Ah, le bon vieux Remote Desktop Protocol (RDP). Cet outil magique qui permet aux admins dâaccĂ©der Ă distance Ă leurs serveurs⊠mais aussi aux cybercriminels de sâinviter dans vos systĂšmes comme dans un buffet Ă volontĂ©.
Et parce quâon nâarrĂȘte jamais le progrĂšs dans le monde du cyber-banditisme, GreyNoise vient dâobserver une petite fiesta: prĂšs de 2 000 IP synchronisĂ©es ont commencĂ© Ă toquer en mĂȘme temps aux portes dâauthentification RDP (RD Web Access & Web Client) le 21 aoĂ»t dernier. Trois jours plus tard ? Boom. 30 000 adresses IP dĂ©barquent comme un fan club de hackers en goguette.
đ Le sketch du moment : âDevinez qui je suisâ
Ces scans ne cherchent pas directement Ă forcer vos mots de passe (pas encore, hein, patienceâŠ). Non, ils pratiquent lâart subtil du timing attack.
đ Le principe ? Quand vous tapez un login correct, mĂȘme sans le bon mot de passe, le serveur RDP ne rĂ©agit pas exactement pareil quâavec un utilisateur inexistant. En mesurant ces micro-diffĂ©rences, les attaquants peuvent dresser la liste des comptes valides.
En clair : âSalut, je mâappelle Toto123, tâexistes ?â â âNon.â
âSalut, je mâappelle admin.fac, tâexistes ?â â âOui, mais tu nâas pas le bon mot de passe.â
Bingo. Le compte est valide.
Câest lâĂ©quivalent numĂ©rique du mec qui sonne chez vous et note soigneusement quels sonnettes fonctionnent avant de revenir plus tard avec un pied-de-biche.
đ Des chiffres qui piquent
- 1 971 IP le 21 août.
- 30 000 IP le 24 août.
- 73 % des IP originaires du BrĂ©sil, ciblant exclusivement les Ătats-Unis.
- 92 % déjà considérées malveillantes par GreyNoise.
Bref, ce nâest pas une âcuriositĂ© scientifiqueâ : câest une campagne coordonnĂ©e, pas un concours dâimprovisation rĂ©seau.
đ Contexte bonus : la rentrĂ©e scolaire amĂ©ricaine
Pourquoi maintenant ? Oh, simple coĂŻncidence : câest la rentrĂ©e scolaire aux Ătats-Unis. Les universitĂ©s rallument joyeusement leurs RDP publics pour les Ă©tudiants, souvent protĂ©gĂ©s par des logins du style prenom.nom ou etudiant1234.
Autant dire que pour un attaquant, câest comme si on distribuait gratuitement des mots de passe âpassword2025â.
đ€Ą Le gĂ©nie de la cybersĂ©curitĂ© : âMais ça ne mâarrivera pasâ
Ce qui est beau, câest que malgrĂ© 25 ans de leçons douloureuses, des milliers dâorganisations continuent de laisser RDP ouvert sur Internet, sans MFA, sans filtrage IP, parfois mĂȘme sans journaux dâaccĂšs correctement configurĂ©s.
Vous imaginez la scĂšne :
â âChef, notre serveur RDP est scannĂ© par 30 000 IP !â
â âAh ? Mais on a mis un mot de passe fort, non ? Genre Azerty1234$ !â
â ââŠâ
â ïž Pourquoi il faut (vraiment) sâen inquiĂ©ter
Ce type de reconnaissance est rarement une fin en soi. Il annonce :
- Du password spraying (tester un mot de passe sur une foule dâutilisateurs).
- Du credential stuffing (utiliser des identifiants volés ailleurs).
- Des attaques plus chirurgicales, souvent ransomware en bout de chaßne.
Et GreyNoise rappelle que dans 80 % des cas, ces vagues massives prĂ©cĂšdent la dĂ©couverte (ou lâexploitation) dâune nouvelle vulnĂ©rabilitĂ©. Traduction : ça sent la CVE fraĂźche sous peu.
đĄïž Les leçons pour les admins (et les autres)
Vous voulez Ă©viter de finir en statistiche rigolote dans le prochain rapport cyber ? VoilĂ le kit de survie minimal :
- Activez le MFA. Oui, mĂȘme si vos utilisateurs rĂąlent. Câest moins pĂ©nible quâune rançon Ă 6 zĂ©ros.
- Cachez vos RDP derriĂšre un VPN. Internet nâa pas besoin de savoir quâil existe.
- Bloquez les IP malveillantes connues (listes dynamiques type GreyNoise, AbuseIPDB, etc.).
- Regardez vos logs. Si vous voyez 15 000 tentatives de login âstudent01â, ce nâest probablement pas un Ă©tudiant motivĂ©.
- ArrĂȘtez de croire que âça nâarrive quâaux autresâ. Spoiler : non.
đ€ La morale sarcastique de lâhistoire
RDP, câest comme laisser la porte de son appart ouverte avec un Ă©criteau âclĂ© sous le paillassonâ : ça peut passer inaperçu quelques jours, mais tĂŽt ou tard, quelquâun va tester. Et quand ce âquelquâunâ sâappelle 30 000 adresses IP coordonnĂ©es, il est peut-ĂȘtre temps de revoir vos prioritĂ©s.
AprĂšs tout, on dĂ©pense des fortunes en cafĂ©s pour les open-spaces, mais on rechigne encore Ă mettre un MFA qui coĂ»te moins cher quâune machine Ă capsules.
â Conclusion : si vous exposez encore RDP sur Internet en 2025, vous mĂ©ritez probablement dâapparaĂźtre dans le prochain rapport annuel des âDarwin Awards de la cybersĂ©curitĂ©â.
