Alors que de plus en plus d’organisations s’orientent vers le travail \u00e0 distance, les \u00e9quipes distribu\u00e9es et les environnements connect\u00e9s au cloud, les solutions d’acc\u00e8s \u00e0 distance sont devenues des outils indispensables pour permettre la flexibilit\u00e9 de la main-d’\u0153uvre.<\/p>\n\n
Cependant, si l’essor de l’acc\u00e8s \u00e0 distance constitue un excellent progr\u00e8s technologique, il a cr\u00e9\u00e9 davantage de points d’acc\u00e8s et d’opportunit\u00e9s pour les attaquants.<\/p>\n\n
Aujourd’hui, les attaques par acc\u00e8s \u00e0 distance et l’exploitation du protocole Remote Desktop (RDP) restent parmi les m\u00e9thodes d’acc\u00e8s initial les plus utilis\u00e9es par les groupes de ransomware et les cybercriminels.<\/p>\n\n
Une tendance positive ? Nous disposons aujourd’hui de rapports plus d\u00e9taill\u00e9s que jamais. Les fournisseurs de solutions de s\u00e9curit\u00e9, les \u00e9quipes de RI et les organes de presse publient fr\u00e9quemment des analyses d’incidents qui montrent pr\u00e9cis\u00e9ment comment les attaquants obtiennent un acc\u00e8s, quels sont les outils d’acc\u00e8s \u00e0 distance qu’ils utilisent et comment ils escaladent les privil\u00e8ges.<\/p>\n\n
Pour les organisations d\u00e9sireuses d’y pr\u00eater attention, ce niveau de transparence offre deux avantages majeurs :<\/p>\n\n
Dans ce guide, nous examinons les vuln\u00e9rabilit\u00e9s d’acc\u00e8s \u00e0 distance les plus courantes, la fa\u00e7on dont les attaquants les exploitent et les mesures sp\u00e9cifiques que vous pouvez prendre pour s\u00e9curiser votre environnement et pr\u00e9venir les attaques de ransomware bas\u00e9es sur RDP.<\/p>\n\n
Les vuln\u00e9rabilit\u00e9s li\u00e9es \u00e0 l’acc\u00e8s \u00e0 distance<\/a> constituent l’\u00e9pine dorsale de nombreuses cyberattaques r\u00e9ussies. Elles permettent aux pirates d’infiltrer votre r\u00e9seau, de voler des donn\u00e9es ou de d\u00e9ployer des logiciels malveillants.<\/p>\n\n \u00c0 mesure que le travail \u00e0 distance se d\u00e9veloppe dans le monde, les risques li\u00e9s \u00e0 l’acc\u00e8s \u00e0 distance augmentent. Selon le Forum \u00e9conomique mondial<\/a>, le nombre d’emplois num\u00e9riques dans le monde devrait augmenter de 25 % d’ici \u00e0 2030, ce qui ajoutera des millions de nouveaux terminaux distants qui pourraient devenir des points d’entr\u00e9e potentiels pour les attaquants.<\/p>\n\n Cela souligne l’importance de comprendre ces vuln\u00e9rabilit\u00e9s pour renforcer votre posture de s\u00e9curit\u00e9 et pr\u00e9venir les br\u00e8ches potentielles.<\/p>\n\n Nous abordons ci-dessous les vuln\u00e9rabilit\u00e9s les plus courantes en mati\u00e8re d’acc\u00e8s \u00e0 distance auxquelles les organisations sont confront\u00e9es aujourd’hui :<\/p>\n\n De nombreuses organisations ne disposent pas d’une visibilit\u00e9 et d’une compr\u00e9hension compl\u00e8tes des syst\u00e8mes d’acc\u00e8s \u00e0 distance, tels que les configurations VPN, les param\u00e8tres RDP et les contr\u00f4les d’acc\u00e8s tiers.<\/p>\n\n Sans un inventaire clair des outils d’acc\u00e8s \u00e0 distance et des points d’extr\u00e9mit\u00e9, il est facile de commettre des erreurs de configuration. Ces lacunes dans les connaissances peuvent conduire \u00e0 :<\/p>\n\n En outre, les travailleurs \u00e0 distance peuvent se connecter \u00e0 leur insu \u00e0 un Wi-Fi public non s\u00e9curis\u00e9, ce qui augmente le risque d’attaques de type \u00ab\u00a0man-in-the-middle\u00a0\u00bb.<\/p>\n\n Le partage des mots de passe est une pratique courante mais dangereuse. Lorsque les salari\u00e9s partagent leurs identifiants, en particulier pour les syst\u00e8mes d’acc\u00e8s \u00e0 distance, le suivi de la responsabilit\u00e9 devient difficile.<\/p>\n\n Les mots de passe r\u00e9utilis\u00e9s ou faibles rendent les syst\u00e8mes vuln\u00e9rables aux attaques par force brute ou au bourrage d’informations d’identification. En outre, lorsqu’un employ\u00e9 quitte l’entreprise, le fait de ne pas modifier les mots de passe partag\u00e9s peut laisser les syst\u00e8mes ouverts \u00e0 l’exploitation longtemps apr\u00e8s le d\u00e9part de l’employ\u00e9.<\/p>\n\n Les ran\u00e7ongiciels et autres types de logiciels malveillants exploitent les logiciels non corrig\u00e9s. De nombreuses organisations continuent d’utiliser des logiciels RDP, des clients VPN ou d’autres syst\u00e8mes d’acc\u00e8s \u00e0 distance obsol\u00e8tes, qui sont des cibles connues des cybercriminels. Les vuln\u00e9rabilit\u00e9s de ces syst\u00e8mes :<\/p>\n\n De nombreux \u00e9diteurs de logiciels publient r\u00e9guli\u00e8rement des correctifs pour rem\u00e9dier \u00e0 ces vuln\u00e9rabilit\u00e9s, mais le fait de ne pas appliquer les mises \u00e0 jour laisse les syst\u00e8mes expos\u00e9s. Les logiciels tiers, les plugins ou les extensions obsol\u00e8tes ou non s\u00e9curis\u00e9s peuvent \u00e9galement constituer des points d’entr\u00e9e involontaires.<\/p>\n\n Les dispositifs personnels, ceux qui ne sont pas g\u00e9r\u00e9s par le service informatique de l’organisation, pr\u00e9sentent un risque important lorsqu’ils sont utilis\u00e9s pour le travail. Les salari\u00e9s peuvent se connecter \u00e0 partir de :<\/p>\n\n Ces dispositifs peuvent \u00e9galement ne pas b\u00e9n\u00e9ficier de mises \u00e0 jour de s\u00e9curit\u00e9 r\u00e9guli\u00e8res, ce qui rend les organisations vuln\u00e9rables aux attaques de logiciels malveillants et de ransomwares. Les dispositifs personnels n’ont g\u00e9n\u00e9ralement pas le m\u00eame niveau de contr\u00f4le, de surveillance ou d’authentification que les dispositifs g\u00e9r\u00e9s par l’entreprise, ce qui les rend vuln\u00e9rables aux acc\u00e8s non autoris\u00e9s.<\/p>\n\n De nombreuses organisations rencontrent des difficult\u00e9s pour appliquer les correctifs et mettre \u00e0 jour les syst\u00e8mes, en particulier lorsqu’il s’agit d’une infrastructure ancienne ou de ressources informatiques limit\u00e9es. Les syst\u00e8mes non corrig\u00e9s sont des cibles faciles pour les cybercriminels, qui analysent activement les r\u00e9seaux \u00e0 la recherche de vuln\u00e9rabilit\u00e9s. Lorsque les correctifs sont retard\u00e9s ou manqu\u00e9s :<\/p>\n\n Dans le cas de RDP, les attaquants utilisent souvent des attaques par force brute sur des services vuln\u00e9rables ou non corrig\u00e9s pour obtenir l’acc\u00e8s.<\/p>\n\n Les sauvegardes sont essentielles pour la r\u00e9cup\u00e9ration en cas de cyberattaque, mais les sauvegardes non s\u00e9curis\u00e9es peuvent \u00e9galement \u00eatre une cible. Les attaquants recherchent souvent des sauvegardes en nuage expos\u00e9es ou des donn\u00e9es non crypt\u00e9es, les utilisant comme points d’attaque secondaires. En l’absence de contr\u00f4les d’acc\u00e8s et de chiffrement solides, ces sauvegardes peuvent devenir un point d’entr\u00e9e facile pour le vol de donn\u00e9es ou les ransomwares.<\/p>\n\n N\u00e9gliger les mises \u00e0 jour r\u00e9guli\u00e8res des dispositifs et les contr\u00f4les de s\u00e9curit\u00e9 peut augmenter le risque d’infections par des logiciels malveillants et des ransomwares. Au fil du temps, les dispositifs accumulent des vuln\u00e9rabilit\u00e9s, qui :<\/p>\n\n L’hygi\u00e8ne r\u00e9guli\u00e8re des dispositifs et la mise \u00e0 jour des logiciels de s\u00e9curit\u00e9 sont essentielles pour r\u00e9duire le risque de failles de s\u00e9curit\u00e9.<\/p>\n\n Le phishing reste l’une des m\u00e9thodes les plus r\u00e9pandues pour obtenir un acc\u00e8s non autoris\u00e9. Les cybercriminels envoient :<\/p>\n\n Les attaquants utilisent d\u00e9sormais des tactiques avanc\u00e9es, notamment l’apprentissage automatique, pour concevoir des messages de phishing personnalis\u00e9s et des usurpations de domaine afin de rendre leurs attaques plus cr\u00e9dibles. Une fois les informations d’identification vol\u00e9es, elles peuvent facilement \u00eatre utilis\u00e9es pour acc\u00e9der \u00e0 des syst\u00e8mes d’acc\u00e8s \u00e0 distance tels que RDP, VPN ou services cloud.<\/p>\n\n On sait depuis longtemps qu’un pourcentage important d’attaques par ransomware, quelle que soit la variante, commence par des intrusions de type phishing ou li\u00e9es au bureau \u00e0 distance.<\/p>\n\n Le phishing, que nous avons \u00e9voqu\u00e9 dans la section pr\u00e9c\u00e9dente, est un point d’entr\u00e9e \u00e9vident : lorsqu’il r\u00e9ussit, il permet aux attaquants d’ouvrir une session sur un terminal et d’obtenir des informations d’identification valides. Mais les attaques via le bureau \u00e0 distance (y compris celles men\u00e9es au moyen d’outils commerciaux d’acc\u00e8s \u00e0 distance) offrent le m\u00eame r\u00e9sultat.<\/p>\n\n Que les attaquants utilisent des tentatives de force brute – en testant des milliers de mots de passe – ou des informations d’identification vol\u00e9es, achet\u00e9es ou r\u00e9colt\u00e9es lors de br\u00e8ches ant\u00e9rieures, les attaques bas\u00e9es sur RDP restent tout aussi efficaces et se placent donc au m\u00eame niveau que le phishing en tant que vecteur d’attaque initial de premier ordre.<\/p>\n\n Un exemple bien document\u00e9 concerne MedusaLocker, une variante de ransomware identifi\u00e9e pour la premi\u00e8re fois en 2019 et qui a r\u00e9cemment refait surface au point de susciter un avis conjoint de cybers\u00e9curit\u00e9<\/a> de la part des agences gouvernementales. Les op\u00e9rateurs de MedusaLocker ciblent principalement les connexions RDP expos\u00e9es<\/a> \u2014 parfois publi\u00e9es intentionnellement pour des raisons de commodit\u00e9, d’autres fois laiss\u00e9es ouvertes accidentellement. Apr\u00e8s avoir obtenu l’acc\u00e8s, ils d\u00e9ploient un ransomware, chiffrent les donn\u00e9es critiques et exigent un paiement.<\/p>\n\n Un autre cas \u00e0 fort impact, document\u00e9 par des chercheurs de Sophos, a r\u00e9v\u00e9l\u00e9 comment un groupe utilisant le ransomware LockBit s’est infiltr\u00e9 dans un r\u00e9seau du gouvernement am\u00e9ricain via RDP<\/a>. Il est choquant de constater que les attaquants ont men\u00e9 une exploration lat\u00e9rale du r\u00e9seau pendant cinq mois sans \u00eatre d\u00e9tect\u00e9s avant d’initier le d\u00e9ploiement du ransomware.<\/p>\n\n Maintenant que vous comprenez comment les attaquants exploitent les vuln\u00e9rabilit\u00e9s de l’acc\u00e8s \u00e0 distance pour obtenir un acc\u00e8s, examinons comment ils escaladent et se d\u00e9placent lat\u00e9ralement en utilisant l’acc\u00e8s \u00e0 distance :<\/p>\n\n Une fois que les attaquants ont obtenu un acc\u00e8s local, la phase logique suivante, selon le cadre ATT&CK de MITRE, est le mouvement lat\u00e9ral. Les m\u00e9canismes d’acc\u00e8s \u00e0 distance (en particulier le RDP interne) sont couramment utilis\u00e9s de mani\u00e8re abusive au cours de cette phase.<\/p>\n\n Des donn\u00e9es r\u00e9centes de la soci\u00e9t\u00e9 Coveware, sp\u00e9cialis\u00e9e dans la r\u00e9ponse aux incidents li\u00e9s aux ransomwares<\/a>, montrent que le mouvement lat\u00e9ral se produit dans environ 70 % des attaques de ransomwares. Leurs analystes notent que cette phase \u00ab\u00a0consiste principalement \u00e0 abuser du bureau \u00e0 distance interne (RDP) apr\u00e8s qu’un acc\u00e8s initial a \u00e9t\u00e9 obtenu.\u00a0\u00bb<\/p>\n\n En se d\u00e9pla\u00e7ant lat\u00e9ralement, les attaquants augmentent les autorisations, acc\u00e8dent \u00e0 d’autres points d’extr\u00e9mit\u00e9, localisent les donn\u00e9es sensibles et positionnent le ransomware pour un impact maximal.<\/p>\n\n Comme les acteurs de la menace abusent constamment de l’acc\u00e8s \u00e0 distance \u00e0 des fins malveillantes, les responsables de l’informatique et de la s\u00e9curit\u00e9 doivent prendre des mesures d\u00e9cisives pour r\u00e9duire les risques. Vous trouverez ci-dessous les mesures les plus efficaces que les organisations peuvent prendre pour pr\u00e9venir les abus :<\/p>\n\n Les attaquants proc\u00e8dent fr\u00e9quemment \u00e0 des for\u00e7ages d’identifiants sur les ordinateurs de bureau et les serveurs expos\u00e9s \u00e0 l’internet public. M\u00eame la r\u00e9cente mise \u00e0 jour de Windows 11 de Microsoft<\/a>, qui bloque automatiquement les tentatives de force brute RDP, ne permet pas d’att\u00e9nuer totalement la menace, en particulier lorsque les attaquants ont en main un ensemble d’informations d’identification vol\u00e9es.<\/p>\n\n Avec 59 % des organisations<\/a> qui subissent des campagnes de phishing ax\u00e9es sur le vol d’informations d’identification, combin\u00e9es \u00e0 la pr\u00e9sence de services du Dark Web consacr\u00e9s \u00e0 la vente d’informations d’identification<\/a>, il devrait \u00eatre \u00e9vident que de nombreux attaquants ne s’appuient plus sur la force brute pour acc\u00e9der.<\/p>\n\n Dans la mesure du possible, \u00e9liminez les voies d’acc\u00e8s RDP et autres voies d’acc\u00e8s \u00e0 distance au niveau du poste de travail qui sont accessibles de l’ext\u00e9rieur.<\/p>\n\n Pour l’acc\u00e8s \u00e0 distance aux postes de travail, qu’il soit externe ou interne, Microsoft a pris des mesures pour que ses services RDP soient aussi s\u00fbrs que possible. Mais un double probl\u00e8me subsiste :<\/p>\n\n Le passage \u00e0 des solutions d’acc\u00e8s \u00e0 distance s\u00e9curis\u00e9es et modernes, avec des contr\u00f4les granulaires, peut r\u00e9duire consid\u00e9rablement votre surface de risque.<\/p>\n\n L’authentification multifactorielle (MFA) reste l’une des d\u00e9fenses les plus efficaces contre les abus d’acc\u00e8s \u00e0 distance. Le fait d’exiger un deuxi\u00e8me facteur, tel que des cartes \u00e0 puce, des certificats, des applications d’authentification ou des cl\u00e9s mat\u00e9rielles, rend les mots de passe vol\u00e9s inutiles et emp\u00eache l’acc\u00e8s non autoris\u00e9 m\u00eame lorsque les informations d’identification sont compromises.<\/p>\n\n Il est essentiel de mettre \u00e0 jour et de corriger r\u00e9guli\u00e8rement tous les outils et logiciels d’acc\u00e8s \u00e0 distance pour tenir les attaquants \u00e0 distance. Les syst\u00e8mes non corrig\u00e9s constituent une cible de choix pour les cybercriminels, c’est pourquoi il est essentiel de se tenir au courant des mises \u00e0 jour pour prot\u00e9ger votre r\u00e9seau.<\/p>\n\n Investissez dans une formation \u00e0 la cybers\u00e9curit\u00e9 pour sensibiliser aux risques li\u00e9s \u00e0 l’acc\u00e8s \u00e0 distance. La formation de votre personnel aux dangers du phishing et \u00e0 la gestion des mots de passe contribuera \u00e0 r\u00e9duire la probabilit\u00e9 de vol de donn\u00e9es d’identification et d’acc\u00e8s non autoris\u00e9.<\/p>\n\nManque d’information et de visibilit\u00e9<\/h3>\n\n
\n
Partage de mots de passe et identifiants faibles<\/h3>\n\n
Logiciels non s\u00e9curis\u00e9s ou obsol\u00e8tes<\/h3>\n\n
\n
Utilisation de dispositifs personnels pour le travail \u00e0 distance<\/h3>\n\n
\n
Gestion inad\u00e9quate des correctifs<\/h3>\n\n
\n
Sauvegardes vuln\u00e9rables<\/h3>\n\n
Mauvaise hygi\u00e8ne des dispositifs<\/h3>\n\n
\n
Attaques par hame\u00e7onnage<\/h3>\n\n
\n
Comment les pirates exploitent les vuln\u00e9rabilit\u00e9s de l’acc\u00e8s \u00e0 distance pour acc\u00e9der<\/h2>\n\n
Exemples r\u00e9els d’exploitation de RDP<\/h4>\n\n
Comment les attaquants \u00e9l\u00e8vent leurs privil\u00e8ges et se d\u00e9placent lat\u00e9ralement \u00e0 l’aide de l’acc\u00e8s \u00e0 distance<\/h3>\n\n
Strat\u00e9gies efficaces pour pr\u00e9venir l’utilisation abusive de l’acc\u00e8s \u00e0 distance lors d’attaques par ransomware<\/h2>\n\n
D\u00e9sactiver l’acc\u00e8s \u00e0 distance accessible depuis l’ext\u00e9rieur<\/h3>\n\n
Envisagez d’arr\u00eater compl\u00e8tement RDP<\/h3>\n\n
\n
Activer l’authentification s\u00e9curis\u00e9e<\/h3>\n\n
Mettez r\u00e9guli\u00e8rement \u00e0 jour et corrigez les logiciels<\/h3>\n\n
Sensibilisez et formez les salari\u00e9s<\/h3>\n\n