Le protocole Bureau à distance reste une cible de choix : le port 3389 exposé, les mots de passe faibles et les journaux de connexion bruités facilitent la tâche des bots et des attaquants peu qualifiés. Si vous cherchez comment protéger RDP contre les attaques par force brute, la réponse courte est la suivante : réduisez l'exposition, renforcez l'authentification et surveillez les journaux de près. Placez le port 3389 derrière un VPN ou une passerelle RD Gateway, imposez MFA à chaque point d'accès, activez l'authentification au niveau réseau (NLA), configurez le verrouillage de compte entre 5 et 10 tentatives avec une durée de 15 à 30 minutes, et surveillez en permanence les pics sur l'Event ID 4625. Les attaquants scannent, testent et pivotent de plus en plus vite chaque année : votre stratégie doit reposer sur des contrôles concrets, pas sur des espoirs.
TL;DR : liste de contrôle rapide
- Placez le port 3389 derrière un VPN ou une passerelle RD Gateway pour supprimer toute exposition publique
- Exigez l'authentification multi-facteurs sur tous les points d'accès RDP
- Activez l'authentification au niveau réseau (NLA) pour la vérification avant ouverture de session
- Configurez le verrouillage de compte : 5 à 10 tentatives invalides, durée de 15 à 30 minutes, réinitialisation après 15 minutes
- Surveillez en permanence les Event IDs Windows 4625 (échecs) et 4624 (succès)
- Utilisez le filtrage par IP et le blocage géographique pour restreindre les sources d'accès
- Appliquez une politique de mots de passe forts avec un minimum de 14 caractères
Pourquoi les attaques par force brute contre RDP réussissent-elles ?
Le port RDP ouvert est une cible attractive : il est détectable en quelques minutes par des scans automatisés, tourne souvent avec des droits d'administrateur local, et un mot de passe faible suffit à ouvrir la porte aux ransomwares. Le port 3389 exposé directement sur internet est une invitation ouverte aux attaquants, et les outils automatisés n'ont besoin d'aucune expertise pour marteler les écrans de connexion. Les attaques par mot de passe ont fortement progressé, Microsoft signalant une hausse de 74 % entre 2021 et 2022 seulement. C'est pourquoi tout guide sur la prévention des attaques par force brute commence par ne pas exposer le port 3389 sur internet, puis par l'ajout de couches de protection comme MFA et des règles de verrouillage avant même qu'un utilisateur atteigne l'écran de connexion.
Les campagnes récentes menées par des réseaux comme FDN3 à mi-2025 ont montré à quelle vitesse le password spraying à grande échelle peut cibler des appareils SSL VPN et RDP sur des milliers de systèmes. Les attaques atteignent leur pic pendant des fenêtres précises où les équipes de sécurité sont les moins préparées, et le schéma se répète parce que les failles de base persistent. Des pics soudains d'échecs de connexion, des tentatives répétées sur de nombreux comptes, et des adresses IP changeant de pays sont les signes révélateurs. Mais sans surveillance adéquate, le temps de les détecter, les dégâts ont souvent déjà commencé. Les enjeux sont élevés : le rapport Verizon 2025 Data Breach Investigations Report a relevé la présence de ransomwares dans 44 % de toutes les violations, RDP restant un point d'entrée privilégié pour ces attaques.
La détection avancée sur les endpoints peut relier les données RDP au niveau des sessions, ce qui permet aux équipes de réponse de repérer les patterns de spray-and-pray plus tôt. Mais la prévention reste toujours supérieure à la détection, c'est pourquoi la section suivante se concentre sur les contrôles qui bloquent les attaques avant qu'elles ne deviennent des incidents.
Comment prévenir les attaques par force brute RDP : méthodes de protection essentielles
Les gains les plus rapides viennent de la réduction de l'exposition réseau, de mécanismes d'authentification renforcés et de politiques Windows natives. Maîtriser la prévention des attaques par force brute RDP, c'est mettre en place une protection qui combine toutes ces couches.
Commencez par fermer la porte ouverte : supprimez l'exposition publique du port 3389
Placez RDP derrière un VPN ou déployez Remote Desktop Gateway sur le port 443 avec le chiffrement TLS. Une liste blanche restreinte d'IP connues couplée à une passerelle sera toujours plus efficace qu'une redirection de port directe. Cette approche réduit considérablement le bruit et le volume de tentatives de devinette de mots de passe. Configurez votre pare-feu périmétrique pour bloquer l'accès direct au port 3389 depuis internet, puis acheminez tout le trafic légitime via la passerelle sécurisée. Les attaquants ne peuvent pas forcer par brute force ce qu'ils ne peuvent pas atteindre.
Activez l'authentification multi-facteur pour RDP
Un MFA résistant aux attaques de push-spam, comme les notifications avec correspondance de numéro ou les clés matérielles, bloque la grande majorité des intrusions reposant uniquement sur un mot de passe. Ajoutez le MFA au niveau de la passerelle ou via un fournisseur RDP avec une intégration annuaire étroite. D'après les recherches de Microsoft, plus de 99 % des comptes compromis n'ont pas le MFA activé. Cela dit tout sur l'importance de ce contrôle. Déployez-le via RD Gateway en utilisant l'intégration Network Policy Server avec Azure AD, ou optez pour des solutions tierces compatibles TOTP et tokens matériels.
Exigez l'authentification au niveau du réseau (NLA)
La NLA impose l'authentification avant le chargement complet du bureau, ce qui réduit la consommation de ressources liée aux sessions échouées et diminue la surface d'attaque. Associez NLA à TLS pour le chiffrement des identifiants en transit. Cela déplace la vérification au tout début du processus de connexion via Credential Security Support Provider (CredSSP). D'après des recherches évaluées par des pairs, la NLA peut réduire la latence RDP de 48 % lors d'attaques actives en empêchant les sessions non authentifiées de consommer des ressources serveur. Activez-la via les Propriétés système, onglet Accès à distance, en sélectionnant « Autoriser uniquement les connexions des ordinateurs exécutant le Bureau à distance avec authentification au niveau du réseau ».
Appliquez des politiques de verrouillage des comptes
Définissez des seuils et des durées de verrouillage raisonnables pour qu'aucun bot ne puisse tenter indéfiniment. Ce sont des méthodes classiques de prévention des attaques par force brute RDP, et elles restent efficaces si elles sont correctement configurées. Configurez-les via la Stratégie de sécurité locale (secpol.msc) sous Stratégies de comptes avec les paramètres suivants : un seuil de 5 à 10 tentatives invalides, une durée de verrouillage de 15 à 30 minutes, et une réinitialisation du compteur après 15 minutes. Ces valeurs sont issues du consensus entre plusieurs référentiels de sécurité 2025, notamment les recommandations de sécurité Windows et les frameworks du secteur. Trouvez le bon équilibre entre sécurité et charge du support, car chaque compte verrouillé génère un ticket.
Utilisez des listes blanches et le géo-filtrage
Limitez qui peut frapper à la porte. Les blocages par pays, par ASN et les listes blanches statiques réduisent le trafic à presque zéro dans de nombreuses petites structures. Configurez ces règles au niveau du pare-feu, en bloquant les régions géographiques avec lesquelles vous ne travaillez jamais et en limitant l'accès à des plages d'IP spécifiques pour les télétravailleurs. Certains environnements vont plus loin en mettant en place des contrôles d'accès temporels qui n'autorisent RDP que pendant les heures ouvrables.
Renforcez les mots de passe et leur rotation
Utilisez des phrases de passe longues, des secrets uniques par administrateur et un gestionnaire de mots de passe. C'est la base de la protection RDP contre les attaques par force brute, pourtant trop de violations commencent encore à ce niveau. Fixez une longueur minimale de 14 caractères avec des exigences de complexité appliquées via la Stratégie de groupe. Plus le mot de passe est long, plus il est difficile à casser par des outils automatisés. Évitez la réutilisation des mots de passe entre différents comptes administrateurs, car un seul identifiant compromis peut se propager à toute votre infrastructure.
Mettez à jour Windows et la pile RDP rapidement
Corrigez les failles RDP connues et déployez les mises à jour sur les serveurs et les clients. Les anciennes vulnérabilités sont encore exploitées, et les attaquants ciblent en priorité les systèmes non patchés parce qu'ils sont plus faciles à compromettre. Mettez en place un calendrier de correctifs régulier via Windows Update, WSUS ou les référentiels Intune pour maintenir votre infrastructure RDP à jour face aux exploits connus.
Collectez les échecs de connexion et configurez des alertes
Transmettez les journaux de sécurité Windows à un SIEM, surveillez les Event IDs 4625 et 4624, et déclenchez des alertes sur des volumes anormaux, des sources géographiques inhabituelles et les accès aux comptes de service. Apprendre à prévenir les attaques par force brute passe toujours par une surveillance active des journaux, car une détection réactive limite les dégâts quand les contrôles préventifs sont en échec. Configurez des alertes pour plus de 10 tentatives échouées depuis une seule IP en une heure, et surveillez les patterns de connexion de type 10 (interactif à distance) et de type 3 (réseau) qui indiquent une activité RDP.
Chacune de ces mesures réduit le risque individuellement. Ensemble, elles forment RDP méthodes de prévention des attaques par force brute qui résistent à une pression réelle.
| Méthode | Complexité de mise en œuvre | Où configurer | Avantage principal |
| VPN/RD Gateway | Moyen | Pare-feu ou RD Gateway (port 443) | Élimine l'exposition publique du port 3389 |
| Authentification multi-facteurs | Moyen | Gateway, fournisseur d'identité ou module complémentaire RDP | Bloque les tentatives de connexion par mot de passe seul |
| Authentification au niveau du réseau | Faible | Propriétés système → Distant → Case NLA | Authentification avant la création de session |
| Politique de verrouillage de compte | Faible | secpol.msc → Account Policies → Account Lockout | Limite les tentatives illimitées de devinette de mot de passe |
| Surveillance du journal d'événements | Moyen | SIEM/EDR ou Observateur d'événements Windows | Détection précoce des schémas d'attaque |
| Liste blanche IP/Géo-restriction | Faible | Règles de pare-feu ou politiques IPS/Géo | Restreint l'accès selon la source de connexion |
| Politique de mots de passe forts | Faible | GPO de domaine ou Stratégie de sécurité locale | Augmente la difficulté des attaques par force brute |
| Mises à jour régulières | Faible | Windows Update, WSUS ou Intune | Corrige les vulnérabilités RDP connues |
Comment détecter les attaques par force brute RDP en cours
Avant de déployer des contrôles, surveillez les bases. Consultez l'ID d'événement 4625 dans le journal de sécurité Windows pour repérer les tentatives de connexion échouées : les pics indiquent une attaque en cours. Lorsque vous constatez des dizaines ou des centaines d'événements 4625 provenant d'une même IP source en quelques minutes, vous observez une attaque par force brute en temps réel. La détection moderne cible les ouvertures de session de type 3 (authentification réseau via NLA) suivies de celles de type 10 (session interactive à distance), car le flux d'authentification a changé avec l'adoption de Network Level Authentication.
Faites attention aux échecs de connexion répétés sur plusieurs noms d'utilisateur depuis des IP uniques : c'est le signe d'un password spraying plutôt que d'une attaque ciblée. Les incohérences géographiques sont aussi révélatrices. Si vos utilisateurs travaillent en Amérique du Nord mais que vous observez des tentatives de connexion depuis l'Europe de l'Est ou l'Asie, c'est un signal d'alerte qui mérite une investigation immédiate. Certains attaquants utilisent des proxies résidentiels pour masquer leur localisation, mais les schémas de volume et de timing trahissent quand même leur présence.
Transmettez ces événements à un système de journalisation centralisé ou à un SIEM capable de corréler l'activité sur plusieurs serveurs. Définissez des seuils d'alerte en fonction des schémas d'authentification normaux de votre environnement, car ce qui est habituel dans une grande entreprise peut être suspect dans une petite structure. L'objectif est de comprendre comment bloquer les attaques par force brute et leurs schémas avant qu'elles n'aboutissent, pas seulement de les documenter après coup.
Comment stopper une attaque par force brute RDP en cours
Si la supervision déclenche une alerte pour des échecs de connexion répétés ou des tentatives de credential spraying, suivez ces étapes dans l'ordre. En premier, contenez la source en bloquant l'IP ou la plage d'adresses au pare-feu périmétrique. Si le volume est élevé, appliquez des limites de débit temporaires pour ralentir l'attaque pendant votre investigation. N'attendez pas que les outils automatisés réagissent quand vous pouvez voir l'attaque en temps réel.
En deuxième, stabilisez les identités en expirant le mot de passe du compte ciblé et en vérifiant s'il est réutilisé sur d'autres services. Désactivez le compte en cas de compromission suspectée : bloquer l'accès est toujours préférable à gérer les conséquences d'une intrusion. Vérifiez les connexions réussies récentes sur ce compte pour déterminer si l'attaquant a déjà pu entrer avant que vous ne le détectiez.
En troisième, validez les chemins d'accès en confirmant que RD Gateway ou VPN est bien requis pour l'accès, et supprimez toute règle de redirection de port non autorisée qui réexposerait le port 3389 à Internet. Certaines attaques réussissent parce qu'une règle de pare-feu temporaire a été ouverte des mois auparavant et jamais fermée. En quatrième, recherchez les effets secondaires en examinant les journaux de session RDP, les nouveaux comptes d'administration locaux, les installations de services et les tâches planifiées. La télémétrie EDR aide à détecter les mécanismes de persistance que les attaquants installent lors de courtes fenêtres d'accès.
Enfin, affinez les détections en ajoutant des règles pour les pics d'échecs de connexion sur les comptes privilégiés, et déclenchez des tickets de suivi pour que les enseignements tirés deviennent des pratiques par défaut. Ces actions limitent la durée des incidents et montrent concrètement comment empêcher les attaques par force brute de causer des dommages une fois les alertes déclenchées.
Stratégies avancées de protection contre les attaques par force brute RDP
Quelques mesures supplémentaires sont très utiles, notamment pour les charges de travail exposées à Internet et les administrateurs en déplacement. Définissez des seuils par IP sur votre RD Gateway ou votre pare-feu, et affinez les signatures IPS correspondant aux floods d'échecs de handshake RDP. Cela empêche les bots d'attaquer à vitesse machine et donne aux alertes SOC plus de contexte pour le triage. La limitation de débit en bordure réseau évite qu'un attaquant individuel n'épuise toutes vos ressources d'authentification. Les grands groupes de ransomware, dont Black Basta et RansomHub, ont adopté le brute-forcing RDP comme technique d'accès initial privilégiée.
Un EDR moderne ajoute des métadonnées de session qui aident à distinguer le travail d'administration d'une attaque préparée, facilitant la chasse aux menaces sur les hôtes liés. Ce contexte réduit le temps de présence des attaquants qui se déplacent latéralement dans votre environnement. La différence entre détecter une intrusion en quelques heures ou en quelques jours tient souvent à la disponibilité de la bonne télémétrie au bon endroit.
Désactivez les redirections de lecteurs, de presse-papiers et d'imprimantes inutiles sur les hôtes à haut risque. Supprimer ces fonctionnalités pratiques augmente la friction pour les intrus qui cherchent à exfiltrer des données ou à introduire des outils dans votre environnement. Combinez cela avec les principes du moindre privilège et la séparation des comptes d'administration locaux, pour qu'une compromission de compte ne donne pas accès à tout. Bloquer les tentatives de force brute est plus facile quand les mouvements latéraux sont fortement ralentis.
Changer le port par défaut 3389 ne stoppe pas les scans déterminés, mais réduit le bruit généré par les bots qui ne ciblent que les ports par défaut. Si vous le changez, associez quand même VPN, des listes d'autorisation et MFA, car l'obscurité seule ne suffit pas contre les attaques ciblées. Sur des serveurs Windows récents, vérifiez les paramètres Remote Desktop, NLA et les règles de pare-feu depuis un terminal élevé avec PowerShell ou CMD. Les opérations comme l'activation de RDP en ligne de commande restent propres et reproductibles une fois scriptées et vérifiées, en les intégrant à votre processus de gestion des changements pour détecter toute dérive rapidement.
L'hygiène RDP fait partie d'une stratégie d'accès distant plus large. Si vous gérez des systèmes via des navigateurs ou des applications tierces, auditez-les également —Risque de sécurité de Chrome Remote Desktop, par exemple, peut générer autant de bruit dans les journaux qu'un port 3389 exposé. Une bonne hygiène Good sur l'ensemble des outils maintient la protection contre les attaques par force brute RDP à un niveau solide.
Conclusion
Vous disposez maintenant d'une réponse claire et structurée à la question : « comment prévenir les attaques par force brute RDP ? » Limitez l'exposition avec un VPN ou une passerelle, renforcez la sécurité avec MFA, NLA et des politiques de verrouillage, et surveillez attentivement les journaux d'authentification. Ces mesures constituent une prévention concrète des attaques par force brute, efficace dans des environnements réels soumis à une pression réelle, pas seulement sur le papier.
Si vous avez besoin d'un environnement propre pour tester ces contrôles ou d'une base de production correctement sécurisée, vous pouvez achetez RDP auprès de fournisseurs qui proposent une connectivité rapide, un stockage NVMe pour des I/O rapides, et une infrastructure de supervision adaptée. Choisissez des centres de données proches de votre équipe pour maintenir une faible latence, et assurez-vous que le fournisseur prend en charge les contrôles de sécurité dont vous avez besoin.
Besoin d'un bureau à distance ?
Des serveurs RDP fiables et performants avec 99,95 % de disponibilité. Emportez votre bureau partout, dans les grandes villes des États-Unis, d'Europe et d'Asie.
Obtenir un serveur RDP
