud. Ces attaques impliquent généralement le vol d’informations d’identification, l’hameçonnage ou l’exploitation de vulnérabilités non corrigées. Dans de nombreux cas, les attaquants automatisent ces tentatives pour cibler un grand nombre de systèmes exposés.
Quelles sont les vulnérabilités associées à l’accès à distance ?
Les vulnérabilités les plus courantes sont les suivantes : RDP mal configuré, mots de passe faibles ou réutilisés, terminaux exposés, logiciels obsolètes ou non corrigés, dispositifs personnels non sécurisés et contrôles d’authentification insuffisants. Ces faiblesses offrent aux attaquants des points d’entrée faciles pour compromettre les réseaux.
Quels sont les trois principaux types d’accès à distance ?
Les principales formes d’accès à distance comprennent :
- Remote Desktop Protocol (RDP) : Le protocole RDP est largement utilisé, mais il est souvent pris pour cible en raison des ports ouverts et de la faiblesse des informations d’identification.
- Réseaux privés virtuels (VPN) : Les VPN cryptent le trafic mais peuvent constituer un point de défaillance unique s’ils sont compromis.
- Les solutions d’accès à distance basées sur le cloud : Ces outils s’appuient fortement sur la sécurité des comptes et la bonne configuration de l’MFA.
