Andréanne Bergeron

Chercheure en cybersécurité chez GoSecure

1er mars - 8:45

Sujet

Quand l’outil de connexion à distance est la cible d’attaques

Contenu

Le Remote Desktop Protocol (RDP) permet aux utilisateurs de se connecter à des ordinateurs à distance. La pandémie a radicalement augmenté le nombre de personnes utilisant les services RDP pour travailler à domicile. Le nombre élevé d’ordinateurs accessibles via RDP et la popularité des noms d’utilisateur par défaut et des mots de passe faibles ont fait de RDP un point d’entrée privilégié pour les pirates informatiques cherchant à s’introduire dans le réseau d’une organisation. Il est donc probable que tout ordinateur exposant RDP à Internet intéresse les acteurs malicieux et est susceptible de faire l’objet d’attaques fréquentes. Pour étudier les attaques sur RDP, nous exploitons des « honeypot » à haute interaction sur Internet qui utilisent notre outil en source libre PyRDP. Chaque jour, les pirates tentent de se connecter à nos systèmes sur lesquels ils peuvent pleinement interagir et déploient souvent des logiciels malveillants ou des programmes potentiellement indésirables tel que des cryptomineurs ou des logiciels de monétisation proxy comme EarnApp. Nous avons analysé près de 3,5 millions de tentatives de connexion de juillet à septembre 2022. Nous avons analysé les différentes stratégies utilisées par les attaquants : la combinaison du nom d’utilisateur et du mot de passe qu’ils essaient, l’utilisation d’une liste bien connue de mots de passe, le taux de fréquence de leurs attaques, le pays d’origine, le moment des attaques, etc. À travers cette présentation, nous ferons un bref survol du protocole RDP, de l’architecture de nos « honeypots » ainsi qu’une courte démonstration des opportunités de surveillance de PyRDP. Nous poursuivrons par des analyses poussées sur les tentatives de connexion afin de dévoiler le plus d’informations possible sur les attaquants opportunistes. Nous révélerons que contrairement à ce qu’ont observé d’autres chercheurs, une proportion importante d’attaquants utilisent des stratégies sophistiquées dans leurs tentatives de connexion. Nous conclurons avec les meilleures pratiques afin d’éviter les risques inhérents à RDP.

Présenté par Andréanne Bergeron

AndreanneBergeron

À propos d’Andréanne Bergeron

Andréanne Bergeron est titulaire d’un doctorat en criminologie de l’Université de Montréal et travaille comme chercheure en cybersécurité chez GoSecure. Elle s’intéresse aux comportements des attaquants en ligne. Elle est une conférencière expérimentée avec plus de 38 conférences universitaires et se concentre maintenant sur le domaine de la sécurité informatique.