Les ports ouverts protégés de manière insuffisante peuvent représenter un risque sérieux pour votre environnement informatique. Les acteurs de la menace cherchent souvent à les exploiter, ainsi que les applications qui les utilisent, soit par usurpation d’identité soit par reniflement (une attaque qui permet d’enregistrer vos identifiants), entre autres techniques. En 2017, les cybercriminels ont par exemple diffusé le ransomware WannaCry en exploitant une vulnérabilité du protocole SMB sur le port 445. On peut citer également d’autres exemples, notamment les campagnes de menace actuelles qui s’attaquent au service Microsoft de Bureau à distance (Remote Desktop Protocol, RDP) qui s’exécute sur le port 3389.
Sélection de contenu connexe :
Poursuivez votre lecture pour en apprendre davantage sur les risques de sécurité liés aux ports, les vulnérabilités sur lesquelles vous devriez focaliser votre attention et comment renforcer la sécurité des ports ouverts.
Petit rappel sur les ports
Les ports sont une abstraction permettant de définir un type particulier de service réseau. Chacun d’entre eux est lié à un protocole, un programme ou un service spécifique, et inclut un numéro de port qui permet de les identifier. Par exemple, les messages HTTPS (Hypertext Transfer Protocol Secure) utilisent par défaut le port 443 côté serveur, alors que le port 1194 est strictement réservé au protocole OpenVPN.
Les protocoles de transport les plus connus qui disposent d’un numéro de port sont le protocole de contrôle de transmissions (Transmission Control Protocol ou TCP) et le protocole de datagramme utilisateur (User Datagram Protocol ou UDP). TCP est un protocole qui permet d’établir une connexion et qui inclut des mécanismes de retransmission et de récupération des erreurs. UDP est un protocole de communication sans connexion qui n’intègre ni la récupération ni la correction d’erreurs contenues dans les messages. Par rapport à TCP, il s’agit d’un protocole plus rapide qui permet d’augmenter la vitesse du trafic réseau. TCP et UDP sont tous les deux des protocoles de couche transport de la pile TCP/IP et utilisent le protocole IP pour traiter et acheminer les données sur Internet. En fonction de leurs caractéristiques, les logiciels et les services sont conçus pour utiliser soit TCP soit UDP.
Les ports TCP et UDP peuvent se trouver dans l’un de ces trois états :
- Ouvert — Le port répond aux demandes de connexion.
- Fermé — Le port n’est pas joignable, ce qui indique qu’aucun service correspondant n’est en cours d’exécution.
- Filtré — Le pare-feu surveille le trafic et bloque certaines demandes de connexion.
Les risques de sécurité liés aux ports
Un grand nombre d’incidents ont démontré que la vulnérabilité aux attaques augmente lorsque les services à l’écoute des connexions sur les ports ouverts sont non corrigés, protégés de manière insuffisante ou mal configurés, ce qui peut entraîner la compromission des systèmes et des réseaux. Dans ces cas précis, les acteurs de la menace peuvent utiliser les ports ouverts pour mener différentes cyberattaques qui exploitent l’absence de mécanismes d’authentification des protocoles TCP et UDP. Les attaques par usurpation d’identité en sont des exemples bien connus : un acteur malintentionné réussit à se faire passer pour un système ou un service et envoie des paquets malveillants, souvent en réalisant également d’autres types d’attaques, comme l’usurpation d’adresse IP et des attaques de l’homme du milieu. La campagne d’attaques « Pipe Plumbing » contre le protocole RDP est l’un des tout derniers exemples à utiliser cette tactique. En outre, les ports ouverts délibérément (par exemple, les ports utilisés par un serveur web) peuvent faire l’objet d’attaques de la couche d’application, notamment des attaques par injection de code SQL, par falsification de requête intersites ou par traversée de répertoire.
Les attaques par déni de service (DoS) constituent une autre technique bien connue. Il s’agit le plus souvent d’attaques par déni de service distribuées (DDoS) : les attaquants envoient un nombre considérable de demandes de connexion à partir de différents ordinateurs au service cible pour épuiser les ressources du serveur.
Ports vulnérables qui nécessitent votre attention
N’importe quel port peut être ciblé par les acteurs de la menace, mais il est plus probable que certains d’entre eux fassent l’objet de cyberattaques en raison des graves lacunes qu’ils présentent habituellement, notamment les vulnérabilités des applications, l’absence d’authentification à 2 facteurs ou encore des informations d’identification faibles.
Voici une liste des ports les plus vulnérables utilisés régulièrement dans les attaques :
Ports 20 et 21 (FTP)
Le port 20 (principalement) et le port 21 sont utilisés par le protocole FTP (File Transfer Protocol) et permettent aux utilisateurs d’envoyer et de recevoir des fichiers sur un serveur.
Ce protocole est connu pour être obsolète et non sécurisé. C’est pourquoi les attaquants l’exploitent souvent :
- En réalisant des attaques par force brute pour obtenir des mots de passe ;
- En s’authentifiant de manière anonyme (il est possible de se connecter au port FTP en utilisant le nom d’utilisateur et le mot de passe « anonyme ») ;
- En réalisant des attaques XSS (scripting inter-site) ;
- En réalisant des attaques par traversée de répertoire.
Port 22 (SSH)
Le port 22 correspond au protocole Secure Shell (SSH). Il s’agit d’un port TCP qui permet de garantir un accès sécurisé à un serveur. Les pirates informatiques l’exploitent en utilisant des clés SSH qui ont été divulguées ou en réalisant des attaques par force brute pour obtenir des informations d’identification.
Port 23 (Telnet)
Le port 23 est un protocole TCP qui permet aux utilisateurs de se connecter à un ordinateur distant. Dans la plupart des cas, Telnet a été remplacé par le protocole SSH, mais il est toujours utilisé par certains sites web. Obsolète et non sécurisé, il est vulnérable à de nombreuses attaques, notamment celles par force brute (pour obtenir des informations d’identification), par usurpation d’identité ou encore par reniflement (pour avoir accès à des identifiants).
Port 25 (SMTP)
Le port 25 correspond au protocole SMTP (Simple Mail Transfer Protocol) qui sert à envoyer et à recevoir des e-mails. S’il est mal configuré et insuffisamment protégé, ce port TCP est vulnérable aux attaques par usurpation d’identité et à la réception de courrier indésirable.
Port 53 (DNS)
Le port 53 correspond au système DNS (Domain Name System). Il s’agit d’un port UDP et TCP pour les requêtes et les transferts, respectivement. Il est particulièrement vulnérable aux attaques DDoS.
Ports 137 et 139 (NetBIOS sur TCP) et 445 (SMB)
Le protocole SMB (Server Message Block) utilise le port 445 de manière directe et les ports 137 et 139 indirectement. Les cybercriminels peuvent les exploiter :
- En utilisant le code malveillant EternalBlue, qui profite des vulnérabilités de la première version du protocole, SMBv1, présente sur les ordinateurs Windows les plus anciens (les pirates informatiques ont par exemple utilisé le port SMB pour diffuser le ransomware WannaCry en 2017).
- En volant les hachages NTLM ;
- En réalisant des attaques par force brute pour obtenir des identifiants de connexion SMB.
Ports 80, 443, 8080 et 8443 (HTTP et HTTPS)
Les protocoles HTTP et HTTPS sont les plus populaires sur Internet et constituent donc souvent une cible privilégiée pour les attaquants. Ils sont particulièrement vulnérables aux attaques XSS (scripting intersite), aux attaques par injection SQL, aux attaques par falsification de requête intersites ainsi qu’aux attaques DDoS.
Ports 1433, 1434 et 3306 (utilisés par les bases de données)
Il s’agit des ports par défaut pour les systèmes de base de données SQL Server et MySQL. Ils sont utilisés pour distribuer des programmes malveillants ou sont attaqués directement dans un scénario DDoS. La plupart du temps, les attaquants interrogent ces ports pour essayer de trouver des bases de données non protégées dont la configuration par défaut est exploitable.
Port 3389 (Bureau à distance)
Ce port est utilisé de pair avec différentes vulnérabilités présentes dans les protocoles de bureau à distance. Les pirates informatiques l’interrogent également pour découvrir des méthodes d’authentification faibles ou qui ont été divulguées. Les vulnérabilités des protocoles de bureau à distance sont actuellement les plus exploitées par les cybercriminels (par exemple, la vulnérabilité BlueKeep).
Conseils pour le renforcement de la sécurité des ports ouverts
Heureusement, il existe des méthodes pour renforcer la sécurité des ports ouverts. Nous vous recommandons vivement les six approches suivantes :
1. Appliquez régulièrement les correctifs de sécurité à votre pare-feu.
Votre pare-feu protège l’ensemble des systèmes et des services de votre réseau. Les correctifs de sécurité maintiennent votre pare-feu à jour et permettent d’en corriger les vulnérabilités et les lacunes que les cybercriminels pourraient utiliser pour obtenir un accès total à votre système et à vos données.
2. Vérifiez régulièrement les ports.
Vous devriez également analyser et vérifier vos ports de manière régulière. Vous pouvez le faire grâce à l’une de ces trois méthodes recommandées :
- Outils de ligne de commande — Si vous avez le temps d’analyser et de vérifier les ports manuellement, utilisez des outils de ligne de commande pour identifier et contrôler les ports ouverts. Netstat et Network Mapper en sont de bons exemples : les deux peuvent être installés sur de multiples systèmes d’exploitation, notamment Windows et Linux.
- Scanners de ports — Si vous souhaitez des résultats plus rapides, envisagez un scanner de ports. Il s’agit d’un logiciel qui analyse les ports pour déterminer leur statut : ouvert, fermé ou filtré. Le processus est simple : Le scanner envoie une demande de connexion à un port spécifique et enregistre la réponse.
- Scanners de vulnérabilités — Ces solutions sont également une bonne option pour découvrir les ports ouverts ou dont les mots de passe sont configurés par défaut.
3. Effectuez le suivi des modifications des paramètres de configuration de services.
De nombreux services installés sur votre réseau utilisent différents ports : il est donc essentiel de surveiller leur état en cours d’exécution et d’assurer un suivi de toutes les modifications des paramètres de configuration des services. Les services peuvent s’avérer vulnérables quand ils sont mal configurés ou lorsque les correctifs de sécurité ne sont pas appliqués.
Grâce à Netwrix Change Tracker, vous pouvez renforcer vos systèmes en contrôlant les modifications non approuvées ou toutes autres activités suspectes. Notre solution offre notamment les fonctionnalités suivantes :
- Alertes pertinentes et exploitables en cas de modifications des paramètres de configuration ;
- Enregistrement, analyse, vérification et validation automatiques de chaque modification ;
- Suivi en temps réel des modifications ;
- Suivi continu des vulnérabilités des applications.
4. Utilisez des outils IDP et IPS.
Les systèmes de détection des intrusions (IDS) et les systèmes de prévention des intrusions (IPS) peuvent vous aider à empêcher des attaquants d’exploiter vos ports. Ils surveillent votre réseau, détectent tous les incidents de cybersécurité éventuels en consignant les informations qui lui sont liées, et les signalent aux administrateurs de la sécurité. Les IPS viennent compléter les fonctionnalités de vos pare-feux en identifiant le trafic entrant suspect tout en enregistrant les informations de l’attaque et en la bloquant.
5. Utilisez des clés SSH.
Vous avez également la possibilité d’utiliser des clés SSH. Les clés SSH sont des informations d’identification d’accès bien plus sécurisées que les mots de passe, car il est très difficile de les déchiffrer, voire impossible. Il en existe deux types :
- Les clés privées ou d’identité, qui identifient un utilisateur et lui donnent accès à un système ;
- Les clés publiques ou autorisées, qui déterminent qui peut accéder à un système.
Vous pouvez utiliser un algorithme de chiffrement de clé publique ou des outils de génération de clés pour créer vos clés SSH.
6. Effectuez des tests d’intrusion et évaluez les vulnérabilités.
Afin de protéger vos ports, envisagez de réaliser des tests d’intrusion et des évaluations des vulnérabilités. Bien que ces deux techniques soient utilisées pour détecter les vulnérabilités des infrastructures informatiques, elles n’en sont pas moins différentes. Les balayages de vulnérabilités permettent uniquement d’identifier les vulnérabilités et de les signaler, alors que les tests d’intrusion exploitent les lacunes de sécurité pour établir la manière dont un attaquant peut obtenir un accès non autorisé à votre système.
FAQ
Que sont les vulnérabilités des ports ouverts ?
Un port ouvert peut être à l’origine d’une vulnérabilité, ce qui constitue une lacune de sécurité. S’il est mal configuré et insuffisamment protégé, un attaquant peut utiliser un port ouvert pour accéder à vos systèmes et à vos données.
Quels sont les ports les plus vulnérables ?
Certains ports et les applications qui les utilisent sont plus susceptibles de faire l’objet d’attaques en raison de la faiblesse de leurs informations d’identification et de leurs défenses. Les ports les plus vulnérables sont les suivants :
- FTP (20, 21)
- SSH (22)
- Telnet (23)
- SMTP (25)
- DNS (53)
- NetBIOS sur TCP (137, 139)
- SMB (445)
- HTTP et HTTPS (80, 443, 8080, 8443)
- Ports 1433, 1434 et 3306
- Bureau à distance (3389)
Le port 80 représente-t-il un risque de sécurité ?
Le port 80 n’est pas intrinsèquement un risque de sécurité. Toutefois, si vous le laissez ouvert et que vous l’avez mal configuré, les attaquants peuvent facilement l’utiliser pour accéder à vos systèmes et à vos données. À la différence du port 443 (HTTPS), le chiffrement sur le port 80 n’est pas activé, ce qui en fait une cible facile pour les cybercriminels et leur permet d’accéder à vos données sensibles, de les divulguer ou de les falsifier.
