Une étude de Rapid7 a identifié 500 000 points d'extrémité RDP sans aucune mesure de sécurité décente. 3,5 millions d'autres points d'extrémité RDS utilisaient des normes de sécurité plus élevées, mais sont toujours à risque. L'adoption d'Awingu en plus de RDP réduira considérablement le risque et l'exposition.
RDP, ou "Remote Desktop Protocol", est l'une des solutions les plus adoptées par les services informatiques du monde entier. Elle permet aux utilisateurs d'accéder à distance à un bureau ou à une application. Ce protocole existe depuis les années 90... mais du point de vue de la sécurité, il s'est avéré être une véritable montagne russe. Comme l'écrit "jhart" dans son blog sur Rapid7.com : "Depuis au moins 2002, il y a eu 20 mises à jour de sécurité de Microsoft spécifiquement liées à RDP et au moins 24 CVE distincts".
Rapid7 a analysé l'utilisation du RDP dans le monde entier. Les résultats de leur récente étude Sonar (juillet 2017) arrivent avec des résultats intéressants. Elle suggère qu'il existe 11 millions de points d'extrémité 3389/TCP ouverts, dont "4,1 millions ont répondu de telle sorte qu'ils parlaient RDP d'une manière ou d'une autre." Les points d'extrémité RDP identifiés par l'étude Sonar n'appliquaient aucune règle de pare-feu ou ACL de base pour la protection.
Par pays, la répartition des 4,1 millions de points d'accès RDP est la suivante :
L'étude s'est également intéressée aux fournisseurs de ces points d'extrémité RDP exposés. Ce n'est pas par hasard que les grands fournisseurs d'hébergement/cloud figurent en tête de liste.
Sur les 4,1 millions de points d'extrémité RDP exposés, environ 85% ont utilisé des protocoles de sécurité "supérieurs à la norme" : CredSSP et/ou SSL/TLS. C'est une bonne chose. Les autres 15% - soit 500 000 points d'extrémité RDP - dépendaient uniquement de la sécurité RDP standard. Ce sont des désastres qui attendent de se produire...
La sécurisation de RDP est difficile. De nombreuses bonnes pratiques peuvent être trouvées sur le web, parfois un peu dépassées, mais toujours très pertinentes. Dans les versions récentes de RDP, Microsoft a fait de gros efforts pour améliorer considérablement la sécurité, non seulement en étendant les options de sécurité, mais aussi en proposant des paramètres par défaut plus judicieux. Par conséquent, dans la mesure du possible, la mise à niveau vers la dernière version de RDP (donc de Windows) est toujours un bon début. Ceci étant dit, comme le souligne le guide des meilleures pratiques "Securing Remote Desktop for System Administrators" de Berkeley, il est conseillé d'ajouter une sécurité supplémentaire, en particulier lorsque le RDP est exposé d'une manière ou d'une autre à l'Internet public.
Comme l'indique "jhart" dans son billet de blog, l'une des principales raisons de l'adoption généralisée de RDP est le confort indéniable qu'il procure. Les gens veulent faire leur travail. Par conséquent, une sécurité supplémentaire ne devrait pas entraver le travail de l'utilisateur et nuire à la commodité offerte par RDP. C'est l'une des principales raisons pour lesquelles des règles de pare-feu ou des listes de contrôle d'accès limitant l'accès au RDP font défaut en premier lieu.
Là où les solutions typiques telles que le VPN sont coûteuses et complexes (tant pour l'utilisateur que pour l'administrateur), Awingu peut offrir une solution très simple et maximisera la sécurité.
Avec Awingu, l'accès au bureau ou à l'application se fait via un navigateur et non plus via un client RDP. Cela signifie que les personnes mal intentionnées ne seront pas en mesure d'exploiter les faiblesses du protocole RDP. Afin d'augmenter la sécurité de l'accès par navigateur, Awingu permet :
- Authentification multi-facteurs : Awingu est livré avec un support pour de nombreuses options d'"authentification multi-facteurs" (MFA). L'utilisation de l'authentification multifactorielle permet d'éviter toute attaque par force brute.
- Réduire les tentatives de connexion : Même si l'AMF n'est pas adoptée, Awingu limitera automatiquement les tentatives de connexion afin que la force brute ne soit pas non plus couronnée de succès.
- SSL sans souci : Utilisez vos propres certificats ou activez SSL en un seul clic grâce à l'intégration intégrée de Let's Encrypt.
- Audit étendu et détection d'anomalies : Vous pouvez continuer à utiliser vos outils de journalisation RDP existants. Awingu vous fournit des informations d'audit supplémentaires et des informations sur la détection des anomalies.
- Pas d'accès direct aux lecteurs partagés :
Lisez tout sur les fonctionnalités de sécurité et de conformité d'Awingu. ici)..
Par : Kurt Bonne (directeur technique d'Awingu)
Sources :