Les ports mal configurés et ceux comportant des vulnérabilités constituent une porte dérobée que pourraient emprunter des intrus pour s’infiltrer dans un environnement. Pour qu’une posture de sécurité soit solide, il convient de comprendre quels ports sont utilisés et dans quelles conditions de sécurité. C’est d’autant plus vrai quand ils sont accessibles depuis Internet et dans le Cloud. Alors quels sont les risques de sécurité ? Et quelles sont les meilleures pratiques pour les atténuer ?    

L’utilité des ports 

Pour tout le monde, une adresse IP est un moyen unique d’identification d’un système ou d’un réseau. Chaque système d’un réseau a généralement au moins 1 adresse IP et concentre plusieurs services sur le réseau. Les ports donnent un accès exclusif à ces services. On peut associer le port au numéro d’une chambre dans un hôtel et l’adresse IP à l’équivalent de l’adresse postale de l’hôtel. Pour adresser un message à l’occupant d’une chambre, on peut compter sur un intermédiaire habilité à lire de message entrant et qui cherche un indice pour identifier le bon destinataire. Cela peut fonctionner pour un petit nombre de messages, mais devient vite ingérable. Mieux vaut compléter l’adresse avec le numéro de chambre de façon à communiquer directement le message à son destinataire. Surtout que cette méthode préserve en plus la confidentialité des informations.    

Les risques liés aux ports ouverts

S’ils sont essentiels pour le bon fonctionnement des réseaux, les ports peuvent être la cible d’agresseurs. Traditionnellement, les ports ouverts (la configuration de port par défaut d’un système qui vient d’être installé) avaient une empreinte qui pouvait en dire beaucoup sur le système. C’est moins le cas aujourd’hui, car les valeurs par défaut des systèmes d’exploitation sont verrouillées à l’installation et les ports non essentiels ne sont ouverts qu’en stricte nécessité. Mais vous serez peut-être surpris de savoir quelles informations les services transitant par ces ports ouverts peuvent révéler sur votre système…

Il existe de nombreux outils capables d’analyser une adresse IP cible (ou une plage d’adresse IP) et de signaler quels sont les ports ouverts, équipés d’un logiciel d’écoute du trafic. Il est très facile de se procurer ces outils prêts à l’emploi, il en existe des milliers : Nmap, Netcat, Advanced Port Scanner, et autres scanners de vulnérabilités. Mais les scanners de ports ne sont pas seulement utiles aux professionnels de la sécurité, les cybercriminels s’en servent aussi pour se procurer de précieuses informations.

Par exemple, un cybercriminel qui découvre que les ports 443 et 80 sont ouverts peut être quasi certain qu’il a trouvé un serveur web. De plus, s’il connait le type de système son trafic réseau pourrait apparaitre plus normal et ne pas être détecté. Des systèmes de détection d’intrusion surveillent l’activité au niveau des ports d’outils comme Nmap. Mais par défaut, Nmap rend l’ordre d’analyse des ports aléatoire, ce qui permet de tromper les systèmes IDS trop simplistes.    

Les implications des ports ouverts pour le Cloud Computing

Dans le cloud, tout est accessible via des ports Internet ouverts. Il est donc impératif d’identifier tous les ports ouverts et de la sécuriser au moyen de techniques, comme les listes de contrôle d’accès ou ACL (access control lists). Il est recommandé d’appliquer des fonctions de renforcement de port pour chaque application et système d’exploitation dans le cloud. Et tous les ports superflus ou inutilisés doivent être désactivés. La gestion des actifs peut aider à établir une carte de l’architecture précisant ce qu’il faut renforcer et assouplir pour qu’un système fonctionne correctement. Si le port est fermé mais que l’application tourne, alors le risque d’attaque est atténué. Mais les approches de renforcement exigent que l’application et le port soient désactivés. De nombreuses applications peuvent imposer l’exécution locale d’un service et de ses processus pour effectuer une tâche spécifique, sans qu’aucune connexion entrante ne puisse être acceptée via un port fermé.    

Top 7 des meilleures pratiques pour sécuriser des ports et réduire l’exposition aux menaces

Plus une attaque est ciblée et fine, plus il est difficile d’espérer la détecter. Il appartient aux agresseurs de supprimer d’éventuels marqueurs. Voyons quelques-unes des meilleures pratiques permettant de renforcer et sécuriser les ports pour limiter les risques :
  1. Identifier, compter et comprendre l’utilité des ports ouverts - Il s’agit ensuit d’établir une base de référence pour la sécurité des ports en documentant les conditions d’utilisation légitimes des ports dans l’environnement.
  2. Fermer tout port non utilisé
  3. Limiter l’accès au port à des adresses IP source (ou plages) spécifiques - Tous les collaborateurs n’ont pas besoin d’avoir accès au terminal/à la console des serveurs critiques, ni de n’importe quel serveur. Limiter l’accès à la plage des adresses IP réservées aux admins et aux systèmes concernés permet de réduire le profil de risque de l’environnement. Si certains sont amenés à avoir accès aux systèmes à distance, une solution Secure Remote Access peut être installée.
  4. Donner la priorité aux vulnérabilités connues des systèmes exposés au réseau - Un port ouvert sans vulnérabilités connues est probablement plus sûr qu’un autre avec des vulnérabilités connues même si des vulnérabilités inédites, zero-day, surviennent.
  5. Instaurer le principe de moindre privilège sur tous les terminaux - En maintenant les privilèges des utilisateurs interactifs au minimum, l’évolution des attaques et leur progression latérale se voient compliquées.
  6. Ne jamais autoriser l’accès direct à des comptes hautement privilégiés
  7. Supprimer les informations accessibles via les ports ouverts - Le serveur web Apache s’annonce et communique des infos sur la version et le système d’exploitation sur lequel il tourne. Supprimer ces informations ne rend pas le système plus sûr, mais cela peut éviter d’être la cible d’un cybercriminel qui aurait les bons exploits sous la main. On appelle ce type d’approche, « la sécurité par l’obscurité ». Il est possible de faire en sorte que les serveurs web Apache indiquent « Apache », mais sans le numéro de version. Le serveur web Apache, comme de nombreux services, peut tourner sur différents systèmes d’exploitation, aussi ne pas le préciser peut faire gagner du temps.


Si la sécurité des systèmes sous-jacents est conforme aux meilleures pratiques recommandées : gestion des vulnérabilités, accès à distance sécurisé, accès contrôle et surveillé aux comptes privilégiés et aux systèmes sensibles/critiques, et gestion des privilèges des terminaux, alors la posture de cybersécurité de l’entreprise y gagnera beaucoup. Mais le réseau change en permanence et toute modification du fonctionnement d’un système, en totalité ou du fait de nouvelles applications, se traduit par une augmentation du nombre de ports dès que des services réseau sont ajoutés.

Par Thomas Manierre, Directeur Commercial Régional Europe du Sud chez BeyondTrust

ARTICLES SIMILAIRESPLUS DE L'AUTEUR