La plupart des administrateurs réseau, voire même les spécialistes de la sécurité serveur de base, savent que laisser le port RDP (Remote Desktop Protocol) ouvert sur Internet, surtout avec un mot de passe faible, revient à inviter les pirates informatiques à s’introduire dans votre système. Il est surprenant de constater à quel point ce risque est souvent négligé : on se dit souvent « Ce n’est que du RDP », mais une attaque par force brute peut facilement s’y introduire si vous n’êtes pas vigilant. Ce guide vous propose des conseils très efficaces pour bloquer ces tentatives d’intrusion sur Windows Server. Si vous en avez assez de perdre des heures à gérer des échecs de connexion ou à vous faire pirater, voici des astuces qui fonctionnent vraiment. En appliquant quelques-unes de ces mesures, vous compliquerez considérablement la tâche des botnets et des script kiddies qui tentent de deviner vos mots de passe. Bonne nouvelle : ces attaques sont assez prévisibles une fois que vous savez les identifier et comment configurer vos défenses.
Comment corriger les attaques par force brute sur un serveur Windows
Méthode 1 : Sécuriser les comptes avec des mots de passe forts et des politiques de verrouillage.
Commencez par les bases : utilisez un mot de passe complexe. Combinez majuscules, minuscules, chiffres et symboles. Si vous utilisez encore le nom de votre animal de compagnie ou « password123 », vous êtes une cible facile pour les pirates. Configurez également les stratégies de verrouillage de compte afin qu’après plusieurs tentatives infructueuses, le compte soit bloqué temporairement. Sous Windows Server, cette option se trouve dans Stratégie de sécurité locale → Stratégies de compte → Stratégie de verrouillage de compte. Définissez des paramètres tels que la durée et le seuil de verrouillage. Sur certaines configurations, le verrouillage peut échouer la première fois, mais après un redémarrage ou une courte attente, il s’applique. C’est un peu contraignant, mais cela empêche les scripts d’attaque automatisés de cibler votre serveur en continu.
Méthode 2 : Limiter les tentatives de connexion infructueuses avec Windows Defender ou des scripts personnalisés
Une autre solution consiste à limiter le nombre de tentatives de connexion infructueuses, ce qui rend les attaques par force brute moins attrayantes. Sous Windows, vous pouvez configurer cette option via les paramètres de sécurité ou utiliser des outils comme Winhance pour renforcer la protection. Le principe est le suivant : après X tentatives infructueuses (par exemple, 5 ou 10), le système bloque temporairement les nouvelles tentatives provenant de cette adresse IP. C’est comme mettre en place un barrage temporaire basé sur l’adresse IP, qui ralentit l’attaquant et met son script à rude épreuve. Cette méthode est particulièrement efficace si vous constatez des tentatives infructueuses répétées provenant des mêmes adresses IP : c’est un signe évident d’attaque.
Méthode 3 : Modifier les ports par défaut et utiliser des pare-feu
Bien entendu, les attaquants ciblent le port 3389 (pour RDP) car il s’agit du port standard. Le modifier pour un port non standard, par exemple un port moins courant comme le 50022, renforce la sécurité. Il suffit de modifier le Registre ou d’utiliser des commandes PowerShell pour changer le port. Ensuite, mettez à jour les règles de votre pare-feu afin que seules vos adresses IP ou celles de confiance puissent accéder au nouveau port. Cette méthode n’est pas infaillible, mais elle constitue une bonne mesure pour réduire le bruit et les analyses automatisées. Vous pouvez également restreindre l’accès RDP à des plages d’adresses IP spécifiques via le Pare-feu Windows → Règles de trafic entrant.
Méthode 4 : Activer le CAPTCHA ou utiliser l’authentification à deux facteurs
Sur certains systèmes de gestion d’identifiants ou si vous utilisez une interface web personnalisée, l’ajout d’un CAPTCHA peut bloquer net les bots. De plus, si vous gérez des données sensibles, activez l’authentification à deux facteurs (2FA) – Google Authenticator, Duo, ou tout autre outil adapté – car même si quelqu’un parvient à deviner le mot de passe par force brute, l’accès reste bloqué sans ce second facteur. Les grandes entreprises l’utilisent systématiquement, et ce n’est pas sans raison. Pour SSH ou RDP, vous pouvez configurer la 2FA avec des outils tiers, mais la procédure est un peu plus complexe. Néanmoins, la simple activation de la 2FA réduit considérablement l’efficacité des attaques par force brute.
Méthode 5 : Installer et configurer EvlWatcher ou des outils similaires
Voici une astuce pratique : installez un outil comme EvlWatcher. Il analyse les journaux à la recherche de tentatives d’accès infructueuses répétées provenant de la même adresse IP et bloque automatiquement ces adresses IP pendant une période définie, généralement environ deux heures. C’est comme avoir un videur qui expulse les fauteurs de troubles. Sur certaines configurations, quelques ajustements sont nécessaires, mais cela contribue vraiment à réduire la surface d’attaque. D’autant plus que la surveillance manuelle est fastidieuse lorsque votre serveur est la cible d’attaques massives.
Auparavant, Microsoft avait introduit la stratégie « Autoriser le verrouillage du compte Administrateur » afin de limiter les attaques par force brute ciblant spécifiquement le compte Administrateur. Windows 11 intègre désormais des stratégies de verrouillage de compte par défaut, qui bloquent le compte administrateur local ou de domaine après un certain nombre de tentatives infructueuses. Ceci permet de prévenir l’attaque classique consistant à « essayer tous les mots de passe » sur le compte administrateur. Il s’agit d’une protection supplémentaire efficace.
Comment repérer une attaque par force brute ?
Si les journaux d’événements affichent des dizaines, voire des centaines, de tentatives infructueuses provenant de la même adresse IP ou plage d’adresses, c’est un signe d’alerte. Sous Windows, consultez l’Observateur d’événements → Journaux de sécurité pour rechercher l’événement 4625 (échec de connexion).Si plusieurs échecs surviennent rapidement depuis une même adresse IP, c’est un signe alarmant : il s’agit d’une tentative d’attaque par force brute contre votre serveur. Dès que vous repérez ce type d’attaque, bloquez immédiatement ces adresses IP ou activez une stratégie de verrouillage.
Est-il réellement possible d’arrêter toutes les attaques par force brute ?
Non, mais vous pouvez rendre la tâche très difficile. Concrètement, utilisez des mots de passe robustes, bloquez les comptes après quelques tentatives infructueuses, modifiez le port par défaut et activez l’authentification à deux facteurs. La mise en place d’outils de surveillance vous permettra également de réagir rapidement. Cependant, soyons honnêtes, si quelqu’un est vraiment déterminé, il trouvera peut-être toujours un moyen d’y accéder. Votre objectif est de rendre la sécurité suffisamment difficile pour que la plupart des scripts automatisés abandonnent.
Ces conseils devraient vous aider à garder votre serveur plus propre et moins vulnérable. C’est parfois un combat de tous les instants, mais quelques ajustements simples font toute la différence.
Résumé
- Utilisez des mots de passe complexes et robustes.
- Configurer le verrouillage des comptes après des tentatives infructueuses
- Modifier les ports RDP par défaut de 3389 à un autre port moins courant.
- Activez l’authentification à deux facteurs si possible.
- Surveillez régulièrement les journaux pour détecter toute activité suspecte.
- Installez des outils comme EvlWatcher pour le blocage automatique des adresses IP.
Conclure
La mise en place initiale est un peu fastidieuse, mais ça vaut le coup. Dès que vous constatez une diminution des tentatives d’attaques par force brute ou que vous voyez les attaquants bloqués, c’est un soulagement. Surveillez vos journaux, renforcez la sécurité et ne négligez pas les échecs de connexion : ce sont des signaux d’alarme. Avec un peu de chance, cela permettra à certains de gagner du temps et, au moins, compliquera considérablement la tâche des attaquants.