Cardinal Security
Tous les articles
Adrian Frutieaux 2 min de lecture RDPExpositionAccès distant

RDP exposé sur Internet : la porte d'entrée préférée des attaquants

Le Bureau à distance (RDP) ouvert sur Internet est l'une des premières causes d'intrusion. Pourquoi, comment le savoir, et comment le mettre à l'abri.

Le télétravail a généralisé l’accès à distance aux postes et aux serveurs. Pratique, mais quand le Bureau à distance (RDP) est laissé ouvert directement sur Internet, il devient l’une des portes d’entrée les plus exploitées par les attaquants. Et contrairement à une idée reçue, ce n’est pas une question de taille d’entreprise : c’est une question de configuration.

Pourquoi c’est si risqué

Un service RDP exposé est visible et testable par n’importe qui. Les attaquants ne le cherchent même pas manuellement : des moteurs spécialisés indexent en permanence les services ouverts sur Internet, RDP en tête. Une fois votre adresse repérée, deux scénarios reviennent :

  • L’essai de mots de passe en masse. Des milliers de combinaisons sont testées automatiquement, souvent à partir d’identifiants déjà fuités ailleurs.
  • L’exploitation d’une faille connue. Plusieurs vulnérabilités RDP marquantes de ces dernières années permettent de prendre la main sans même connaître de mot de passe.

Le problème, c’est ce qu’il y a derrière : une fois le poste compromis, l’attaquant se retrouve à l’intérieur de votre réseau, prêt à progresser vers vos serveurs et vos données. C’est très souvent le premier maillon d’une attaque par rançongiciel.

Comment savoir si vous êtes concerné

Bonne nouvelle : cela se vérifie de l’extérieur, sans rien toucher à vos systèmes. Le fait qu’un port RDP réponde sur votre adresse IP est une information publique. C’est précisément le genre de point qu’un rapport d’exposition fait remonter en priorité, parce que le risque est élevé et la correction, simple.

Les bonnes pratiques

L’objectif n’est pas de supprimer l’accès distant, mais de le rendre invisible et contrôlé :

  1. Ne jamais exposer RDP directement sur Internet. Passez par un VPN ou une passerelle d’accès dédiée : le service n’est alors plus visible publiquement.
  2. Activez la double authentification sur l’accès distant. Même un mot de passe deviné ne suffit plus.
  3. Utilisez des mots de passe robustes et verrouillez les comptes après plusieurs échecs de connexion.
  4. Tenez le service à jour. Les failles RDP connues disposent toutes d’un correctif : encore faut-il l’appliquer.

En résumé

Le confort de l’accès distant ne se paie pas forcément en sécurité. Bien configuré (derrière un VPN, avec double authentification et à jour), il reste pratique et sûr. Le vrai danger, c’est le RDP qu’on a ouvert « juste pour dépanner » et qu’on a oublié de refermer.

Un service d’accès distant traîne peut-être sur votre surface exposée sans que vous le sachiez. Faites le point. Analyse 100 % passive, sans toucher à vos systèmes.