RDP exposé : comment une attaque se déroule vraiment en PME

Dans beaucoup de petites entreprises, le Bureau à distance a longtemps été vu comme une solution simple.

On ouvre un accès, on travaille à distance, on dépanne plus vite, on évite des déplacements inutiles. Sur le papier, c’est pratique.

Le problème, c’est qu’un RDP exposé n’est presque jamais “juste un détail technique”.

C’est souvent l’un des points d’entrée les plus faciles à repérer pour un attaquant.

Et le plus inquiétant, c’est que l’attaque ne commence pas toujours par quelque chose de spectaculaire. Elle commence souvent par du bruit discret, banal, presque invisible : quelques tentatives de connexion, un compte testé, un mot de passe réutilisé, un accès qui finit par céder.

Pourquoi RDP attire autant

Parce qu’il donne potentiellement accès directement à une machine utile.

Quand un attaquant trouve un service RDP exposé, il sait qu’il ne fait pas face à un simple site web ou à une interface d’information. Il vise un point d’accès vers un poste, un serveur, un environnement Windows, parfois même un compte déjà privilégié.

En clair, si l’accès tombe, l’attaquant n’a pas besoin de “casser beaucoup plus loin” pour commencer à agir.

Comment l’attaque se déroule vraiment

1. Le repérage

L’attaquant ne commence pas par vous viser personnellement.

Il commence souvent par scanner à grande échelle, repérer ce qui répond et identifier les services intéressants.

Si votre RDP est exposé, il peut apparaître dans cette phase comme une opportunité parmi beaucoup d’autres.

2. Les tentatives d’accès

Viennent ensuite les scénarios classiques :

1. brute force ;
2. credential stuffing ;
3. test de mots de passe déjà fuités ;
4. comptes connus ou prévisibles ;
5. comptes administrateurs mal protégés.

C’est souvent à ce moment-là que les premiers signaux apparaissent dans les journaux :

1. échecs répétés ;
2. horaires incohérents ;
3. volume anormal ;
4. géolocalisations étranges.

3. L’accès initial

Si un mot de passe faible, réutilisé ou déjà compromis existe, l’attaquant entre.

Et c’est souvent là que l’entreprise pense encore qu’“il ne s’est rien passé”.

En réalité, c’est précisément là que l’incident commence.

4. L’observation

Une fois connecté, un attaquant ne chiffre pas forcément tout tout de suite.

Il regarde :

1. où il est ;
2. quels comptes existent ;
3. quels partages sont accessibles ;
4. quels serveurs sont visibles ;
5. quelles données semblent intéressantes ;
6. quels outils de sécurité sont présents.

Cette phase peut être silencieuse, surtout si personne ne surveille activement.

5. L’escalade et le mouvement latéral

Si l’environnement est peu segmenté ou si les privilèges sont trop larges, l’attaquant peut :

1. récupérer d’autres identifiants ;
2. rebondir vers des serveurs ;
3. toucher un partage commun ;
4. atteindre des sauvegardes ;
5. préparer une propagation.

C’est là que le “petit accès RDP” devient un problème d’entreprise entière.

6. L’impact final

À la fin de la chaîne, plusieurs scénarios sont possibles :

1. chiffrement ;
2. exfiltration de données ;
3. fraude ;
4. destruction de confiance ;
5. arrêt partiel d’activité.

Et dans beaucoup de cas, l’entreprise découvre l’attaque non pas au moment de l’intrusion… mais au moment où l’impact devient impossible à ignorer.

Les signes qui doivent inquiéter

Une PME devrait prendre très au sérieux :

1. des échecs de connexion RDP répétés ;
2. des connexions en dehors des horaires habituels ;
3. l’usage de comptes administrateurs pour des actions ordinaires ;
4. des comptes anciens encore actifs ;
5. des machines accessibles directement depuis Internet ;
6. l’absence de MFA ou de VPN intermédiaire ;
7. des serveurs RDP exposés sans contrôle d’origine.

Aucun de ces signaux ne garantit à lui seul une compromission.

Mais ensemble, ils dessinent souvent un risque réel.

Pourquoi cette faille reste si fréquente

Parce que RDP est souvent resté en place “temporairement” :

1. pour dépanner ;
2. pour un prestataire ;
3. pour un télétravail improvisé ;
4. pour éviter de déployer un accès plus propre.

Et comme cela fonctionne, on repousse la remise à plat.

C’est exactement comme ça que beaucoup d’expositions deviennent durables.

Ce qu’il faut corriger en priorité

Le plus important n’est pas d’ajouter dix outils.

Le plus important est de casser la chaîne d’attaque.

Fermer l’exposition directe

Si un accès RDP est publié sur Internet sans protection intermédiaire, il faut le revoir en priorité.

Passer par un accès plus contrôlé

VPN, bastion, filtrage d’origine, restrictions d’accès : l’idée est simple, réduire drastiquement qui peut même tenter une connexion.

Renforcer les comptes

Mots de passe solides, revue des comptes dormants, limitation des droits, MFA là où c’est possible.

Surveiller les journaux

Les tentatives RDP laissent des traces. Encore faut-il les regarder avant qu’il ne soit trop tard.

Segmenter

Un accès sur une machine ne doit pas offrir un boulevard vers tout le reste.

Ce que cette attaque révèle vraiment

Le sujet n’est pas uniquement RDP.

Le sujet, c’est la manière dont une petite exposition technique peut devenir une compromission beaucoup plus large si personne ne la traite sérieusement.

Et c’est exactement pour cela qu’un test offensif ou une revue de surface d’exposition apporte souvent plus de valeur qu’on ne l’imagine.

Conclusion

Un RDP exposé n’est pas seulement un mauvais réglage.

C’est souvent le premier maillon d’un scénario d’attaque très réaliste en PME.

La bonne question n’est donc pas seulement :

“Avons-nous encore du RDP ouvert ?”

La vraie question est :

“Si quelqu’un le trouve ce soir, jusqu’où pourrait-il aller ?”