Cet article a été présenté dans Techworld le 25/01/2019. Version suédoise : se nedan.
Lors d'une enquête approfondie sur la sécurité informatique des entreprises suédoises, Awingu a pu identifier 9 655 organisations présentant un risque élevé de piratage. Nous avons effectué des recherches spécifiques sur les adresses IP qui étaient connectées à des serveurs Remote Desktop non protégés (basés sur le protocole Remote Desktop). Le protocole RDP de Microsoft est une technologie informatique basée sur le serveur très populaire, mais dans sa forme brute, il offre une protection insuffisante. En mettant en œuvre Awingu en plus de RDP, vous pouvez réduire considérablement le risque de sécurité de votre environnement informatique.
RDP est l'une des solutions informatiques les plus utilisées au monde. Via le client RDP, une application qui doit être installée sur l'appareil de l'utilisateur (par exemple, un ordinateur portable), vous permettez aux utilisateurs d'accéder à un bureau ou à une application à distance. En général, cette solution est utilisée pour permettre aux employés d'utiliser leurs logiciels à l'intérieur et à l'extérieur de l'entreprise. RDP est une solution à bas seuil, et l'ajout de sécurité est parfois omis : des mesures de sécurité supplémentaires (par exemple, des règles de pare-feu ou des listes de contrôle d'accès) signifient une complexité accrue pour l'administrateur informatique (et l'utilisateur).
Cependant, laisser son environnement RDP sans protection n'est pas sans risque : "Depuis 2002, 20 mises à jour de sécurité Microsoft ont été publiées spécifiquement pour RDP, et on connaît aujourd'hui au moins 25 vulnérabilités (CVE) que des parties malveillantes peuvent exploiter sans grand effort. En gardant cela à l'esprit, il faut être fou pour ne pas ajouter une couche supplémentaire de sécurité à votre environnement", nous apprend Kurt Bonne (CTO Awingu).
Après une analyse basée sur les données mises à disposition par le moteur de recherche Shodan, Awingu a obtenu le résultat spectaculaire suivant : près de 9 655 points d'extrémité RDP sont actuellement accessibles au public en Suède. Cela signifie qu'ils sont accessibles à tous via l'internet - même si aucune connexion sécurisée, facilitée par l'organisation, n'est établie. En d'autres termes, ils ne sont pas ou pas suffisamment protégés et présentent un potentiel indéniable de piratage. Il est donc conseillé aux entreprises disposant d'un environnement RDP ouvert de remédier à ce problème le plus rapidement possible.
Les points de terminaison RDP ouverts sont présents partout en Suède : toute forme de concentration géographique que nous avons constatée dans nos recherches correspond à la densité industrielle. En d'autres termes, il s'agit d'un problème mondial qui ne semble pas affecter une région en particulier. Si nous dressons une carte des entreprises touchées - ou du moins de l'emplacement de leur centre de données - nous obtenons les résultats suivants :
Emplacement des points d'accès RDP ouverts Suède - Janvier 2019, Awingu
Le protocole Remote Desktop a été développé à l'origine pour être utilisé principalement sur un réseau interne d'entreprise. Rendre votre environnement directement accessible via Internet peut être possible, mais il est conseillé de prendre au préalable au moins plusieurs mesures de sécurité. Vous trouverez sur le web plusieurs méthodes pour protéger votre environnement qui, bien que parfois dépassées, sont très pertinentes et nécessaires pour assurer un minimum de sécurité.
Dans les versions les plus récentes de RDP, Microsoft a accordé une grande attention à l'aspect sécurité, non seulement en ajoutant davantage de possibilités mais aussi en proposant des paramètres par défaut plus intelligents. On pourrait donc penser que la mise à niveau de votre environnement RDP vers la dernière version est une évidence, mais souvent les anciennes applications ne sont pas toujours compatibles et les anciennes versions sont conservées par nécessité.
L'insuffisance de la sécurité au niveau des ports RDP est un problème universel en Suède qui n'est pas lié à une région et qui empêche les entreprises affiliées à n'importe quel fournisseur, grand ou petit. Il est donc fortement recommandé d'examiner la situation dans votre entreprise et, si nécessaire, de placer une couche de sécurité supplémentaire sur votre environnement. Si vous ne le faites pas, vous courez un risque considérable d'être piraté à tout moment. Awingu est une solution qui offre aux entreprises cette sécurité supplémentaire.
Awingu facilite une solution à ce problème avec notre espace de travail unifié. En l'utilisant, vous vous connectez à l'application ou au bureau via un navigateur - et non plus via un client RDP. Cela signifie que les personnes mal intentionnées ne peuvent plus exploiter les points faibles d'un accès RDP non protégé. Pour maximiser la protection via l'accès par navigateur, Awingu met en œuvre les mesures de sécurité suivantes :
- Authentification multi-facteurs : Awingu est livré avec une solution MFA intégrée, et peut (si nécessaire) intégrer facilement votre méthode d'authentification actuelle. En ajoutant la solution MFA, vous vous assurez que les "attaques par force brute" ne sont plus possibles.
- SSL sans problème : utilisez vos propres certificats ou changez de SSL grâce à l'intégration intégrée de Let's Encrypt en un seul clic de souris.
- Possibilités d'audit étendues : conservez vos outils de journalisation RDP existants en plus des capacités d'audit d'Awingu incluses.
- Détection des anomalies : soyez informé des irrégularités dans votre environnement, par exemple lorsqu'une personne se connecte trop souvent avec un mauvais mot de passe ou lorsqu'une personne tente de se connecter depuis l'étranger.
Vous voulez en savoir plus et voir Awingu en action ? Contactez nous !
TUSENTALS SVENSKA FÖRETAG ÖPPNA FÖR GISSLANATTACKER
Tusentals svenska företag exponerar tcp-porten för det ökända protokollet rdp, visar en granskning.
Le protocole Remote Desktop (RDP) est un outil de communication développé par Microsoft qui permet d'indiquer à l'utilisateur qu'il est en train d'utiliser une carte de crédit sur un réseau. Protokollet presenterades 1996 och var från början tänkt att användas på interna nätverk, och används flitigt än idag för att administrera Windows-servrar och inte minst för att underlätta i supportärenden. Le protocole est basé sur un serveur qui délivre le protocole sur le port tcp 3389, et sur une connexion client. Les applications clientes sont également disponibles pour d'autres systèmes d'exploitation tels que Linux et Mac OS X.
Rdp har genom åren visat sig vara en säkerhetsrisk. En 2002, Microsoft a reçu 20 demandes de subventions pour le protocole, et aujourd'hui, elle a reçu 25 demandes de subventions pour la classification CVE du protocole RDP. Cette situation entraîne un risque important d'expulsion des serveurs Windows sur Internet avec le port tcp 3389. Le port rdp d'un masque Windows peut être endommagé par des problèmes de sécurité et de confidentialité, ce qui peut entraîner des problèmes de sécurité importants.
Pour que les administrateurs de réseaux puissent faire face aux risques, il faut qu'il y ait un grand nombre de personnes, qu'elles soient ou non concernées, qui soient capables d'exporter des données sur Internet. Le fait que la protection contre les virus soit un moyen efficace de gérer les services est un facteur déterminant. Sous Windows, le logiciel est à la fois simple et complexe. Même avec des serveurs Windows entièrement mis à jour dans leur dernière version, il est plus difficile d'augmenter le débit de données sur Internet avec un serveur supplémentaire.
L'accord sur les droits de propriété intellectuelle s'applique à toutes les catégories de droits.
Un système Windows qui n'a pas été mis à jour est tout à fait normal, même si le problème le plus grave est que le système avec plusieurs ports rdp n'a pas été mis à jour. Cela ne signifie pas qu'il n'y ait pas de problème à ce que la connexion à un port rdp soit désactivée. Le problème le plus important est que le système rdp n'est pas adapté aux attaques par force brute, car il est testé de manière systématique et automatique sur plusieurs mots-clés. Si le problème n'est pas résolu, il y a un risque que Förövarna se lance dans l'aventure. Un problème majeur est que la configuration du système en fonction des besoins peut s'avérer dangereuse, même si elle est susceptible de provoquer une attaque.
Eftersom rdp-tjänsten ofta används för att administrera servrar, givetvis via ett administratörskonto, är systemet vidöppet när förövaren väl överlistat skyddet.
"Rdp är ganska dåligt om det är öppet, inte bara för att det kan finnas sårbarheter i rdp-tjänsten (authentication bypass), men även för att inloggningsuppgifter för rdp-tjänster säljs friskt på svarta marknaden", säger David Jacoby, säkerhetsexpert på Kaspersky Labs à Techworld.
L'entreprise belge Awingu, spécialisée dans le développement de logiciels, a réalisé une analyse de l'utilisation des ports rdp dans les pays scandinaves. Cette analyse, dont Techworld a pris connaissance, montre que moins de 9 655 organisations suédoises utilisent des ports rdp sur Internet. Toutes ces entreprises courent un risque important d'être attaquées. Awingu gjorde sin undersökning genom att med hjälp av sökmotorn Shodan ta reda på vilka svenska ip-adresser som exponerar tcp-porten 3389.
"Med tanke på omständigheterna måste man vara tokig om man exponerar rdp-porten utan något extra skyddslager", säger Kurt Bonne, cto på Awingu.
Le problème des ports rdp exponentiels n'est pas encore résolu en Suède. Sökmotorn Shodan användes även av säkerhetsföretaget Avast när de i oktober förra året kom fram till att nästan 3,5 miljoner rdp-portar är exponerade världen över.
Prestataires lié à ouvrir des points de terminaison RDP Suède - Janvier 2019, Awingu
Le programme de gestion de l'environnement est un programme de développement durable.
Depuis quelques années, un programme de rançongiciel (ransomware) a été lancé sur les ordinateurs personnels. Différentes variantes portant les noms d'ACCDFISA, SamSam et CrySiS utilisent des serveurs dans le domaine de la protection des données afin de protéger le système de l'utilisateur et de crypter ses données. CrySiS s'est transformé en plusieurs variantes, dont Dharma, Brrr, Gamma et Monro. Nyligen skrev Techworld om en ny variant av Dharma som heter PhobosLe programme de lutte contre le sida a été mis en œuvre par les analystes de la société civile, mais il a été rejeté en décembre. Le fait que le programme de gestion des déchets soit un programme de développement durable est en fait une preuve de l'efficacité du programme ; les personnes qui l'utilisent s'efforcent d'atteindre le niveau le plus bas possible de protection de l'environnement.
"Vi har sett flera ransomware-attacker som spridits just via stulna rdp-konton", säger David Jacoby pour Kaspersky Labs.
Même la police fédérale américaine, le FBI, en collaboration avec le ministère de la Sécurité intérieure, a mis en place un système de surveillance des pirates informatiques et des portails de données à caractère personnel. I en apprentissage offensif som publicerades 27 september förra året skriver myndigheterna att alla som använder rdp bör se över sina system och stänga av protokollet där det inte är absolut nödvändigt, men att systemen kan skyddas med hjälp av vpn-kopplingar och tvåfaktorsautentisering.
Lorsque le protocole rdp n'est pas adapté, l'administrateur du système doit le faire. Tous les experts de Techworld s'accordent sur le fait que le protocole ne doit pas être modifié, et que les administrateurs système doivent utiliser le protocole rdp, même s'il n'est pas possible d'utiliser un réseau privé virtuel. Le meilleur moyen d'améliorer le système est d'utiliser un système de contrôle de la télévision.
"Il est possible de bloquer l'accès à un système Windows et d'accéder au système via un port rdp sur un réseau privé virtuel (vpn), mais cette méthode n'est pas toujours facile à appliquer. Då är tvåfaktorsautentisering vägen framåt", säger Kurt Bonne på Awingu.