Des connexions établies au processus « remotedesktopcompanion.exe » dans netstat peuvent laisser craindre une compromission par Bureau à distance. Découvrez pas à pas comment identifier leur origine, vérifier les journaux Windows et éliminer tout accès indésirable.
Vue d’ensemble du problème
Un utilisateur de Windows 11 qui n’a jamais activé Remote Desktop constate, via netstat -ano, plusieurs sessions TCP en état ESTABLISHED vers le port 443, associées à un binaire intitulé remotedesktopcompanion.exe. Aucune écoute n’est détectée sur les ports classiques du protocole RDP (3389, 3390) ni sur les ports VNC (5500/5900). Les antivirus restent muets ; la suspicion d’un piratage s’installe.
Dans la majorité des cas, ces connexions proviennent de l’environnement Meta Quest PC / Oculus, qui utilise son propre canal chiffré pour le streaming et l’assistance VR. Toutefois, l’homonymie avec les composants RDP suffit à alimenter les doutes. L’article détaille une méthode d’enquête qui permet de :
- confirmer qu’il ne s’agit pas d’une prise de contrôle RDP ;
- identifier la provenance exacte du binaire ;
- décider s’il faut conserver, désactiver ou supprimer le composant ;
- mettre en place des mesures préventives pour éviter toute intrusion future.
Analyse pas à pas
La démarche repose sur quatre piliers : observation des journaux, corrélation des processus, validation de l’éditeur et actions correctives. Le tableau ci‑dessous sert de guide ; chaque étape est développée ensuite.
| Étape | Objectif | Actions / Vérifications clés | Résultat attendu |
|---|---|---|---|
| Vérifier les journaux d’événements Windows | Confirmer ou infirmer toute session RDP inattendue | Ouvrir Event Viewer → Windows Logs ► Security → Filtrer sur l’ID 4624 (type 10) et 4648 (logon RDP) Inspecter date, utilisateur, IP source, niveau d’intégrité | Absence d’événements RDP suspects → aucun accès distant constaté |
| Cartographier les connexions en temps réel | Associer chaque socket à son exécutable | Installer Sysinternals TcpView ➜ trier par Process Repérer le PID de remotedesktopcompanion.exeNoter les destinations, le nombre de paquets et l’état | Le PID n’appartient pas à C:\Windows\System32\mstsc.exe mais à un binaire tiers |
| Retracer le fichier exécutable | Déterminer la légitimité de l’application | Dans TcpView : clic droit ➜ Properties, puis Open File Location Contrôler : chemin, taille, signature numérique, version | Présence dans C:\Program Files\Meta\VR\Support\ + signature Oculus VR, LLC |
| Décider de la remédiation | Éliminer tout risque sans casser les usages légitimes | Si casque Meta Quest présent : désactiver la fonction Companion dans l’interface Meta Sinon : Paramètres ► Applications & Fonctionnalités → désinstaller Meta Quest PC | Les sockets 443 disparaissent de TcpView/netstat, plus de trafic résiduel |
| Durcir la configuration Windows | Réduire durablement la surface d’attaque | Désactiver : • Assistance à distance (Système ► Accès distant) • Bureau à distance (Windows 11 Home le désactive par défaut) Activer : • Pare‑feu Microsoft Defender • SmartScreen et la détection d’applications potentiellement indésirables (PUA) | Aucun port RDP exposé, trafic chiffré contrôlé par règle de pare‑feu |
Dossier pratique : décoder les ID d’événements
Pour les connexions RDP, deux codes sont clés :
- 4624 : ouverture de session réussie. Le champ Logon Type 10 signale un logon distant via RDP.
- 4648 : tentative de connexion avec des informations d’identification explicites. Utile pour repérer l’escalade de privilèges.
Un script PowerShell minimal pour extraire ces événements :
Get-WinEvent -FilterHashtable @{LogName='Security'; ID=4624,4648} |
Where-Object {$_.Properties[8].Value -eq 10} |
Select-Object TimeCreated, @{n='User';e={$.Properties[5].Value}}, @{n='IP';e={$.Properties[18].Value}}Interpréter correctement les résultats
La découverte d’un binaire tiers écoutant sur 443 ne signifie pas qu’un pirate a ouvert un RDP masqué ; elle peut indiquer :
- Application légitime en mode service : le Companion d’Oculus initialise une session TLS vers les CDN Meta pour le streaming d’images VR. Même désactivé dans l’interface, le service peut se lancer au démarrage.
- Reste d’installation incomplète : le dossier Support persiste après suppression manuelle. Windows tente de démarrer le service, échoue puis ouvre des sockets TIME_WAIT visibles quelques secondes.
- Cheval de Troie s’étant approprié le nom : cas rare mais critique. Signes d’alerte : absence de signature numérique, localisation dans
%TEMP%ouC:\Users\Public, tentative d’accès sortant vers domaines inconnus.
Plan de remédiation détaillé
Cas où vous utilisez un casque Meta Quest
- Ouvrez l’application Meta Quest PC.
- Accédez à Paramètres ► Général ► Fonctions avancées.
- Désactivez « Companion Remote Desktop ».
- Redémarrez le PC puis vérifiez avec
netstat -ano.
Cas où vous n’utilisez plus Meta Quest
- Désinstallez « Meta Quest PC » depuis Applications > Installées.
- Supprimez manuellement :
C:\Program Files\MetaC:\Program Data\Oculus(dossiers cachés) - Ouvrez Regedit et vérifiez l’absence de clés Kinect dans :
HKLM\Software\Microsoft\Windows\CurrentVersion\Run - Redémarrez, puis repassez netstat.
Renforcer durablement Windows 11
Pour qu’aucune application tierce ne s’exécute en mode distant sans consentement :
- Contrôle des comptes utilisateurs (UAC) : laissez‑le au niveau « Toujours m’avertir ».
- Stratégies d’audit avancées : via gpedit.msc → Configuration ordinateur ► Paramètres Windows ► Paramètres de sécurité ► Stratégies d’audit avancées ► Suivi des connexions ► Audit des connexions réseau.
- Liste d’autorisation d’applications : AppLocker ou Windows Defender Application Control.
- Virtualization-Based Security (VBS) : activez l’intégrité de la mémoire (HVCI) pour isoler les pilotes douteux.
- Chiffrement BitLocker : protège les données si l’attaquant dispose d’un accès physique.
Outils recommandés pour la surveillance continue
Sysinternals Suite
- Process Explorer : vue arborescente des processus, hachage virustotal intégré.
- Autoruns : inspecte chaque point de démarrage, service, tâche planifiée.
- TcpView : indispensable pour corréler sockets ↔ exécutable.
PowerShell modernisé
Get-NetTCPConnection -State Established | Select-Object -First 10Get-Process -Id (Get-NetTCPConnection -State Listen).OwningProcess | Sort-Object CPU -Desc
Journalisation centralisée
- Configurer Microsoft Defender pour pousser les alertes vers Microsoft Defender XDR.
- Exporter les journaux via l’agent Windows Event Forwarding si vous gérez plusieurs postes.
Vérifications complémentaires utiles
- Planificateur de tâches : assurez‑vous qu’aucune tâche cachée ne relance le binaire.
- Services Windows : statu quo ? Exécutez
services.msc, triez par « Automatique (démarrage différé) » ; désactivez les services Oculus s’ils ne servent plus. - Pare‑feu sortant : créez une règle qui bloque tous les ports sauf 80/443 pour
remotedesktopcompanion.exe, le temps de l’enquête. - Contrôle des comptes locaux :
net userdoit montrer uniquement les comptes attendus (aucun administrateur inconnu).
Questions fréquentes (FAQ)
Pourquoi mon antivirus n’a‑t‑il rien détecté ?
Les antivirus se basent sur des signatures et un score de réputation. Le binaire d’Oculus est légitime, signé et largement déployé ; aucune heuristique ne l’identifie comme malveillant.
Puis‑je simplement supprimer le fichier .exe ?
Oui, mais l’utilitaire Meta Quest essayera de le recréer lors d’une mise à jour. La désinstallation propre est préférable pour éviter un cycle sans fin.
Le port 443 n’est‑il pas réservé au HTTPS ?
Si. C’est justement pour contourner les filtrages stricts que de nombreux éditeurs encapsulent leur propre protocole dans TLS ; le trafic reste chiffré et peu suspect.
Un formatage est‑il nécessaire ?
Uniquement si des preuves tangibles d’exfiltration ou de persistance malveillante sont découvertes. Dans le cas présent, la simple suppression ou désactivation du composant suffit.
Comment surveiller l’apparition future de processus inconnus ?
Activez l’option « Print all process creations (4688) » dans l’audit avancé et recevez une alerte par mail via un script Scheduled Task ► Event Trigger.
Conclusion
Une alerte déclenchée par un nom de processus ressemblant à Remote Desktop ne rime pas toujours avec piratage. La méthode décrite – journalisation, corrélation des processus, validation de la signature et durcissement de l’environnement – permet de lever le doute et de rétablir la confiance sans mesures radicales. Gardez en tête qu’un système durci, des mises à jour régulières et une bonne hygiène logicielle restent vos meilleures armes contre les accès distants non désirés.