Attaque par force brute RDP : 8 mots de passe les plus utilisés
Specops Software a publié une analyse des principaux mots de passe utilisés lors d'attaques par force brute contre le protocole RDP (Remote Desktop Protocol) utilisé par les équipes IT pour se connecter à distance sur des postes de travail.
Cette analyse fait suite à l'ajout de millions de mots de passe compromis au service Specops Breached Password Protection, qui peut bloquer un changement de mot de passe Active Directory si le choix correspond à l'un des 3 milliards de mots de passe de la liste mise à jour en permanence.
admin, welcome, p@ssw0rd...
Pour leur étude, les chercheurs ont examiné plus de 4,6 millions de mots de passe collectés à partir du système de type honeypot de l'éditeur logiciel suédois. L'objectif est de mettre en exergue les mots de passe les plus souvent utilisés pour attaquer les ports TCP 3389.
RDP sur le port TCP 3389 étant largement utilisé par les équipes informatiques pour fournir un accès réseau aux travailleurs distants.
Lire aussi : Six enseignements clés sur les mots de passe tirés de la mise à jour du cadre de cybersécurité du NIST
Les 8 termes de base les plus courants dans les mots de passe utilisés pour attaquer les ports TCP 3389 en octobre 2022 sont :
1. admin
2. welcome
3. p@ssw0rd
4. qaz2wsx
5. homelesspa
6. p@ssword
7. qwertyuiop
8. q2w3e4r5t
De meilleures pratiques
Specops a également examiné les modèles d'identifiants à l'origine d'attaques récentes sur les réseaux, port RDP inclus. Plus de 88% des mots de passe étudiés contiennent jusqu'à 12 caractères. Les 8 caractères étant le modèle le plus courant (près de 24% de l'échantillon), suivi par l'utilisation de lettres minuscules uniquement (près de 19%).
Les organisations ont donc tout intérêt à sécuriser leur port RDP pour se protéger des activités et programmes malveillants, ransomwares inclus.
Parmi les meilleures pratiques, l'éditeur spécialisé recommande de :
- Maintenir à jour les serveurs et les comptes clients Windows pour protéger l'organisation contre les failles CVE (Common Vulnerabilities and Exposures)
- Vérifier les erreurs de configuration - assurez-vous que le port TCP 3389 utilise une connexion SSL et n'est pas directement exposé à Internet
- Limiter la plage d'adresses IP pouvant utiliser les connexions RDP
- Ajouter une authentification multifacteur (MFA) qui résiste au push-spam
- Bloquer l'utilisation de mots de passe faibles et compromis, en particulier ceux qui sont actuellement utilisés dans les attaques de ports RDP
Lire aussi : Sécurisation des identifiants et protection contre les attaques par déplacement latéral
En bref, ne négligeons pas le risque associé aux mots de passe insignifiants et détournés.
(crédit photo © AdobeStock)
Sur le même thème
Voir tous les articles Cybersécurité