Outils RMM comme porte d’entrée : Check-liste de sécurité pour ConnectWise, Kaseya et autres

3 min de lecture

Les outils RMM (Remote Monitoring and Management) disposent par conception d’un accès privilégié à tous les points finaux gérés. C’est précisément ce qui en fait une cible privilégiée pour les attaquants. CrowdStrike documente dans son Threat Hunting Report 2024 : l’usage abusif des outils RMM a augmenté de 70 % en glissement annuel et représente 27 % de toutes les intrusions manuelles. Un serveur RMM compromis n’équivaut pas à un client compromis, mais à tous les clients simultanément.

L’essentiel

• 🔒 L’usage abusif des outils RMM a augmenté de 70 %. 27 % de toutes les intrusions manuelles passent par des outils RMM (CrowdStrike 2024).
• ⚠️ Kaseya VSA 2021 : une vulnérabilité zero-day, 60 MSP compromis, jusqu’à 1 500 entreprises affectées, 70 millions de dollars de rançon exigés.
• 🛡️ ConnectWise ScreenConnect CVE-2024-1709 : CVSS 10,0, contournement d’authentification, exploitation triviale.
• 📊 59,4 % de tous les incidents de ransomware proviennent d’un accès distant externe / outils RMM (Arctic Wolf 2025).
• 🔧 CISA/NSA recommandent : imposer l’authentification multifacteur (MFA), segmenter le réseau, mettre en place un allowlisting, journaliser toutes les sessions RMM.

Pourquoi les attaquants adorent les outils RMM

Les logiciels RMM sont conçus pour un fonctionnement informatique légitime : déployer des mises à jour, surveiller les systèmes, résoudre à distance les problèmes. Ainsi, l’agent RMM dispose par conception de droits administrateur sur chaque point final géré, d’un accès réseau à tous les clients et de la capacité d’exécuter du code. Pour un attaquant, c’est la porte dérobée idéale, déjà installée.

Le deuxième avantage : les logiciels légitimes sont nettement plus difficiles à détecter comme malveillants par les outils de sécurité. Lorsque AnyDesk ou ConnectWise ScreenConnect s’exécute sur un système, aucun EDR n’envoie d’alerte. On parle alors de Living-off-the-Land. CISA et NSA ont publié en janvier 2023 un avis conjoint décrivant comment les attaquants utilisent spécifiquement les logiciels RMM pour la persistance et le contrôle à distance (Command-and-Control), sans installer de malware.

Sophos confirme : AnyDesk et PsExec sont apparus dans plus d’incidents que Cobalt Strike. Au moins 17 groupes de ransomware ont été observés utilisant délibérément AnyDesk, notamment REvil, Black Basta et LockBit.

Sources : CrowdStrike Threat Hunting Report 2024, Arctic Wolf 2025

Trois incidents illustrant le risque

Kaseya VSA (juillet 2021). Le groupe REvil a exploité une vulnérabilité zero-day dans Kaseya VSA, une plateforme RMM largement utilisée par les fournisseurs de services gérés (MSP). Comme VSA s’exécute directement sur les points finaux de tous les clients MSP, l’attaque a immédiatement pris la forme d’une attaque en chaîne d’approvisionnement : moins de 60 MSP directement affectés, mais jusqu’à 1 500 entreprises clientes indirectement compromises. La chaîne de supermarchés suédoise Coop a dû fermer ses 800 magasins pendant près d’une semaine. REvil a exigé 70 millions de dollars pour un déchiffreur universel.

ConnectWise ScreenConnect (février 2024). La vulnérabilité CVE-2024-1709 a reçu le score CVSS maximal de 10,0. Il s’agissait d’un contournement d’authentification : une simple requête HTTP vers la page de configuration permettait de remplacer tous les comptes administrateurs existants et d’obtenir une exécution de code à distance. Un proof-of-concept et un module Metasploit étaient immédiatement disponibles. Toutes les versions antérieures à la 23.9.8 étaient concernées.

SimpleHelp (2025). CISA met actuellement en garde contre une exploitation en cours des vulnérabilités de SimpleHelp (CVE-2024-57727, Path Traversal) par des acteurs de ransomware. Cela montre : le risque n’est pas historique, il est actuel.

« Les attaquants utilisent délibérément les logiciels RMM pour la persistance et le contrôle à distance, sans installer de malware. Les outils de sécurité détectent nettement plus difficilement les logiciels légitimes que les logiciels malveillants. »
Avis conjoint CISA/NSA/MS-ISAC AA23-025A, janvier 2023

Check-liste de sécurité pour les outils RMM

Les mesures suivantes s’appuient sur le guide de CISA pour sécuriser les logiciels d’accès distant (Securing Remote Access Software) et l’avis conjoint AA23-025A.

1. Imposer l’authentification multifacteur (MFA) sur chaque compte RMM. Pas seulement pour les accès administrateurs, mais pour chaque compte pouvant contrôler des sessions RMM. Y compris pour les services orientés client. Passkeys/FIDO2 lorsque possible.

2. Segmenter le réseau. Isoler les interfaces de gestion RMM derrière un VPN ou dans un réseau administratif dédié. Le serveur RMM ne doit pas être accessible depuis Internet. Mettre en œuvre une architecture Zero Trust.

3. Préférer l’allowlisting au blocklisting. Restreindre les communications RMM à des paires d’adresses IP connues. N’autoriser dans le réseau que les logiciels RMM explicitement approuvés. Tout outil RMM non autorisé constitue un vecteur d’attaque potentiel.

4. Journaliser et surveiller toutes les sessions RMM. Signaler immédiatement les connexions à des heures inhabituelles, depuis des adresses IP inconnues ou avec une durée anormale. Huntress découvre régulièrement des instances RMM « oubliées » dans les réseaux clients.

5. Tenir un inventaire des outils RMM et le réduire. Inventorier tous les outils RMM installés. Désinstaller immédiatement ceux qui ne sont pas utilisés. Huntress documente une augmentation de 214 % des incidents liés aux outils RMM depuis janvier 2024. Chaque outil superflu élargit la surface d’attaque.

6. Évaluer la sécurité des fournisseurs. Vérifier régulièrement les fournisseurs RMM : fréquence des correctifs, processus de réponse aux incidents, certifications de sécurité. Après les incidents ConnectWise (CVSS 10,0) et SimpleHelp, l’évaluation des fournisseurs n’est plus une option.

Conclusion : le plus grand risque est l’outil déjà en fonction

Les outils RMM ne constituent pas un risque optionnel. Ils sont déjà en cours d’exécution sur les points finaux. Ils disposent déjà de droits administrateur. Ils sont déjà présents dans le réseau. La question n’est pas de savoir s’il faut sécuriser les outils RMM, mais à quelle vitesse. CrowdStrike montre : plus d’un quart de toutes les attaques manuelles utilisent déjà les outils RMM comme point d’entrée. Arctic Wolf documente : 59,4 % de tous les incidents de ransomware sont liés à un accès distant externe. La check-liste CISA ci-dessus est le point de départ. Dès aujourd’hui.

Questions fréquentes

Quels outils RMM ont été détournés lors d’attaques ?

Documentés : ConnectWise ScreenConnect, Kaseya VSA, AnyDesk, TeamViewer, SimpleHelp, NinjaOne, Datto RMM. Au moins 17 groupes de ransomware utilisent délibérément AnyDesk. ConnectWise a connu en 2024 une vulnérabilité avec un score CVSS de 10,0.

Comment détecter un usage abusif des outils RMM dans mon réseau ?

Inventorier tous les outils RMM installés (y compris non autorisés). Surveiller les sessions RMM pour détecter des heures inhabituelles, des adresses IP sources inconnues ou des durées anormales. Mettre en place des règles EDR pour détecter le lancement de processus RMM en dehors des heures de travail. CISA recommande expressément l’allowlisting des communications RMM.

Faut-il supprimer les outils RMM ?

Non. Les outils RMM sont indispensables au fonctionnement informatique. Mais ils doivent être renforcés : MFA, segmentation du réseau, journalisation, évaluation des fournisseurs. Un outil RMM non sécurisé est plus dangereux qu’aucun outil RMM.

En quoi l’incident Kaseya diffère-t-il d’une attaque de ransomware classique ?

Le multiplicateur de type attaque en chaîne d’approvisionnement. Kaseya VSA s’exécute comme agent sur les points finaux de tous les clients MSP. Un serveur compromis n’affecte pas un seul client, mais jusqu’à 1 500 entreprises clientes simultanément. C’est là le risque structurel inhérent à toute plateforme de gestion centralisée.

Source de l’image : Pexels / Brett Sayles

À propos de l'auteur: Benedikt Langer

Plus d'articles de Benedikt Langer