Sécurité et conformité

Seules les personnes que vous invitez dans votre équipe peuvent se connecter à VNC Viewer et découvrir vos ordinateurs (veillez donc à n’inviter que des personnes de confiance !). Avec un abonnement Professional ou Enterprise, vous pouvez restreindre la découverte encore davantage en attribuant des autorisations depuis la page Ordinateurs de votre compte RealVNC, de façon à associer précisément les ordinateurs aux personnes.

Une personne qui ne peut découvrir vos ordinateurs ne pourra en aucun cas établir des connexions cloud avec eux. Il n’existe aucun moyen de contourner notre service de découverte.

Si vous disposez d’un abonnement Enterprise et établissez des connexions directes, notez qu’il est possible pour un utilisateur mal intentionné d’« écouter » le port que vous avez ouvert dans le pare-feu de l’ordinateur distant (port TCP 5900 par défaut). Il est donc beaucoup plus sûr d’utiliser la connectivité cloud par Internet !

VNC Server utilise une signature numérique unique, conçue pour favoriser votre sécurité. Il s’agit d’une représentation hexadécimale d’une clé de hachage publique RSA 2048 bits – ce qui équivaudrait, en langage humain, à une suite aléatoire de six mots, par exemple « Oméga Pierre Marseille. Bretagne flèche réseau ». Téléchargez notre livre blanc pour retrouver tous les détails techniques.

Lorsque vous vous connectez, les services RealVNC vérifient automatiquement cette identité et VNC Viewer vous demande en outre de la vérifier vous-même. Si vous recevez par la suite un avertissement indiquant que l’alias a changé, cela peut indiquer que quelqu’un a accédé à l’ordinateur ou tente d’intercepter votre connexion (attaque dite de « l’homme du milieu »).

Si vous avez un abonnement Enterprise et établissez une connexion directe, les services RealVNC ne peuvent effectuer cette vérification automatique. Vous devrez donc faire la vérification vous-même.

Oui. La protection par mot de passe VNC Server est activée de façon permanente.

Le mécanisme d’authentification de VNC Server reste entièrement séparé de votre compte RealVNC. Ainsi, même si un tiers malveillant devait découvrir vos identifiants de compte et les utiliser pour se connecter à VNC Viewer à votre place, il ne pourrait se connecter. Et si l’intrus tente de percer votre mot de passe VNC Server (attaque par « force brute » ou par « dictionnaire »), il sera mis sur liste noire.

Notez que VNC Viewer peut, si vous le demandeur pour plus de commodité, mémoriser les mots de passe VNC Server. Dans ce cas, nous vous recommandons de définir un mot de passe maître dans la page Préférences > Confidentialité de VNC Viewer.

Si vous avez un abonnement Home, un seul mécanisme d’authentification VNC Server est disponible. Le mot de passe que vous êtes invité à créer lors de l’installation de VNC Server doit être difficile à deviner et rester strictement confidentiel. Il doit comprendre au moins 6 caractères : lettres majuscules et minuscules, chiffres et caractères spéciaux tels que !@*#&,. Nous recommandons cependant d’utiliser plus de caractères (max. 255).

Si vous avez un abonnement Professional ou Enterprise, VNC Server est intégré par défaut au mécanisme d’attribution des identifiants de l’ordinateur distant. Il n’est donc pas nécessaire de créer ni de mémoriser un autre mot de passe. Connectez-vous avec les mêmes nom d’utilisateur et mot de passe que vous utilisez normalement pour vous connecter à votre compte sur cet ordinateur. Vous pouvez enregistrer d’autres utilisateurs auprès de VNC Server pour qu’ils puissent se connecter avec les identifiants habituels de leur propre compte système s’ils le souhaitent.

Si vous avez un abonnement Professional ou Enterprise, vous pouvez choisir l’authentification à plusieurs facteurs comme mécanisme d’authentification système par défaut de VNC Server.

Si vous avez un abonnement Enterprise et un réseau d’entreprise adapté, vous pouvez configurer l’authentification unique (SSO) pour VNC Server.

La première fois que vous utilisez VNC Viewer pour vous connecter à un ordinateur, vous devez fournir le mot de passe attendu par VNC Server.

Vous pouvez alors demander à VNC Viewer de mémoriser ce mot de passe pour ne pas avoir à le saisir à chaque fois. Dans ce cas, nous vous recommandons de définir un mot de passe maître pour VNC Viewer, au cas où vous perdriez ou partagiez votre appareil:

VNC Viewer stocke les mots de passe localement et ne les synchronise jamais avec d’autres appareils par le biais de notre service cloud ; vous devrez donc les mémoriser sur chaque appareil utilisé pour vous connecter. Téléchargez notre livre blanc pour retrouver tous les détails techniques.

Notez que vous pouvez fermer de force et à distance toutes vos sessions VNC Viewer sur tous les appareils, si jamais vous suspectez une usurpation de votre compte. Connectez-vous à votre compte RealVNC et naviguez jusqu’à la page Sécurité.

Oui. VNC Server consigne automatiquement les informations d’audit. Vous savez donc toujours qui s’est connecté, quand, d’où et, si l’utilisateur s’est correctement authentifié, l’heure de sa déconnexion (ce qui vous permet de calculer la durée de sa session).

L’emplacement de stockage de ces informations dépend de la plateforme et du mode de VNC Server. Pour en savoir plus sur l’enregistrement de ces informations, cliquez ici.

Notez que vous pouvez accéder rapidement aux journaux au niveau débogage si nécessaire.

Oui. Si vous comptez être physiquement présent devant l’ordinateur lorsque les utilisateurs se connectent, vous pouvez configurer VNC Server pour vous avertir, et ainsi accepter ou refuser les connexions une à une:

Pour cela, vous devez activer l’option Afficher l’invite Accepter/Refuser pour chaque connexion dans la page Options > Connexions de VNC Server :

Vous pouvez déconnecter instantanément tous les utilisateurs:

…ou les déconnecter individuellement depuis la boîte de dialogue Centre d’information de VNC Server.

Par défaut, les utilisateurs peuvent se connecter simultanément. Vous pouvez spécifier qu’un seul utilisateur puisse se connecter à la fois.

Par défaut, si un utilisateur qui se connecte échoue cinq fois de suite à s’authentifier, son ordinateur est mis sur liste noire. Vous pouvez abaisser ce seuil pour une protection supplémentaire contre les attaques par force brute et les balayages de ports.

Si vous avez abonnement Enterprise et que vous établissez des connexions directes, vous pouvez filtrer les ordinateurs entrants pour empêcher les connexions depuis certaines adresses IP:

Oui. Vous pouvez établir des sessions en lecture seule pour tous les utilisateurs depuis la page Options > Utilisateurs et autorisations de VNC Server :

Si vous avez un abonnement Professional ou Enterprise, vous pouvez exercer un contrôle plus fin et forcer des sessions en lecture seule pour certains utilisateurs uniquement.

Les utilisateurs de VNC Viewer peuvent également mettre leurs propres connexions en lecture seule depuis la boîte de dialogue Propriétés de VNC Viewer ou la barre d’outils de l’application mobile.

Oui si vous avez un abonnement Professional ou Enterprise.

Vous pouvez enregistrer dans VNC Server autant d’utilisateurs et de groupes (généralement de votre réseau d’entreprise) que nécessaire :

Vous pouvez attribuer à chacun des autorisations spécifiques. Par exemple, vous pourriez attribuer aux administrateurs système un accès à distance complet, aux membres du groupe « formateurs » des autorisations suffisantes pour contrôler l’ordinateur distant mais pas pour transférer des fichiers ni pour imprimer, et aux membres du groupe « étudiants » un accès en lecture seule.

Si vous avez un abonnement Home, les autorisations globales sont les mêmes pour tous les utilisateurs connectés. Vous pouvez cependant désactiver certaines fonctionnalités pour tous ou mettre toutes les connexions en lecture seule, si vous le souhaitez. Notez cependant que cela vaudra aussi pour vous!

Vous pouvez masquer l’écran d’un ordinateur Windows 7 que vous contrôlez à distance (« mode rideau »), de sorte que les personnes à proximité de la machine ne puissent pas voir ce que vous faites.

Tout se passe alors comme si vous éteignez le moniteur de l’ordinateur distant sans qu’il puisse être rallumé jusqu’à ce que vous vous déconnectiez.

Malheureusement, il n’est pas encore possible de masquer l’écran d’un ordinateur Windows 10 ou 8, ni d’un ordinateur Linux ou Mac.

Vous pouvez désactiver le clavier et la souris d’un ordinateur distant auquel vous êtes connecté afin d’empêcher que quiconque se trouverait devant la machine puisse les utiliser :

Vous pouvez configurer VNC Server pour verrouiller ou fermer la session automatiquement sur un ordinateur Windows ou Mac lorsque vous vous déconnectez :

Bien sûr, vous pouvez verrouiller ou vous déconnecter à tout moment de votre session de contrôle à distance. Veuillez toutefois à ne pas éteindre l’ordinateur, car vous seriez alors déconnecté jusqu’à ce que quelqu’un le rallume!

Suivez d’abord les instructions générales pour les comptes RealVNC disponibles ici.

Ensuite, suivez les instructions supplémentaires ci-dessous. Notez que vous pouvez effectuer des opérations en masse sur les ordinateurs à distance en utilisant une stratégie système. Du point de vue de la sécurité, cette méthode offre l’avantage de verrouiller les ordinateurs en question en empêchant toute modification par les utilisateurs locaux.

1. Dans la page Ordinateurs de votre compte RealVNC en ligne, attribuez des autorisations pour restreindre la découverte selon besoin.
2. Sur chaque ordinateur distant :
   
   • Installez VNC Connect dans un emplacement sûr (par exemple C:\Program Files) et activez les notifications de mise à jour.
   • Choisissez le chiffrement de session AES 256 bits.
   • Désactivez la connectivité directe. Le fait de forcer des connexions cloud permet d’éviter d’ouvrir des ports dans les pare-feux.
   • Activez l’authentification à plusieurs facteurs pour VNC Server.
   • Restreignez les autorisations de session selon besoin, par exemple en accordant à certains utilisateurs des droits de lecture seule.
   • Durcissez votre politique de liste noire.
   • Abaissez le délai d’inactivité.
   • Si le propriétaire sera physiquement présent pour approuver les connexions, activez l’option de connexion sur requête.
   • Verrouillez l’ordinateur distant une fois le dernier utilisateur déconnecté.
3. Passez régulièrement en revue les journaux de connexion.