WASHIGNTON D.C. / LONDRES – Une vaste campagne de botnets cible les services de Remote Desktop Protocol (RDP) aux États-Unis. Plus de 100 000 adresses IP, provenant de plus de 100 pays, sont impliquées dans la compromission d’infrastructures RDP. Ces attaques représentent une menace notoire pour les entreprises qui dépendent de RDP pour leurs activités quotidiennes.
Une campagne de botnets, largement coordonnée, cible les services de RDP aux États-Unis. Des chercheurs en cybersécurité de GreyNoise ont signalé le 8 octobre 2025 une vague significative d’attaques, issue de plus de 100 000 adresses IP différentes provenant d’une centaine de pays. Cette opération semble être centralisée, cherchant principalement à compromettre les infrastructures RDP, essentielles pour le télétravail et la gestion administrative.
La portée et l’organisation de cette campagne constituent une menace sérieuse pour les entreprises s’appuyant sur le RDP. L’enquête sur cette prolifération d’attaques a débuté lorsque les analystes de GreyNoise ont noté une hausse inhabituelle du trafic provenant d’adresses IP du Brésil. Cette découverte initiale a donné lieu à une analyse plus approfondie, révélant des activités similaires d’autres pays, notamment l’Argentine, l’Iran, la Chine, le Mexique, la Russie et l’Afrique du Sud. Malgré la diversité des origines géographiques, les attaques ciblent toutes les services RDP aux États-Unis.
Les analystes affirment qu’il est probable que ces activités émanent d’un unique botnet de grande envergure. Ce constat est renforcé par le fait que presque toutes les adresses IP impliquées présentent une empreinte TCP similaire. Cette signature technique évoque une structure de commande et de contrôle standardisée et centralisée orchestrant les attaques. Les acteurs menaçants utilisent deux vecteurs d’attaque spécifiques pour identifier et exploiter les systèmes vulnérables.
Le premier vecteur est un test de temps d’accès aux web RDP, où les attaquants mesurent le délai de réponse du serveur aux tentatives de connexion pour distinguer anonymement les noms d’utilisateur valides des invalides. Le second vecteur est l’énumération des identifiants de connexion sur le web RDP, qui tente systématiquement de deviner les informations d’authentification des utilisateurs. Ces méthodes permettent au botnet de rechercher efficacement des points d’accès RDP exploitables sans déclencher immédiatement des alertes de sécurité.
Face à cette menace persistante, GreyNoise a émis des recommandations précises pour les défenseurs des réseaux. L’entreprise conseille aux organisations de vérifier proactivement leurs protocoles de sécurité à la recherche d’anomalies dans les scannages RDP ou les échecs de connexion correspondant aux modèles de cette campagne. Pour renforcer la protection, GreyNoise a développé un modèle de liste de blocage dynamique, dénommé « microsoft-rdp-botnet-oct-25 », disponible sur sa plateforme. Ce modèle permet aux clients de bloquer automatiquement toutes les adresses IP connues associées à cette activité malveillante, réduisant ainsi efficacement les attaques au niveau de la périphérie du réseau.
Points à retenir
- Plus de 100 000 IP impliquées, touchant 100 pays.
- Vague d’attaques principalement ciblée sur les infrastructures RDP aux États-Unis.
- Deux vecteurs d’attaque utilisés : mesure des temps de réponse et énumération des identifiants.
- Importance d’une révision proactive des protocoles de sécurité des entreprises.
En ce qui me concerne, il est crucial d’évaluer comment chaque organisation peut renforcer sa sécurité face à ce genre de menace, particulièrement dans un monde de plus en plus connecté. La vigilance et l’adaptabilité restent essentielles pour faire face à l’évolution des cybermenaces. Je me demande donc : quelles mesures devrions-nous prioriser pour protéger nos infrastructures numériques au quotidien ?