Le protocole RDP (Remote Desktop Protocol) est pratique. Quelques clics et vous voilà déjà au travail, assis chez vous sur votre ordinateur portable ou même sur votre téléphone dans un café. Mais il y a un « inconvénient » : le RDP est aussi une cible privilégiée des pirates. Les pirates scrutent constamment le réseau à la recherche de ports RDP ouverts, de mots de passe et de clés. Si vous ne prenez pas soin de votre sécurité, votre « bureau à distance » se transforme en une « porte ouverte à tous ».
La bonne nouvelle, c'est qu'il existe quelques ajustements simples mais efficaces qui rendront votre système beaucoup plus stable. Examinons-les un par un.
Les mots de passe ne sont pas « 123456 »
Cela paraît trivial, mais c'est là que la plupart des piratages commencent. Les mots de passe comme qwerty, admin ou password1 sont une aubaine pour les robots. Ils vérifient d'abord ces options.
La règle est simple : au moins 12 caractères, une combinaison de lettres, de chiffres et de symboles. Mieux encore, utilisez un gestionnaire de mots de passe pour vous épargner cette corvée. Un générateur de mots de passe peut vous aider à créer facilement des combinaisons fiables.
Exemple concret : en 2023, une entreprise américaine a perdu le contrôle de son serveur simplement parce que l'administrateur système avait laissé le mot de passe « Welcome2022 ». Des pirates ont téléchargé la base de données clients en deux heures. Et il ne s'agissait pas d'une petite entreprise, mais d'un service comptant 200 000 utilisateurs.
Authentification à deux facteurs (2FA)
Même si votre mot de passe est volé ou deviné par un robot, une seconde vérification peut sauver la situation. Il peut s'agir d'un code OTP de Google Authenticator, d'un SMS ou d'une notification push.
Sous Windows Server, vous pouvez connecter des solutions 2FA supplémentaires, et cela fonctionne vraiment. Certes, c'est parfois gênant, mais réfléchissez-y : qu'est-ce qui est le mieux, passer 20 secondes à coder ou perdre sa clientèle et devoir reconstruire sa réputation pendant des années ?
Changer le port et restreindre l'accès
Par défaut, le RDP est utilisé sur le port 3389. C'est sur ce port que des milliers de robots attaquent. Changer de port est un problème mineur, mais gênant.
Mieux encore, n'autorisez l'accès qu'à certaines adresses IP. Par exemple, vous ne pouvez vous connecter que depuis votre bureau ou via un VPN. Certes, c'est un peu compliqué, mais un pirate informatique bangladais ne pourra pas s'introduire sur votre serveur, même en théorie.
L'analogie est la suivante : imaginons que nous devions passer du rez-de-chaussée, fenêtre ouverte, au vingtième étage, équipé d'un interphone. Est-il possible d'accéder à un tel logement ? Théoriquement, oui. Mais les chances sont bien moindres.
Utilisez le cryptage et n'oubliez pas de mettre à jour
RDP dispose d'une fonctionnalité appelée authentification au niveau du réseau (NLA). Elle ajoute une authentification avant l'établissement d'une session. Désactiver NLA revient à laisser une porte ouverte.
Deuxièmement, les mises à jour Windows. De nombreuses vulnérabilités RDP ont déjà été corrigées grâce à des mises à jour. L'absence d'un correctif ouvre la porte aux pirates.
Un exemple frappant est l'attaque BlueKeep de 2019, qui s'est propagée précisément via d'anciens serveurs Windows non mis à jour. La vulnérabilité a permis une prise de contrôle complète de la machine sans mot de passe. Et devinez quoi ? Des milliers d'entreprises n'ont tout simplement pas mis à jour leurs systèmes.
Journaux et surveillance — votre boîte noire
Aucun mot de passe ni authentification à deux facteurs ne vous sauvera si vous ignorez ce qui se passe dans le système. Vérifiez :
qui s'est connecté et depuis quelle IP ;
Y a-t-il eu des centaines de tentatives de connexion infructueuses ?
Y a-t-il eu des séances étranges la nuit quand tout le monde dort ?
L'Observateur d'événements Windows est disponible pour cela, mais il est préférable de connecter des services de surveillance externes. Ils vous avertiront immédiatement, et non trop tard.
Plusieurs mythes courants sur RDP
« Je ne me ferai pas pirater, je suis petit. » Les bots ne se soucient pas vraiment de qui vous êtes. Ils scannent simplement les adresses IP et attaquent tout ce qui se trouve à la suite.
« Un VPN suffira. » Un VPN est une bonne chose, mais si le mot de passe RDP est faible, il ne vous sauvera pas.
« Notre informaticien contrôle tout. » Oui. Il est en vacances en ce moment, et il n'y a aucun correctif sur le serveur.
Le RDP en action réelle
En 2021, une entreprise de logistique ukrainienne a été « interrompue » pendant une semaine. La raison était un PDR ouvert sans restrictions. Le travail a repris en 10 jours.
Un freelance de Fiverr a admis que ses comptes avaient été piratés après que le serveur RDP où il conservait ses projets a été compromis. Le mot de passe était admin123. Les clients ont quitté le site et son profil a été banni.
Ce ne sont pas des histoires d’horreur, c’est une pratique quotidienne.
Pour résumer
RDP n'est pas un luxe, mais un outil sans lequel il est difficile d'imaginer travailler à distance. Cependant, si vous négligez les paramètres de base, cet outil se retournera contre vous.
Un mot de passe fort, 2FA, un port non standard, un filtrage IP, un cryptage et des mises à jour, ainsi qu'une surveillance : voici votre liste de contrôle minimale.
Et si vous utilisez Windows VDS d' Hyperhost , vous bénéficiez déjà d'une partie de ce « pack de sécurité » par défaut : centres de données, SSD tolérants aux pannes et canaux sécurisés. Le reste dépend de vous. Car en 2025, « piraté via RDP » ne sonne plus comme une nouvelle, mais comme un diagnostic : « les éléments de base n'ont pas été configurés ».
