#

Le COVID-19 - Une aubaine pour les hackers


L'arrivée du Coronavirus en France s'est traduite par un passage rapide et forcé au télétravail. Les entreprises déjà équipées en solution d'accès à distance n'ont eu qu'à gérer une augmentation de capacité de leurs infrastructures informatiques. En revanche, les sociétés ne disposant pas déjà d'un service robuste et sécurisé ont dû s'équiper, souvent dans l'urgence, pour assurer la continuité de leurs activités.


La solution privilégiée pour la plupart d'entre elles était l'utilisation d'un service nativement présent sur les plateformes Microsoft Windows: le Remote Desktop

Remote Desktop - Schéma de fonctionnement de la connexion distante vers les ressources et les applications métier de l entreprise


Cette solution très simple et rapide à mettre en oeuvre, permet aux employés de continuer à travailler et utiliser les applications métier de l'entreprise alors qu'ils se situent en dehors de ses locaux.

Remote Desktop sur Internet - Les faits

Des mesures réalisées en 2019 et publiées par Sophos ont été réalisées en mettant en ligne des serveurs connectés sur Internet, afin de mesurer la rapidité ainsi que le niveau de sofistication des attaques. Les premières machines mises en ligne ont commencé à subir des attaques après seulement 1 minute et 24 secondes, comptabilisant plus de 150 000 tentatives quotidiennes de connexions au machines.

La majorité des attaques se basait sur des dictionnaires de mots de passe (des lites pré-établies) afin de tenter d'usurper un compte administateur de la machine. L'image ci dessous montre un extrait des mots de passe les plus souvent utilisés sur les systèmes informatiques Remote Desktop - Des mots de passe trop simples

Quels sont les risques inhérents à cette solution?

Les implémentations d'accès à distance via le Remote Desktop de Microsoft exposent les sociétés à 2 types de risques:

  • Des risques associés à la configuration même des services: une configuration de base du service, sans précaution particulère, augmente l'exposition de la société aux menaces externes. En effet, dès que le service est visible sur internet, une personne malveillante va pouvoir très rapidement identifier qu'une passerelle d'accès à distance est disponible et en cartographier les vulnérabilités. Il pourra alors préparer son attaque et l'intrusion au sein du Système d'Informations n'est qu'une question de temps...
  • Le protocole de Remote Desktop (RDP) présente des failles de sécurité qui peuvent être comblées sous réserve d'une application rigoureuse et régulière des mises à jour de sécurité Microsoft (voir par exemple les failles CVE-2020-0609 et CVE-2020-0610 identifiées en début d'année 2020, montrant que l'on trouve régulièrement de nouvelles failles de sécurité autour de ce protocole assez régulièrement)

Heureusement, il existe de nombreuses solutions pour renforcer sa sécurité autour des accès à distance et ainsi éviter de s'exposer aux menaces externes



Les solutions possibles

La solution la plus rapide à mettre en oeuvre est de changer la configuration par défaut du service : cette première option préserve l'accès distant via le protocole RDP mais réduit la surface d'attaque disponible à l'extérieur de la société. Les options suivantes peuvent être explorées et mises en place de manière conjointe pour renforcer la sécurité du réseau d'entreprise

  • Appliquer les mises à jour de sécurité sur les serveurs exposant le service, et ce de manière mensuelle
  • Changer les ports d'écoute par défaut de RDP
  • Ne plus exposer le RDP directement sur internet mais privilégier la mise en place d'une connexionx privée virtuelle (VPN) ou exposer le RDP à travers une passerelle RDS
  • Renforcer les stratégies de sécurité autour des comptes utilisateurs (vérouillage automatique du compte au bout de N tentatives infructueuses de connexion, mise en place de mots de passe complexes)
  • Déployer une solution d'authentification multi facteurs
  • Restreindre au strict minimum la population capable de se connecter au service RDP
  • Utiliser une solution complémentaire à RDP, réalisant un découplage protocolaire et réduisant ainsi le risque (Citrix XenApp / XenDesktop, Apache Guacamole...)

L'impact de ces risques sur les sociétés va de l'atteinte à la réputation de l'entreprise, jusqu'à des amendes ou des sanctions (en particulier dans le cas de fuite de données à caractère personnel), en passant par des pertes financières directes et indirectees



Notre rôle

A travers ses offres de services Digi-MI et Safe-MI, M4ii permet à ses clients de réaliser leur transformation digitale, de moderniser leur écosystème informatique et ainsi travailler, collaborer et accéder aux données de l'entreprise de n'importe où et de manière sécurisée.

N'hésitez pas à nous solliciter pour vous accompagner dans la mise en oeuvre de vos accès distants au système d'information de votre entreprise!


M4ii a l’ambition de devenir le partenaire privilégié de la transformation digitale de ses clients en plaçant les données, leur accès et leur protection au centre des discussions