Qu'est-ce que le Remote Desktop Protocol ?
- Glossaire IAM
- Qu'est-ce que le Remote Desktop Protocol ?
Le Remote Desktop Protocol (RDP) est un protocole de communication réseau qui permet aux utilisateurs de se connecter à distance à des ordinateurs de manière sécurisée. En plus de permettre aux administrateurs informatiques et au personnel DevOps d'effectuer la maintenance et la réparation des systèmes à distance, le RDP permet aux utilisateurs finaux non techniques d'accéder à leurs postes de travail à distance.
À l'origine, RDP a été développé par Microsoft et est préinstallé sur la plupart des machines Windows. De plus, des clients RDP, y compris des versions open-source, sont disponibles pour Mac OS, Apple iOS, Android et les systèmes Linux/Unix. Par exemple, Java Remote Desktop Protocol est un client Java RDP open source pour Windows Terminal Server, tandis que Apple Remote Desktop (ARD) est une solution propriétaire pour les Macs.
Comment fonctionne le Remote Desktop Protocol ?
Le RDP est parfois confondu avec l'informatique sur le cloud, car ces deux technologies permettent de travailler à distance. En réalité, les similitudes entre RDP et l'informatique sur le cloud s'arrêtent à l'accès à distance.
Dans un environnement cloud, les utilisateurs accèdent aux fichiers et aux applications stockés sur des serveurs cloud, et non sur le disque dur de leur ordinateur de bureau. En revanche, RDP connecte directement les utilisateurs aux ordinateurs de bureau, leur permettant d'accéder aux fichiers et d'exécuter des applications comme s'ils étaient physiquement assis devant cette machine. De ce point de vue, l'utilisation de RDP pour se connecter et travailler sur un ordinateur distant ressemble beaucoup à l'utilisation d'une télécommande pour piloter un drone, à ceci près que RDP transmet les données sur Internet au lieu d'utiliser des fréquences radio.
Le protocole RDP exige que les utilisateurs installent un logiciel client sur la machine à partir de laquelle ils se connectent et un logiciel serveur sur la machine à laquelle ils se connectent. Une fois connectés à la machine distante, les utilisateurs distants voient la même interface utilisateur graphique (GUI) et accèdent aux fichiers et aux applications de la même manière que s'ils travaillaient localement.
Les logiciels client et serveur RDP communiquent via le port réseau 3389, en utilisant le protocole de transport TCP/IP pour transmettre les mouvements de la souris, les frappes au clavier et d'autres données. RDP chiffre toutes les données en transit pour empêcher les sources de menaces de les intercepter. En raison de l'interface graphique, les communications entre le client et le serveur sont hautement asymétriques. Tandis que le client ne transmet que les entrées de la souris et du clavier (qui représentent relativement peu de données), le serveur doit transmettre l'interface graphique à forte intensité de données.
À quoi sert le RDP ?
Même dans un monde basé sur le Cloud, RDP convient parfaitement à de nombreux cas d'utilisation. Voici certains des plus populaires :
- Dans la mesure où le protocole RDP permet aux utilisateurs de se connecter directement à une machine spécifique, il est largement utilisé par les administrateurs, les services d'assistance et le personnel de support technique pour configurer, entretenir, dépanner et réparer les ordinateurs de bureau et les serveurs.
- RDP fournit une interface graphique prête à l'emploi lors de la connexion aux serveurs, de sorte que les administrateurs peuvent choisir de faire leur travail via l'interface graphique plutôt que via l'interface en ligne de commande (CLI).
- RDP permet aux utilisateurs d'utiliser un appareil mobile ou un ordinateur de faible puissance pour accéder à une machine distante dotée d'une puissance de calcul bien supérieure.
- Le personnel de vente et de marketing peut utiliser RDP pour des démonstrations de processus ou d'applications logicielles qui ne sont généralement accessibles que sur site.
- Le RDP et l'informatique sur le cloud peuvent être complémentaires. Les clients de Microsoft Entra ID (Azure) utilisent RDP pour accéder aux machines virtuelles sur leurs instances de cloud Entra ID (Azure). Certaines entreprises utilisent RDP pour permettre aux collaborateurs qui travaillent à distance d'accéder aux environnements cloud via une interface de bureau virtuel (VDI),une solution qui peut s'avérer plus simple pour les utilisateurs non techniques.
Quels sont les avantages et les inconvénients du RDP ?
En se connectant directement aux serveurs et ordinateurs locaux, RDP permet de travailler à distance dans des entreprises disposant d'une infrastructure locale, y compris dans des environnements de cloud hybride. Dans le même ordre d'idées, RDP est une excellente option lorsque les utilisateurs distants doivent accéder à des données qui doivent être hébergées sur place pour des raisons juridiques ou de conformité. Les administrateurs informatiques et de sécurité peuvent limiter les connexions RDP à une machine particulière à quelques utilisateurs (voire un seul) à la fois.
Cependant, malgré tous les avantages du RDP, il présente quelques inconvénients, notamment :
- L'activité du clavier et de la souris de l'utilisateur devant être chiffrée, puis transmise par Internet à la machine distante, les connexions RDP connaissent des problèmes de latence, surtout si l'ordinateur client dispose d'une connexion Internet lente.
- Le protocole RDP nécessite l'utilisation d'un logiciel sur les machines clientes et les serveurs. Si ce logiciel est préinstallé dans la plupart des versions de Windows, il doit néanmoins être configuré et entretenu. Si le RDP n'est pas configuré correctement et que les mises à jour logicielles ne sont pas appliquées rapidement, des problèmes de sécurité importants peuvent survenir.
- Le protocole RDP est susceptible de présenter de nombreuses failles de sécurité, que nous allons aborder dans la rubrique suivante.
Vulnérabilités de sécurité du RDP
Les deux principales failles de sécurité du RDP concernent la faiblesse des identifiants de connexion et l'exposition du port 3389 à Internet.
Livrés à eux-mêmes, les collaborateurs utilisent des mots de passe faibles, stockent les mots de passe de manière non sécurisée et réutilisent les mots de passe sur plusieurs comptes. Cela concerne notamment les mots de passe pour les connexions RDP. Les identifiants RDP compromis sont un vecteur majeur des attaques de ransomware. Le problème est si répandu qu'un meme populaire sur les réseaux sociaux plaisante sur le fait que RDP signifie en réalité « protocole de déploiement de ransomware ».
Comme les connexions RDP utilisent le port réseau 3389 par défaut, les acteurs de la menace ciblent ce port pour des attaques « on-path » , également appelées attaques de l'homme du milieu (ou « man-in-the-middle »). Dans une attaque « on-path », un acteur de la menace se place entre le client et le serveur, où il peut intercepter, lire et modifier les communications qui vont et viennent.
Comment sécuriser RDP ?
Tout d'abord, déterminez si votre entreprise a vraiment besoin d'utiliser RDP ou si vous ne feriez pas mieux d'utiliser une alternative à RDP, telle que VNC (Virtual Network Computing), un système de partage de bureau graphique indépendant de la plate-forme. Si RDP est votre meilleure option, limitez l'accès aux seuls utilisateurs qui en ont absolument besoin et verrouillez l'accès au port 3389. Les options de sécurisation du port 3389 sont les suivantes :
- Configurez les règles du pare-feu de façon à ce que seules les adresses IP figurant sur la liste d'autorisation puissent accéder au port 3389.
- Obligez les utilisateurs à se connecter à un réseau privé virtuel (VPN) avant de pouvoir se connecter à RDP.
- Pour remplacer le VPN, demandez aux utilisateurs de se connecter à RDP par l'intermédiaire d'une passerelle de bureau à distance telle que Keeper Connection Manager. En plus d'être plus faciles à utiliser et moins lentes qu'un VPN, les passerelles de bureau à distance ont des capacités d'archivage des sessions et permettent aux administrateurs de rendre obligatoire l'utilisation de l'authentification multifacteur (MFA).
La sécurité totale des mots de passe est tout aussi importante que la protection contre les attaques qui ciblent les ports :
- Obligez les collaborateurs à utiliser des mots de passe forts et uniques pour chaque compte, et pas seulement pour RDP, et imposez l'utilisation de l'authentification multifactorielle. Déployez un gestionnaire de mots de passe d'entreprise (EPM) tel que Keeper pour appliquer ces politiques.
- Réfléchissez à la possibilité de « masquer » les mots de passe RDP. Il s'agit d'une fonctionnalité des gestionnaires de mots de passe, dont Keeper, qui permet aux utilisateurs de remplir automatiquement un mot de passe dans un formulaire de connexion, mais l'utilisateur ne peut pas voir le mot de passe.
- N'utilisez pas le nom d'utilisateur « Administrateur », « Admin » ou autre équivalent. De nombreux craqueurs de mots de passe automatisés tentent de deviner le mot de passe de l'utilisateur administratif, car ce compte possède les privilèges les plus élevés.
- Utilisez le « rate limiting » pour vous défendre contre les attaques de mots de passe par force brute. Le « rate limiting » empêche les robots de craquage de mots de passe de faire des centaines ou des milliers de tentatives rapides de deviner un mot de passe en peu de temps, en bloquant l'utilisateur après un petit nombre de tentatives incorrectes.