Sujet

Quand l’outil de connexion à distance est la cible d’attaques

Contenu

Le Remote Desktop Protocol (RDP) permet aux utilisateurs de se connecter à des ordinateurs à distance. La pandémie a radicalement augmenté le nombre de personnes utilisant les services RDP pour travailler à domicile. Le nombre élevé d’ordinateurs accessibles via RDP et la popularité des noms d’utilisateur par défaut et des mots de passe faibles ont fait de RDP un point d’entrée privilégié pour les pirates informatiques cherchant à s’introduire dans le réseau d’une organisation. Il est donc probable que tout ordinateur exposant RDP à Internet intéresse les acteurs malicieux et est susceptible de faire l’objet d’attaques fréquentes. Pour étudier les attaques sur RDP, nous exploitons des « honeypot » à haute interaction sur Internet qui utilisent notre outil en source libre PyRDP. Chaque jour, les pirates tentent de se connecter à nos systèmes sur lesquels ils peuvent pleinement interagir et déploient souvent des logiciels malveillants ou des programmes potentiellement indésirables tel que des cryptomineurs ou des logiciels de monétisation proxy comme EarnApp. Nous avons analysé près de 3,5 millions de tentatives de connexion de juillet à septembre 2022. Nous avons analysé les différentes stratégies utilisées par les attaquants : la combinaison du nom d’utilisateur et du mot de passe qu’ils essaient, l’utilisation d’une liste bien connue de mots de passe, le taux de fréquence de leurs attaques, le pays d’origine, le moment des attaques, etc. À travers cette présentation, nous ferons un bref survol du protocole RDP, de l’architecture de nos « honeypots » ainsi qu’une courte démonstration des opportunités de surveillance de PyRDP. Nous poursuivrons par des analyses poussées sur les tentatives de connexion afin de dévoiler le plus d’informations possible sur les attaquants opportunistes. Nous révélerons que contrairement à ce qu’ont observé d’autres chercheurs, une proportion importante d’attaquants utilisent des stratégies sophistiquées dans leurs tentatives de connexion. Nous conclurons avec les meilleures pratiques afin d’éviter les risques inhérents à RDP.

Présenté par Olivier Bilodeau

À propos d’Olivier Bilodeau

Olivier Bilodeau est à la tête du département de recherche en cybersécurité de GoSecure. Avec plus de 12 ans d’expérience en cybersécurité, Olivier est passé par la gestion de réseaux et de serveurs Unix, le développement d’un logiciel libre de contrôle d’accès réseau et a travaillé comme chercheur en logiciel malveillant. Il est maintenant obsédé par le Remote Desktop Protocol (RDP) depuis 3 ans et a reporté des vulnérabilités à Microsoft à son sujet. Communicateur chevronné, il a donné des présentations à plusieurs conférences telles que BlackHat, Defcon, Botconf, SecTor, Derbycon et bien d’autres. Investi dans sa communauté, il est co-fondateur de MontréHack — une initiative mensuelle de partage de connaissances techniques en sécurité appliquée —, il est président de NorthSec et est l’hôte de son Hacker Jeopa