Le RDP est-il sûr ? Une discussion avec le CTO/Co-fondateur de Splashtop et Jerry Hsieh, Sr. Directeur, Sécurité & Conformité pour Splashtop

un clavier d'ordinateur

Au cours des derniers mois, alors que les ransomwares et les pirates informatiques continuent de faire les gros titres, nous entendons de plus en plus de questions sur les protocoles de sécurité des solutions d'accès à distance, ainsi que des questions sur les vulnérabilités des VPN (Virtual Private Network) et du RDP (Remote Desktop Protocol). Dans certains cas, nous avons entendu que les gens comparent même le RDP et ses risques inhérents aux solutions Splashtop.

Notre responsable marketing, Michelle Burrows, s'est entretenue avec Phil Sheu, cofondateur et directeur technique de Splashtop, ainsi qu'avec Jerry Hsieh, directeur principal de la sécurité et de la conformité de Splashtop, pour voir si les inquiétudes suscitées par RDP sont justifiées et pour comparer RDP aux solutions Splashtop.

Michelle: J'ai lu beaucoup de choses ces derniers temps sur les risques liés à l'utilisation de RDP, notamment ce récent article qui expose toutes les raisons pour lesquelles RDP n'est pas sécurisé. Pourquoi pensez-vous également que RDP n'est pas le bon choix pour les organisations soucieuses de sécurité ?

Jerry: Avant de voir pourquoi RDP représente une menace pour les entreprises et les commerces qui l'utilisent, parlons d'abord de ce qu'il est et de sa raison d'être. RDP est une technologie ancienne qui a été conçue à l'origine pour que le personnel informatique puisse accéder aux serveurs sans avoir à se rendre physiquement dans la salle des serveurs. Elle a été créée pour résoudre un problème très spécifique : la salle des serveurs est généralement très froide et bruyante car elle contient beaucoup d'équipements. Il est facile de comprendre pourquoi le personnel informatique ne souhaite pas se rendre très souvent dans cette salle, sans parler du fait qu'il y travaille. L'arrivée de RDP permet au personnel informatique de lancer des sessions RDP pour travailler sur les serveurs à distance, sans avoir à se rendre dans une salle de serveurs froide et bruyante.

Au fil du temps, le personnel informatique s'est rendu compte que le RDP n'était pas particulièrement sûr, et certains ont commencé à ajouter d'autres paramètres de sécurité tels que des listes de contrôle d'accès, des stratégies de pare-feu ou une passerelle VPN pour ajouter une autre couche de sécurité si le RDP devait être accessible en dehors du réseau de l'entreprise. J'ai parlé avec des équipes qui pensent alors que ce système est sûr, mais une mauvaise configuration du système conduit souvent à sa compromission.

Et, comme nous en avons parlé il y a quelques semaines dans cette interview, les VPN ne sont pas non plus sécurisés pour de nombreuses raisons. Ce que je vois alors, c'est que les équipes, croyant ajouter une autre pièce à leur fondation de sécurité, combinent plutôt deux technologies qui sont plus anciennes et vulnérables. C'est comme si vous mettiez une clôture autour de votre maison et que vous laissiez la clôture et la porte d'entrée déverrouillées et ouvertes. Ni la clôture ni la porte ne protégeront les biens de la maison si elles sont toutes deux laissées ouvertes. Les fonctions de sécurité du VPN ne compensent pas les vulnérabilités du RDP.

Michelle: En vous écoutant et en entendant toutes les raisons de ne pas utiliser RDP ou un VPN, je me demande pourquoi les équipes continuent à utiliser ce genre de technologie.

Jerry: La principale raison pour laquelle le personnel informatique utilise RDP et RDP plus un VPN est que c'est en quelque sorte gratuit et facile. Il est intégré à Microsoft, et vous pouvez l'utiliser dans le cadre de l'utilitaire Windows. Cela signifie que les équipes informatiques n'ont pas besoin d'acheter quoi que ce soit de spécial - il est fourni avec votre licence Microsoft, bien que RDS (Remote Desktop Services) nécessite des licences supplémentaires.

Michelle: Phil, quelque chose à ajouter sur RDP et ses vulnérabilités ?

Phil: RDP existe en effet depuis longtemps - avant même que HTTPS et TLS ne deviennent la norme en matière de sécurisation du trafic Internet. RDP a été conçu pour fonctionner sur un port particulier et répondra à toute personne qui le "ping" sur ce port. Un ordinateur connecté à Internet avec ce port ouvert et RDP actif peut commencer à subir des attaques en 90 secondes seulement. Les attaquants sont très doués pour rechercher et trouver des points d'accès RDP vulnérables. En accédant à un terminal RDP, les attaquants peuvent ensuite accéder au réseau d'entreprise auquel l'ordinateur est connecté.

Michelle: Dites-moi en quoi Splashtop est différent de RDP.

Phil: Tout d'abord, nous avons conçu Splashtop pour qu'il soit "cloud-native" et utilise des protocoles de sécurité standard comme HTTPS et TLS. Les données sont transmises sur le port 443, comme tout le trafic web crypté standard actuel, et les connexions sont facilitées par nos serveurs relais dans le monde entier. Pour nos clients, cela signifie qu'aucun port spécial n'est nécessaire et que les pare-feu n'ont pas à autoriser d'exceptions particulières. Les ordinateurs qui utilisent Splashtop n'ont pas besoin d'être laissés exposés sur Internet ou dans une zone démilitarisée (DMZ) pour que de mauvais acteurs puissent facilement les scanner et les attaquer.

Michelle: Cela signifie-t-il que Splashtop possède sa propre technologie propriétaire ?

Phil: Oui, nous avons notre propre technologie propriétaire. Il y a très peu de points communs entre les architectures d'accès à distance de Splashtop et de RDP. Je pense à des entreprises qui ont choisi de s'appuyer sur RDP, mais nous avons décidé de créer quelque chose d'unique pour des raisons de sécurité et d'expérience utilisateur.

Au-delà de la sécurité, cette approche permet également à nos clients des services informatiques et d'assistance d'accéder à un grand nombre d'appareils qui ne prennent pas en charge le protocole RDP (Mac, iOS, Android et même certaines versions de Windows), tout en conservant les mêmes performances élevées et la même convivialité.

Pour conclure sur le RDP, je vais pousser un peu plus loin l'analogie faite par Jerry sur le fait de laisser votre porte ouverte aux voleurs. Disons que vous avez une maison dans la rue, que la porte est ouverte et que tous vos biens sont exposés. Bien que tout le voisinage ne sache pas que votre porte est ouverte, toute personne passant par là peut facilement dire que personne n'est à la maison et que votre porte est ouverte. C'est comme le RDP. Maintenant, prenez cette même maison et mettez-la derrière une communauté fermée. Mais, laissez la porte grande ouverte et le portail ouvert. Maintenant, c'est comme RDP, plus un VPN.

Prenons cette analogie pour comparer le fonctionnement de Splashtop. Prenez cette même maison et mettez-la dans une communauté fermée avec un garde. Maintenant, fermez la porte et verrouillez le portail. Le garde vérifie les autorisations de visite. Personne en dehors du portail ne peut voir votre maison et ses biens. En fait, la maison peut même ne pas être visible de derrière le portail. Et personne ne peut voir votre maison, ses biens, ni savoir si vous êtes chez vous. Vous pouvez inviter une personne en particulier à entrer, mais vous n'avez pas d'invitation ouverte pour que quelqu'un d'autre puisse entrer. C'est ainsi que Splashtop fonctionne à un haut niveau.

Michelle: Merci pour les analogies et pour avoir pris le temps de faire le tour de la question. Pouvez-vous m'indiquer où les lecteurs de notre blog peuvent en apprendre davantage sur la sécurité de Splashtop ?

Phil: J'aimerais partager quelques ressources sur la sécurité avec nos clients et futurs clients. Nous avons créé une section sur notre site Web qui est consacrée à la sécurité et aux questions que les gens peuvent se poser. Vous pouvez y accéder ici : https://www.splashtop.com/security

Articles à lire

Bannière d'essai gratuit sur le fond du blog