We support browsers, not dinosaurs. Please update your browser if you want to see the content of this webpage correctly.

Qu’est-ce que le balayage de ports ?

Le balayage de ports est une méthode permettant de déterminer quels ports d’un réseau sont ouverts et à-même de recevoir et d’envoyer des données. Elle sert aussi à envoyer des paquets à des ports spécifiques à un hôte et à analyser les réponses pour identifier les vulnérabilités. Ce processus d’analyse ne peut avoir lieu sans avoir identifié une liste d’hôtes actifs pour lesquels vous devrez effectuer un mappage d’adresses IP. Un balayage de ports efficace pourra être exécuté seulement après une analyse complète du réseau et la compilation d’une liste d’hôtes. Organiser les adresses IP, les hôtes et les ports permet au scanner d’identifier correctement les emplacements de serveur ouverts ou vulnérables afin de diagnostiquer les niveaux de sécurité.

Ces analyses révèlent la présence d’outils de sécurité tel un pare-feu entre le serveur et l’utilisateur de l’appareil.

Les pirates informatiques et les administrateurs peuvent utiliser le balayage de ports pour vérifier les politiques de sécurité d’un réseau et identifier les vulnérabilités, ce qui permet aux pirates de tirer parti de ces points d’entrée.

Les protocoles TCP (protocole de contrôle de transmission) et UDP (protocole de datagramme utilisateur) sont habituellement utilisés pour le balayage de ports. Ce sont deux méthodes de transmission de données pour Internet, mais leurs mécanismes diffèrent. TCP permet une transmission de données fiable basée sur la connexion et reposant sur le statut de destination de façon à compléter un envoi avec succès. UDP est peu fiable et fonctionne sans connexion. Les données sont envoyées sans accorder d’importance à la destination. Par conséquent, la bonne réception des données n’est pas garantie. Il existe différentes façons d’exécuter un balayage de ports en utilisant ces deux protocoles. Vous en retrouverez les détails dans la section relayant les techniques ci-dessous.

Qu'est-ce qu'un port ?

Les ports d’ordinateur constituent le point d’ancrage central pour le flux d'informations allant d’un programme ou d’Internet vers un appareil ou un autre ordinateur du réseau et inversement. C’est une sorte de lieu de stationnement où les données sont échangées via des mécanismes électroniques, logiciels, ou de programmation. Les numéros de ports sont utilisés pour la programmation et par souci de cohérence. Le numéro de port associé à une adresse IP crée une information essentielle conservée par tous les fournisseurs d’accès internet de manière à exécuter les requêtes. Les numéros de ports vont de 0 à 65 536 et sont classés par ordre de popularité.

Les numéros de ports allant de 0 à 1023 sont particulièrement connus et conçus pour l’usage d’Internet, bien qu’ils puissent également avoir d’autres fonctions. Ils sont gérés par l’IANA (Internet Assigned Numbers Authority). Ce sont les grandes entreprises comme Apple QuickTime, MSN, ou SQL services, qui détiennent ces ports. Vous reconnaîtrez peut-être quelques-uns des ports les plus répandus ainsi que les services qui leurs sont attribués :

  • Le port 20 (UDP) utilisé par le protocole FTP (File Transfer Protocol) pour le transfert de données
  • Le port 22 (TCP) utilisé par le protocole SSH (Secure Shell) pour les identifiants sécurisés, le ftp, et le transfert de port
  • Le port 53 (UDP) correspond au DNS (Domain Name System), qui convertit les noms en adresses IP
  • Le port 80 (TCP) correspond au World Wide Web HTTP

Les numéros allant de 1024 à 49151 sont considérés comme étant des « ports enregistrés », qui ont été enregistrés par des entreprises logicielles. Les numéros de ports allant de 49 151 à 65 536 sont des ports dynamiques et privés accessibles à tous.

Quels résultats pouvez-vous obtenir d’un balayage de ports ?

Les balayages de ports révèlent à l’utilisateur le statut du réseau ou du serveur, pouvant résulter en l’une des trois catégories suivantes : ouvert, fermé ou filtré.

Port ouvert :

Un port ouvert signifie que le serveur ou le réseau cible accepte activement les connexions ou les datagrammes et a répondu avec un paquet indiquant qu’il est en écoute. Cela indique également que le service utilisé pour l’analyse (généralement TCP ou UDP) est aussi en cours d’utilisation. Trouver des ports ouverts est généralement le but d’un balayage de ports et représente une victoire pour un cybercriminel cherchant à effectuer une attaque. Les administrateurs peuvent tenter de barricader ces ports en installant des pare-feux pour les protéger sans en limiter l’accès pour les utilisateurs légitimes.

Port fermé :

Un port fermé signifie que le serveur ou le réseau a reçu la requête mais qu’il n’y a pas de service « en écoute » sur ce port. Il est toujours accessible et peut être utile en montrant qu’un hôte est sur une adresse IP. Les ports doivent tout de même faire l’objet d’une surveillance puisqu’ils peuvent être ouverts et créer des vulnérabilités. Les administrateurs devraient envisager de les bloquer à l’aide d’un pare-feu, ce qui en ferait des ports « filtrés ».

Port filtré :

Un port filtré indique qu’un paquet de requêtes a été envoyé mais que l’hôte n’a pas répondu et n’est pas en écoute. En général, cela signifie qu’un paquet de requêtes a été filtré ou bloqué par un pare-feu. Les paquets n’atteignent pas l’emplacement ciblé, empêchant ainsi les cybercriminels de recueillir davantage d’informations. Ils répondent souvent par des messages d’erreur indiquant « destination inaccessible » ou « communication interdite ».

Quelles sont les techniques de balayage de ports ?

Il existe différentes techniques de balayage de ports envoyant des paquets à des destinations pour des raisons diverses.

Voici quelques-unes des techniques ainsi que leur fonctionnement :

  • Les balayages de ports les plus simples sont appelés balayages par ping. Ce sont des requêtes ICMP (Internet Control Message Protocol). Les balayages par ping envoient automatiquement une masse de requêtes ICMP à différents serveurs pour susciter des réponses. Les administrateurs peuvent utiliser cette technique pour résoudre les problèmes, ou désactiver le ping en utilisant un pare-feu, empêchant les acteurs malveillants de trouver le réseau à travers les ping.
  • Les balayages semi-ouverts ou « SYN » envoient seulement un message SYN (diminutif de « synchronize ») et n’établissent pas une connexion complète, laissant la cible en attente. C’est une technique rapide et astucieuse destinée à trouver de potentiels ports ouverts sur les appareils ciblés.
  • Les balayages XMAS sont encore plus discrets. Il arrive que les paquets FIN (message signifiant « plus de données disponibles de l’expéditeur ») ne soient pas détectés par les pare-feux parce qu'ils cherchent principalement des paquets SYN. C’est pour cette raison que les balayages XMAS envoient des paquets avec tous les flags, y compris FIN, sans attendre de réponse, ce qui voudrait dire que le port est ouvert. Recevoir une réponse RST indiquerait un port fermé. C’est tout simplement une façon détournée de s’informer sur la protection d’un réseau et d’un pare-feu, puisque cette analyse apparaît rarement dans les journaux.

Comment les cybercriminels utilisent-ils le balayage de ports pour exécuter des attaques ?

Selon le SANS Institue, le balayage de ports s’avère être l’une des tactiques les plus populaires utilisée par les cybercriminels lorsqu’ils cherchent à s’introduire au sein de serveurs vulnérables.

Ces cybercriminels utilisent souvent le balayage de ports en guise d’étape préliminaire lorsqu'ils ciblent les réseaux. Ils utilisent les le balayage pour évaluer les niveaux de sécurité d’entreprises variées et établissent ainsi qui dispose d’un pare-feu robuste et qui dispose d’un serveur ou d'un réseau vulnérable. De nombreuses techniques de protocoles TCP permettent en fait aux cybercriminels de masquer l’emplacement de leur réseau. Ils utilisent des leurres pour exécuter des analyses sans révéler aucune adresse réseau à la cible.

Ils explorent les réseaux et systèmes pour voir comment chaque port réagira - ouvert, fermé, ou filtré. Un e réponse signalant un port ouvert ou fermé alerte les pirates informatiques en leur indiquant la présence de votre réseau de l’autre côté du balayage. Ces cybercriminels peuvent ensuite établir le niveau de sécurité et le type de système d’exploitation de votre entreprise. Le balayage de ports est une technique ancienne qui nécessite des modifications de sécurité et des renseignements actualisés sur les menaces en raison de l’évolution constante des protocoles et outils de sécurité. Les alertes du balayage de ports et les pare-feux sont nécessaires pour effectuer une surveillance du trafic sur vos ports et garantir que le trafic malveillant ne détecte pas votre réseau.