Le RDP est-il sécurisé ? Entretien avec Jerry Hsieh, directeur technique de Splashtop
Partager
Au cours des derniers mois, alors que les rançongiciels et les pirates continuent de faire les gros titres, nous entendons de plus en plus de questions sur les protocoles de sécurité pour les solutions d’accès à distance, ainsi que sur les vulnérabilités VPN (Virtual Private Network) et RDP (Remote Desktop Protocol). Dans certains cas, nous avons entendu dire que les gens peuvent même comparer RDP et son risque inhérent avec les solutions de Splashtop.
Notre CMO, Michelle Burrows, s’est entretenue avec Phil Sheu, cofondateur et directeur technique de Splashtop, ainsi qu’avec Jerry Hsieh, directeur principal de la sécurité et de la conformité de Splashtop, pour voir si les préoccupations concernant RDP sont justifiées et pour comparer RDP avec les solutions Splashtop.
Michelle: J’ai beaucoup lu récemment sur le risque lié à l’utilisation de RDP, y compris cet article récent qui explique toutes les raisons pour lesquelles RDP n’est pas sécurisé. Pourquoi pensez-vous également que RDP n’est pas le bon choix pour les organisations soucieuses de la sécurité ?
Jerry: Avant de parler de la raison pour laquelle RDP constitue une menace pour les entreprises et les entreprises qui l’utilisent, parlons d’abord de ce que c’est et pourquoi il existe. RDP est une technologie plus ancienne qui a été conçue à l’origine pour que le personnel informatique puisse accéder aux serveurs sans avoir à se rendre physiquement dans la salle des serveurs. Il a été créé pour résoudre un problème très spécifique - la salle des serveurs est généralement gardée très froide, et elle est également bruyante car elle contient beaucoup d’équipement. Il est facile de comprendre pourquoi le service informatique ne voudrait pas aller dans cette pièce très souvent et sans parler d’y travailler. RDP permet au personnel informatique de lancer des sessions RDP pour travailler sur des serveurs à distance, sans se rendre dans une salle de serveurs froide et bruyante.
Au fil du temps, le personnel informatique s’est rendu compte que RDP n’était pas particulièrement sécurisé, de sorte que certains ont commencé à ajouter d’autres paramètres de sécurité tels que les listes de contrôle d’accès, les stratégies de pare-feu ou l’installation d’une passerelle VPN pour ajouter une autre couche de sécurité si le RDP devait être accessible en dehors du réseau de l’entreprise. J’ai parlé avec des équipes qui pensent alors que c’est sécurisé, mais une mauvaise configuration du système conduit souvent à le compromettre.
Et, comme nous en avons parlé il y a quelques semaines dans cette interview, les VPN ne sont pas non plus sécurisés pour plusieurs raisons. Ce que je vois alors, c’est que les équipes, croyant qu’elles ajoutent une autre pièce à leur base de sécurité, combinent plutôt deux technologies plus anciennes et vulnérables. C’est comme mettre une clôture autour de votre maison, puis laisser la clôture et la porte d’entrée déverrouillées et ouvertes. Ni la clôture ni la porte ne protégeront les biens de la maison si les deux sont laissés ouverts. Les fonctionnalités de sécurité du VPN ne compensent pas les vulnérabilités RDP.
Michelle: En vous écoutant et toutes les raisons de ne pas utiliser RDP ou VPN, je dois me demander, pourquoi les équipes continuent d’utiliser ce genre de technologie?
Jerry : La principale raison pour laquelle le personnel informatique utilise RDP et RDP plus un VPN est que c’est en quelque sorte gratuit et facile. Il est construit dans Microsoft, et il est juste assis là pour que vous puissiez l’utiliser dans le cadre de l’utilitaire Windows. Cela signifie que les équipes informatiques n’ont pas besoin d’acheter quelque chose de spécial - il est livré avec votre licence Microsoft, bien que RDS (Remote Desktop Services) nécessite des licences supplémentaires.
Michelle : Phil, y a-t-il quelque chose à ajouter sur RDP et ses vulnérabilités ?
Phil : RDP existe en effet depuis longtemps, avant même que HTTPS et TLS ne deviennent la référence en matière de sécurisation du trafic Internet. RDP a été conçu pour fonctionner sur un port particulier et répondra à toute personne qui le « ping » sur le port. Un ordinateur connecté à Internet avec ce port ouvert et RDP actif peut commencer à voir des attaques en aussi peu que 90 secondes. Les attaquants sont incroyablement habiles à rechercher et à trouver des points de terminaison RDP vulnérables. En accédant à un point de terminaison RDP, les attaquants peuvent ensuite pivoter pour accéder au réseau d’entreprise auquel l’ordinateur est connecté.
Michelle: Dites-moi en quoi Splashtop est différent de RDP.
Phil: Tout d’abord, nous avons conçu Splashtop pour qu’il soit natif du cloud et utilise des protocoles de sécurité standard tels que HTTPS et TLS. Les données sont transmises sur le port 443 comme tout le trafic Web crypté standard aujourd’hui, et les connexions sont facilitées par nos serveurs relais dans le monde entier. Pour nos clients, tout cela signifie qu’aucun port spécial n’est nécessaire et que les pare-feu n’ont pas besoin d’autoriser des exceptions spéciales. Les ordinateurs utilisant Splashtop n’ont pas besoin d’être laissés exposés sur Internet ou DMZ pour que les mauvais acteurs puissent facilement scanner et attaquer.
Michelle: Cela signifie-t-il que Splashtop a sa propre technologie propriétaire?
Phil : Oui, nous avons notre propre technologie propriétaire. Il y a très peu de points communs entre les architectures de Splashtop et de RDP pour l’accès à distance. Je peux penser à des entreprises qui ont choisi de s’appuyer sur RDP, mais nous avons décidé de construire quelque chose d’unique pour des raisons de sécurité et d’expérience utilisateur.
Au-delà de la sécurité, cette approche permet également à nos clients informatiques et Help Desk d’accéder au grand nombre d’appareils qui ne prennent pas en charge RDP (pensez aux Mac, iOS, Android et même à certaines versions de Windows), le tout avec les mêmes performances et facilité d’utilisation élevées.
Comme dernière note sur RDP, je vais prendre un peu plus loin l’analogie que Jerry a faite en laissant votre porte ouverte aux voleurs. Disons que vous avez une maison dans la rue et que la porte est ouverte et que tous vos biens sont essentiellement exposés. Alors que toute la zone environnante ne saurait pas que votre porte est ouverte, quiconque passe par là peut facilement dire que personne n’est à la maison, et votre porte est ouverte. C’est comme RDP. Maintenant, prenez cette même maison et placez-la derrière une communauté fermée. Mais, laissez la porte grande ouverte et la porte ouverte. Maintenant, c’est comme RDP, plus un VPN.
Prenons cette analogie pour comparer le fonctionnement de Splashtop. Prenez cette même maison et mettez-la dans une communauté fermée avec un garde. Maintenant, fermez la porte et verrouillez la porte. L’agent de sécurité vérifie les autorisations de visite. Personne à l’extérieur de la porte ne peut voir votre maison et ses biens. En fait, la maison peut même ne pas être visible de derrière la porte. Et personne ne peut voir votre maison, ses biens, ou si vous êtes à la maison. Maintenant, vous pouvez inviter une personne en particulier, mais vous n’avez pas d’invitation ouverte pour que quelqu’un d’autre jette un coup d’œil. C’est ainsi que Splashtop fonctionne à un haut niveau.
Michelle : Merci d’avoir fait des analogies et d’avoir pris le temps de passer en revue cela. Pouvez-vous m’indiquer où les lecteurs de notre blog peuvent en apprendre davantage sur la sécurité de Splashtop ?
Phil : J’aimerais partager certaines ressources de sécurité avec nos clients et nos futurs clients. Nous avons créé une section sur notre site Web consacrée à la sécurité et aux questions que les gens peuvent avoir. Vous pouvez y accéder ici : https://www.splashtop.com/security
