L'administration distante consiste à prendre le contrôle d'un hôte (serveur, équipement réseau, poste client) depuis une machine tierce, via un réseau, afin d'y exécuter des commandes, transférer des fichiers ou lancer des applications graphiques.
Les besoins typiques sont :
Quel que soit le contexte, deux enjeux dominent :
Les techniques modernes d'administration à distance descendent directement des terminaux des premiers mainframes.
Les premiers terminaux étaient des écrans monochromes (blanc, vert, parfois ambre, sur fond noir), conçus pour afficher du texte uniquement :
Initialement, les terminaux étaient raccordés au mainframe par des liaisons série :
tty (en référence au téléimprimeur, ou teletype).L'arrivée d'Ethernet (1980) et de la pile TCP/IP a permis la transposition de ce modèle sur les réseaux IP, donnant naissance aux protocoles d'administration distante.
Le protocole Telnet (RFC 15, 1969) a été l'une des premières applications de la pile TCP/IP. Il encapsule le système tty (ASCII) dans une connexion TCP.
| Caractéristique | Valeur |
|---|---|
| Port | tcp/23 |
| Chiffrement | Aucun |
| Authentification | Mot de passe en clair |
| Vérification d'identité du serveur | Aucune |
⚠️ Telnet ne doit plus être utilisé pour administrer un système sur un réseau non maîtrisé. Il reste toutefois utile comme outil de diagnostic (test d'ouverture de port TCP).
SSH est à la fois un protocole et une suite logicielle, conçu en 1995 pour pallier les défauts de Telnet (chiffrement, authentification du serveur et du client).
| Caractéristique | Valeur |
|---|---|
| Port standard | tcp/22 |
| Version sécurisée à utiliser | SSH-2 (2006) |
| Implémentation de référence | OpenSSH (libre, intégrée à la majorité des systèmes Unix/Linux et à Windows depuis Windows 10/Server 2019) |
À l'installation d'un serveur SSH, une paire de clés asymétriques (privée + publique) est générée pour le serveur. Lors de la première connexion, le client mémorise l'empreinte de la clé publique du serveur (fichier ~/.ssh/known_hosts).
À chaque connexion ultérieure :
Deux modes principaux :
ssh-keygen, algorithme ed25519 recommandé, ou RSA 4096 bits).~/.ssh/authorized_keys de l'utilisateur visé.ssh-copy-id automatise le dépôt de la clé publique.SSH ne se limite pas à l'ouverture d'un shell distant. Il sert de transport sécurisé à plusieurs outils :
cp.| Fichier | Rôle |
|---|---|
/etc/ssh/sshd_config |
Configuration du serveur SSH |
/etc/ssh/ssh_config |
Configuration cliente globale |
~/.ssh/config |
Configuration cliente par utilisateur (alias, options par hôte) |
~/.ssh/known_hosts |
Clés publiques des serveurs déjà rencontrés |
~/.ssh/authorized_keys |
Clés publiques autorisées à se connecter |
L'utilisation d'alias dans ~/.ssh/config simplifie grandement le quotidien :
Host srv1
HostName 192.168.13.251
Port 22
User pascal
Permet ensuite : ssh srv1, scp fichier srv1:~, etc.
Initialement appelé Terminal Services (TSE), le service est désormais nommé Remote Desktop Services (RDS). C'est un composant intégré à Windows (versions client et serveur) qui permet à un utilisateur d'accéder à des applications et à des données sur un ordinateur distant, via n'importe quel type de réseau IP.
| Caractéristique | Valeur |
|---|---|
| Port | tcp/3389 (modifiable dans la base de registre) |
| Type d'accès | Bureau complet ou application unique (RemoteApp) |
| Variante Web | RDP Web Access |
| Licences | Accès unique gratuit ; multi-utilisateurs sous licences CAL RDS payantes |
Clé de registre du port d'écoute :
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\PortNumber
L'authentification peut s'effectuer :
La connexion RDP établit en parallèle des tunnels pour rediriger les périphériques locaux (impressions, presse-papiers, lecteurs, audio, ports série/USB) vers la session distante.
RDP est massivement utilisé et donc massivement attaqué (BlueKeep, attaques par force brute, ransomwares). Recommandations essentielles :
L'écosystème de l'accès distant est riche. Voici un panorama des solutions notables, classées par usage.
Enter-PSSession, Invoke-Command).| Solution | Type | Port | Sécurité native | Usage principal |
|---|---|---|---|---|
| Telnet | CLI | tcp/23 | Aucune (à proscrire) | Diagnostic uniquement |
| SSH | CLI + transport | tcp/22 | Forte (chiffrement + clés) | Administration Unix/Linux, équipements réseau, transferts |
| RDP | GUI | tcp/3389 | Bonne avec NLA | Administration et bureau Windows |
| WinRM | CLI (PowerShell) | tcp/5985-5986 | Bonne (HTTPS, Kerberos) | Administration scriptée Windows |
| VNC | GUI | tcp/5900 | Faible (à tunneliser) | Partage d'écran multi-OS |
| TeamViewer / AnyDesk | GUI | variable (relais) | Bonne | Assistance utilisateur, traversée NAT |
| Citrix HDX / Horizon | GUI | variable | Forte | Publication d'applis et VDI en entreprise |
Quelle que soit la solution retenue :