Le samedi 16 février 2019, 'De StandaardLe ministère fédéral de la justice (belge) rend compte de l'enquête. Avec les États-Unis et l'Ukraine, ils ont fermé "xDedic", un site web qui vendait des logins et des mots de passe de serveurs compromis dans le monde entier. Jusqu'en 2016, le site web était accessible au public. Lorsqu'il a commencé à attirer l'attention de différentes enquêtes criminelles, ils se sont déplacés vers le Darknet.
Les résultats concordent avec les recherches de l'Awingu.
L'enquête criminelle - malheureusement - s'aligne parfaitement avec une étude publiée par Awingu le 17 septembre 2018. Dans cette étude, Awingu a identifié 8803 entreprises belges avec des " ports RDP non protégés ". Et c'est exactement ce que les pirates derrière xDedic ont utilisé pour arracher les logins et mots de passe des utilisateurs, et de là, entrer dans le réseau informatique de l'entreprise, compromettant les serveurs.
Ces serveurs compromis ont été utilisés pour des attaques de type "ransomware" (les pirates bloquent l'accès des propriétaires à leurs données et applications, à moins qu'ils ne paient une "rançon"), des fraudes à la carte de crédit ou comme "hub" pour d'autres activités illégales (par exemple, en utilisant le serveur compromis pour pirater d'autres entreprises sans exposer facilement l'emplacement du pirate).
L'enquête criminelle affirme avoir pu trouver des identifiants de connexion pour 230 à 750 serveurs belges, selon l'heure. "On peut supposer que ces 230 à 750 serveurs sont, au moins en partie, un sous-ensemble des 8803 entreprises qu'Awingu a pu identifier", déclare Arnaud Marière, CMO Awingu. "Et il ne s'agit pas seulement d'un problème belge, ni d'un problème du passé. Les entreprises du monde entier ne sécurisent pas leurs accès RDP (Remote Desktop Protocol)."
En fait, l'Awingu a réalisé des études similaires pour le poste de "RDP ouvert" dans le cadre de l'initiative de la Commission européenne. Suède et Italieen trouvant respectivement 9688 et 33629 affaires "exposées". Et si le xDedic est désormais fermé, d'autres se lèveront et l'ont probablement déjà fait.
Alors, le RDP est-il dangereux ?
Le protocole Remote Desktop (RDP) a été développé à l'origine par Microsoft pour être utilisé principalement sur un réseau interne d'entreprise. Rendre votre environnement directement accessible via Internet peut être possible, mais il est conseillé de prendre au préalable au moins plusieurs mesures de sécurité. Vous trouverez sur le web plusieurs méthodes pour protéger votre environnement qui, même si elles sont parfois dépassées, sont très pertinentes et nécessaires pour assurer un niveau de sécurité minimum.
La fermeture de xDedic prouve une fois de plus que laisser son environnement RDP sans protection comporte des risques considérables : "Depuis 2002, 20 mises à jour de sécurité de Microsoft ont été publiées spécifiquement pour RDP, et on connaît aujourd'hui au moins 25 vulnérabilités (CVE) que des personnes malveillantes peuvent exploiter sans grand effort. Dans ces conditions, il faut être fou pour ne pas ajouter une couche supplémentaire de sécurité à son environnement", déclare Kurt Bonne (directeur technique d'Awingu).
Dans les versions les plus récentes de RDP, Microsoft a accordé une grande attention à l'aspect sécurité, non seulement en ajoutant davantage de possibilités mais aussi en proposant des paramètres par défaut plus intelligents. On pourrait donc penser que la mise à niveau de votre environnement RDP vers la dernière version est une évidence, mais souvent les anciennes applications ne sont pas toujours compatibles et les anciennes versions sont conservées par nécessité.
Comment Awingu peut facilement aider à sécuriser votre déploiement RDP existant.
L'espace de travail par navigateur d'Awingu ajoute des couches de sécurité au-dessus de RDP. Lorsque vous l'utilisez, vous vous connectez à l'application ou au bureau via un navigateur - et non plus via un client RDP. Cela signifie que les personnes mal intentionnées ne peuvent plus exploiter les points faibles d'un accès RDP non protégé. Pour maximiser la protection par l'accès par navigateur, Awingu met en œuvre les mesures de sécurité suivantes :
- Authentification multi-facteurs : Awingu est livré avec une solution MFA intégrée, et peut (si nécessaire) intégrer facilement votre méthode d'authentification actuelle. En ajoutant MFA, vous vous assurez que les "attaques par force brute" ne sont plus possibles.
- SSL sans problème : utilisez vos propres certificats ou changez de SSL grâce à l'intégration intégrée de Let's Encrypt en un seul clic de souris.
- Possibilités d'audit étendues : conservez vos outils de journalisation RDP existants en plus des capacités d'audit d'Awingu incluses.
- Détection des anomalies : soyez informé des irrégularités dans votre environnement, par exemple lorsqu'une personne se connecte trop souvent avec un mauvais mot de passe ou lorsqu'une personne tente de se connecter depuis l'étranger.
Pour plus d'informations, lisez également cet article de blog de 2017 écrit en plein milieu de l'explosion de Wannacry, qui explique comment Awingu ajoute des couches de sécurité au-dessus de RDP.
Vous voulez en savoir plus et voir Awingu en action ? Contactez nous !