Ah, le bon vieux Remote Desktop Protocol (RDP). Cet outil magique qui permet aux admins d’accéder à distance à leurs serveurs… mais aussi aux cybercriminels de s’inviter dans vos systèmes comme dans un buffet à volonté.
Et parce qu’on n’arrête jamais le progrès dans le monde du cyber-banditisme, GreyNoise vient d’observer une petite fiesta: près de 2 000 IP synchronisées ont commencé à toquer en même temps aux portes d’authentification RDP (RD Web Access & Web Client) le 21 août dernier. Trois jours plus tard ? Boom. 30 000 adresses IP débarquent comme un fan club de hackers en goguette.
🎭 Le sketch du moment : “Devinez qui je suis”
Ces scans ne cherchent pas directement à forcer vos mots de passe (pas encore, hein, patience…). Non, ils pratiquent l’art subtil du timing attack.
👉 Le principe ? Quand vous tapez un login correct, même sans le bon mot de passe, le serveur RDP ne réagit pas exactement pareil qu’avec un utilisateur inexistant. En mesurant ces micro-différences, les attaquants peuvent dresser la liste des comptes valides.
En clair : “Salut, je m’appelle Toto123, t’existes ?” – “Non.”
“Salut, je m’appelle admin.fac, t’existes ?” – “Oui, mais tu n’as pas le bon mot de passe.”
Bingo. Le compte est valide.
C’est l’équivalent numérique du mec qui sonne chez vous et note soigneusement quels sonnettes fonctionnent avant de revenir plus tard avec un pied-de-biche.
📈 Des chiffres qui piquent
- 1 971 IP le 21 août.
- 30 000 IP le 24 août.
- 73 % des IP originaires du Brésil, ciblant exclusivement les États-Unis.
- 92 % déjà considérées malveillantes par GreyNoise.
Bref, ce n’est pas une “curiosité scientifique” : c’est une campagne coordonnée, pas un concours d’improvisation réseau.
🎒 Contexte bonus : la rentrée scolaire américaine
Pourquoi maintenant ? Oh, simple coïncidence : c’est la rentrée scolaire aux États-Unis. Les universités rallument joyeusement leurs RDP publics pour les étudiants, souvent protégés par des logins du style prenom.nom ou etudiant1234.
Autant dire que pour un attaquant, c’est comme si on distribuait gratuitement des mots de passe “password2025”.
🤡 Le génie de la cybersécurité : “Mais ça ne m’arrivera pas”
Ce qui est beau, c’est que malgré 25 ans de leçons douloureuses, des milliers d’organisations continuent de laisser RDP ouvert sur Internet, sans MFA, sans filtrage IP, parfois même sans journaux d’accès correctement configurés.
Vous imaginez la scène :
— “Chef, notre serveur RDP est scanné par 30 000 IP !”
— “Ah ? Mais on a mis un mot de passe fort, non ? Genre Azerty1234$ !”
— “…”
⚠️ Pourquoi il faut (vraiment) s’en inquiéter
Ce type de reconnaissance est rarement une fin en soi. Il annonce :
- Du password spraying (tester un mot de passe sur une foule d’utilisateurs).
- Du credential stuffing (utiliser des identifiants volés ailleurs).
- Des attaques plus chirurgicales, souvent ransomware en bout de chaîne.
Et GreyNoise rappelle que dans 80 % des cas, ces vagues massives précèdent la découverte (ou l’exploitation) d’une nouvelle vulnérabilité. Traduction : ça sent la CVE fraîche sous peu.
🛡️ Les leçons pour les admins (et les autres)
Vous voulez éviter de finir en statistiche rigolote dans le prochain rapport cyber ? Voilà le kit de survie minimal :
- Activez le MFA. Oui, même si vos utilisateurs râlent. C’est moins pénible qu’une rançon à 6 zéros.
- Cachez vos RDP derrière un VPN. Internet n’a pas besoin de savoir qu’il existe.
- Bloquez les IP malveillantes connues (listes dynamiques type GreyNoise, AbuseIPDB, etc.).
- Regardez vos logs. Si vous voyez 15 000 tentatives de login “student01”, ce n’est probablement pas un étudiant motivé.
- Arrêtez de croire que “ça n’arrive qu’aux autres”. Spoiler : non.
🤔 La morale sarcastique de l’histoire
RDP, c’est comme laisser la porte de son appart ouverte avec un écriteau “clé sous le paillasson” : ça peut passer inaperçu quelques jours, mais tôt ou tard, quelqu’un va tester. Et quand ce “quelqu’un” s’appelle 30 000 adresses IP coordonnées, il est peut-être temps de revoir vos priorités.
Après tout, on dépense des fortunes en cafés pour les open-spaces, mais on rechigne encore à mettre un MFA qui coûte moins cher qu’une machine à capsules.
✅ Conclusion : si vous exposez encore RDP sur Internet en 2025, vous méritez probablement d’apparaître dans le prochain rapport annuel des “Darwin Awards de la cybersécurité”.
