Pourquoi le RDP exposé est si dangereux
Quand le port 3389 est ouvert sur l'IP publique d'une entreprise, plusieurs phénomènes se cumulent :
- Scan permanent : des bots scannent Internet en continu à la recherche de RDP exposés. Une nouvelle adresse IP avec port 3389 ouvert reçoit ses premières tentatives de connexion en quelques heures.
- Attaques par force brute : une fois trouvé, le RDP subit des dizaines de milliers de tentatives par jour. Un mot de passe faible cède en quelques jours.
- Failles régulières : BlueKeep (2019), DejaBlue, et plusieurs CVE depuis ont permis l'exécution de code à distance sans authentification. Toute machine non patchée est compromise.
- Fuites d'identifiants : si un mot de passe RDP est volé sur un service tiers et réutilisé, l'accès est immédiat.
Une fois le RDP compromis, l'attaquant a un poste interne. Il pivote vers l'Active Directory, élève ses privilèges, désactive les sauvegardes, et déclenche le ransomware. Toute la chaîne se déroule en quelques jours.
Vérifier si vous êtes exposé en 30 secondes
Outil gratuit : shodan.io. Tapez votre IP publique d'entreprise. Si Shodan vous montre 3389/tcp open, vous êtes scannés en ce moment même par tous les bots d'Internet.
Pour connaître votre IP publique, tapez « quelle est mon IP » sur Google depuis votre bureau.
Les trois alternatives propres au RDP exposé
1. RDP derrière un VPN
Le scénario minimum : RDP fermé sur Internet, accessible uniquement après connexion à un VPN d'entreprise avec MFA. C'est ce qui se faisait avant 2020 et reste valide. Voir VPN d'entreprise en PME.
Solutions PME : pare-feu Stormshield (souverain français), Fortinet, Sophos, Sonicwall. Ou VPN open source (WireGuard, OpenVPN) pour les budgets serrés.
2. RD Gateway
Microsoft fournit Remote Desktop Gateway, un service inclus avec Windows Server. Le RDG agit comme proxy authentifié : l'utilisateur se connecte à RDG en HTTPS (port 443, beaucoup moins ciblé), RDG vérifie l'identité (idéalement avec MFA), puis route vers le RDP interne.
Bon compromis si vous êtes déjà sous Windows Server. Demande une configuration soignée.
3. ZTNA (Zero Trust Network Access)
L'approche moderne. Des solutions comme Tailscale (récemment adopté en EU), Cloudflare Access, Twingate ou des produits Microsoft Entra Private Access publient les applications individuellement après authentification, sans exposer aucun port en direct.
Pour une PME en télétravail, la combinaison Tailscale + RDP interne + MFA donne une expérience plus fluide qu'un VPN classique, pour un coût comparable.
Le plan de fermeture en 1 journée
- Inventaire : combien de personnes utilisent RDP, depuis quelles localisations.
- Choisir l'alternative : VPN existant, RD Gateway, ou ZTNA.
- Déployer la nouvelle voie en parallèle de l'ancienne.
- Communiquer aux utilisateurs : nouvelle procédure de connexion, MFA obligatoire.
- Période de coexistence de 1 semaine maximum.
- Fermer le port 3389 sur le pare-feu. Vérifier dans les 30 minutes via Shodan que c'est bien fermé.
À retenir
Ce que Scryptoura fait pour vous
Le Diagnostic Découverte inclut systématiquement un scan d'exposition externe — on regarde ce que voit Shodan sur votre IP publique. Si du RDP traîne, on bascule l'accès distant proprement avec notre offre Réseau Informatique en 1-2 jours.