Le Remote Desktop Protocol ou RDP expose chaque jour des milliers de systèmes à des attaques ciblées. Connaître ses failles permet de mieux défendre son infrastructure.
🔥 Nous recommandons McAfee
McAfee est le meilleur logiciel de protection grâce à sa défense proactive, son pare-feu intelligent, son VPN intégré et sa détection instantanée des menaces. Sécurité totale, performance préservée, tranquillité assurée.
J'en profiteLe RDP est un protocole conçu par Microsoft pour permettre l’accès à un ordinateur à distance. Il opère par défaut sur le port 3389 et utilise le chiffrement TLS. Les attaquants l’exploitent en masse via des attaques par force brute. Comprendre son fonctionnement est une priorité pour tout responsable réseau.
Comment le RDP opère dans un réseau d’entreprise ?
Le RDP établit un canal chiffré entre un client et un serveur distant. Ce canal transmet les frappes clavier, les clics souris et l’affichage en temps réel. Le protocole compresse les données pour limiter la latence sur les connexions lentes. Côté serveur, le service Terminal Services gère les sessions actives.
Chaque session reçoit ses propres ressources processeur et mémoire. Plusieurs utilisateurs peuvent ainsi travailler en parallèle sur la même machine. Le client RDP envoie une demande de connexion. Le serveur vérifie les droits de l’utilisateur avant d’ouvrir la session. Cette vérification repose sur les politiques de sécurité Active Directory en contexte Windows.
Le trafic RDP peut transiter via un réseau local ou sur Internet. Sur Internet, l’exposition directe du port 3389 représente un risque majeur. Les journaux de connexion montrent souvent des milliers de tentatives d’intrusion par heure sur ce seul port. Pour limiter ces risques, beaucoup d’équipes placent le serveur RDP derrière un VPN ou un bastion. Cette architecture filtre les connexions avant même l’authentification. Elle réduit la surface d’attaque sans bloquer les usages légitimes.
Les grandes failles du remote desktop protocol
Le RDP souffre de vulnérabilités documentées et régulièrement exploitées. La plus connue permet l’exécution de code à distance sans authentification préalable. Elle affecte les versions non corrigées du service Windows Remote Desktop. Les attaques par credential stuffing ciblent aussi le RDP en priorité. Des outils automatisés testent des millions de combinaisons identifiant/mot de passe. Un compte sans politique de verrouillage cède rapidement sous cette pression.
Le man-in-the-middle demeure une autre menace réelle. Un attaquant placé sur le chemin réseau peut intercepter la session si le certificat n’est pas validé. Les utilisateurs acceptent trop fréquemment les avertissements de certificat sans vérification. Les ransomwares utilisent généralement le RDP comme vecteur d’entrée. Une fois connectés, les opérateurs déploient leur charge malveillante en quelques minutes. Les sauvegardes accessibles depuis la session RDP sont alors aussi chiffrées.
Enfin, le protocole lui-même peut être détourné via des sessions RDP imbriquées. Cette technique permet à un attaquant de rebondir vers d’autres machines internes. Elle complique l’enquête de manière conséquente et laisse peu de traces dans les journaux standard.
Des bonnes pratiques pour sécuriser le RDP en production
Changer le port par défaut ne constitue pas une vraie protection. Des scanners identifient le service RDP sur n’importe quel port en quelques secondes. Cette mesure peut tout de même réduire le bruit dans les journaux. Activer l’authentification au niveau réseau ou NLA reste essentiel.
NLA exige une authentification avant l’ouverture de la session graphique. Elle bloque les tentatives d’exploitation pré-authentification documentées. L’authentification à plusieurs facteurs (MFA) ajoute une barrière supplémentaire. Un code à usage unique rend inutile un mot de passe volé. Des solutions tierces s’intègrent directement au service RDP Windows.
Limiter les comptes autorisés à se connecter réduit la surface d’attaque. Seuls les administrateurs concernés doivent figurer dans le groupe Remote Desktop Users. Ce contrôle s’applique via les politiques de groupe (GPO). Surveiller les journaux d’événements Windows apporte une visibilité réelle. Les ID 4625 (échec d’authentification) et 4624 (connexion réussie) sont les plus utiles. Un SIEM peut déclencher des alertes dès que ces seuils sont dépassés.
Comparatif des solutions d’accès distant selon leur niveau de sécurité
De nombreuses solutions coexistent pour rendre possible l’accès distant et sécurisé à un ordinateur. Chacune de ces options présente un profil de risque et des contraintes d’usage différents. L’approche à choisir dépend essentiellement du niveau de sécurité requis, du budget et de la complexité acceptable.
| Solution | MFA inclus | Exposition réseau | Tarif indicatif | Cas d’usage principal |
|---|---|---|---|---|
| RDP + NLA | Non natif | Élevée (port 3389) | Gratuit Inclus dans Windows Server | Administration Windows interne |
| RDP via VPN | Partiel (VPN) | Moyenne | ~5 – 15 €/mois Par utilisateur (solution VPN tierce) | Équipes distantes en entreprise |
| Bastion SSH | Oui (clés) | Faible | Gratuit Open source (OpenSSH) | Accès serveurs Linux/cloud |
| Zero Trust (ZTNA) | Oui natif | Minimale | ~10 – 25 €/mois Par utilisateur (Cloudflare, Zscaler…) | Environnements hybrides critiques |
| Guacamole (web) | Via config | Moyenne (HTTPS) | Gratuit Open source, hébergement à prévoir | Accès sans client, BYOD |
Questions fréquentes
Le RDP fonctionne-t-il sur macOS et Linux ?
Des clients RDP natifs ou tiers existent pour macOS et Linux. Microsoft Remote Desktop est disponible gratuitement sur l’App Store d’Apple.
Quelle différence entre RDP et VNC ?
RDP ne transmet que les commandes et l’affichage compressé, le rendant plus rapide que VNC. Virtual Network Computing ou VNC envoie des captures d’écran brutes et utilise plus de bande passante.
Le RDP est-il compatible avec les environnements cloud ?
AWS, Azure et Google Cloud prennent tous en charge les connexions RDP vers leurs machines virtuelles Windows. La sécurité dépend des règles de pare-feu configurées dans chaque environnement.
Comment enregistrer les sessions RDP à des fins d’audit ?
Windows Server propose l’enregistrement de sessions via Remote Desktop Services et les stratégies de groupe. Des solutions tierces permettent d’archiver les sessions avec indexation et recherche.
Existe-t-il des alternatives open source au RDP ?
Apache Guacamole propose un accès distant sans client via un navigateur web. FreeRDP est une implémentation open source du protocole RDP, compatible avec la plupart des serveurs Windows.
