Port 3389 (TCP/UDP) – RDP

Qu'est-ce qui tourne sur le port 3389 ?

Le port 3389 est celui par défaut du protocole Bureau à distance (RDP) de Microsoft, le protocole d'administration graphique intégré à Windows. Il transporte toute la session de bureau — clavier, souris, affichage, presse-papiers, redirection de lecteurs et d'imprimantes — entre un client RDP (mstsc.exe, FreeRDP, Remmina) et un hôte exécutant les services Bureau à distance.

Pourquoi c'est important pour la sécurité

RDP est un accès interactif direct à un hôte Windows, ce qui fait du 3389 l'un des ports les plus scannés d'Internet. Les scanners mondiaux recensent chaque 3389 ouvert, et les points exposés sont revendus sur les marchés de courtiers d'accès comme premier point d'appui des groupes de rançongiciels. Deux problèmes aggravent le risque : des identifiants faibles ou réutilisés rendent la force brute triviale, et les serveurs non corrigés restent vulnérables à des RCE pré-authentification propageables comme BlueKeep (CVE-2019-0708), qui ne nécessitent aucun identifiant.

Comment il est attaqué

Les attaquants scannent massivement les 3389 ouverts, puis lancent une force brute ou une pulvérisation de mots de passe, pivotant souvent d'un seul identifiant valide vers tout le domaine. Lorsque la NLA est désactivée, la session peut être dégradée ou interceptée. Sur les hôtes non corrigés, BlueKeep et la chaîne DejaBlue donnent une exécution de code avant l'authentification.

Liste de durcissement

Gardez le 3389 hors d'Internet — placez-le derrière un VPN ou une passerelle Bureau à distance. Exigez la NLA pour que le client s'authentifie avant la création de session, imposez la MFA, le verrouillage de compte et des mots de passe forts. Corrigez sans délai toute CVE RDP, car ces failles sont sans cesse réexploitées. Utilisez la commande nmap ci-dessus pour vérifier le chiffrement et l'état NLA sur les hôtes que vous êtes autorisé à tester.