Port réseau : rappel rapide

Un port est un point d'entrée numérique sur votre serveur. Chaque service réseau écoute sur un port spécifique : le port 80 pour le HTTP, le 443 pour le HTTPS, le 22 pour SSH, etc. Un port "ouvert" signifie qu'un service actif attend des connexions dessus. Un port "fermé" ou "filtré" refuse ou ignore les connexions entrantes.

Il existe 65 535 ports possibles. La plupart sont fermés par défaut. Mais chaque service que vous installez — volontairement ou non — peut en ouvrir un nouveau.

WARN
Les bots scannent l'intégralité d'Internet en moins de 45 minutes
Des outils comme Shodan ou Masscan permettent de scanner les 4 milliards d'adresses IPv4 publiques très rapidement. Votre serveur est scanné plusieurs fois par jour, que vous le sachiez ou non.

Vos ports sont scannés en permanence

Dans les premières minutes après la mise en ligne d'un serveur, des connexions automatisées tentent déjà d'accéder aux ports SSH, RDP, Telnet et aux interfaces d'administration courantes. Ce n'est pas de la paranoïa : c'est la réalité documentée par les honeypots de sécurité.

Ces bots cherchent des identifiants par défaut, des versions logicielles vulnérables, ou simplement des services mal configurés accessibles sans authentification.

Les ports les plus dangereux

Port 23 — Telnet

Telnet transmet tout en clair, y compris les mots de passe. Il n'existe aucune raison légitime d'exposer Telnet sur Internet en 2026. Si ce port est ouvert sur votre serveur, fermez-le immédiatement et remplacez-le par SSH.

Port 3389 — RDP (Remote Desktop Protocol)

Le bureau à distance Windows est l'une des cibles préférées des ransomwares. Des campagnes d'attaques massives scannent en permanence ce port pour trouver des serveurs avec des identifiants faibles ou des versions vulnérables de RDP (BlueKeep, DejaBlue). Si vous devez utiliser RDP, placez-le derrière un VPN et changez le port par défaut.

Port 22 — SSH exposé sans restriction

SSH lui-même est sécurisé, mais exposé sans protection, il subit des attaques par force brute constantes. Un serveur SSH sans fail2ban, sans désactivation de l'authentification par mot de passe, et sans restriction d'IP est une cible quotidienne.

Ports 137, 138, 139, 445 — SMB (partage de fichiers Windows)

Le protocole SMB a été à l'origine des attaques WannaCry (2017) et NotPetya. Ces ports ne doivent jamais être exposés sur Internet. S'ils apparaissent dans un scan de votre domaine public, c'est une urgence critique.

Port 1433 — SQL Server / Port 3306 — MySQL / Port 5432 — PostgreSQL

Les bases de données ne doivent jamais écouter directement sur Internet. Un port de base de données exposé permet des tentatives d'injection et de brute-force directement sur vos données. Les bases doivent être accessibles uniquement depuis le réseau interne ou via un tunnel sécurisé.

Port 21 — FTP

FTP transmet les identifiants en clair, exactement comme Telnet. Remplacez FTP par SFTP (qui utilise SSH, port 22) ou FTPS (FTP sur TLS). Le FTP "classique" n'a plus sa place sur un serveur en production.

Port 8080, 8443, 9090 — Interfaces d'administration

De nombreux outils (Tomcat, Jenkins, Portainer, phpMyAdmin) exposent leur interface d'administration sur ces ports alternatifs. Ces interfaces sont massivement scannées. Si elles sont exposées sans authentification forte ou restriction d'IP, elles représentent un vecteur d'attaque direct.

Découvrez quels ports sont visibles sur votre domaine :

→ Scanner mes ports exposés

Ports à surveiller selon votre usage

Serveur web standard

Ports légitimes : 80 (HTTP → redirection HTTPS), 443 (HTTPS)
À fermer : tout le reste, sauf 22 (SSH) en accès restreint par IP

Serveur de messagerie

Ports légitimes : 25 (SMTP), 465/587 (SMTP sécurisé), 993 (IMAP SSL), 995 (POP3 SSL)
À éviter : 110 (POP3 non chiffré), 143 (IMAP non chiffré)

Serveur de développement / staging

Risque courant : ports de debug (3000, 4000, 8000, 8080) ouverts en production par erreur
Solution : n'exposer ces ports qu'en localhost ou sur un réseau privé

Comment fermer un port

Avec UFW (Ubuntu/Debian)

# Voir les règles actives
sudo ufw status verbose

# Bloquer un port spécifique
sudo ufw deny 3389/tcp

# N'autoriser SSH que depuis une IP spécifique
sudo ufw allow from 192.168.1.0/24 to any port 22

# Activer le firewall si ce n'est pas déjà fait
sudo ufw enable

Avec iptables

# Bloquer le port 23 (Telnet) en entrée
sudo iptables -A INPUT -p tcp --dport 23 -j DROP

# Sauvegarder les règles
sudo iptables-save > /etc/iptables/rules.v4

Arrêter le service inutile

Fermer le port au niveau du firewall est bien, mais il vaut mieux aussi désactiver le service qui l'ouvre. Si Telnet est installé, désinstallez-le : 

sudo systemctl stop telnet
sudo systemctl disable telnet
sudo apt remove telnetd -y

Vérifier vos ports exposés

Wezea scanne les ports critiques de votre domaine depuis l'extérieur — exactement comme le ferait un attaquant. Vous obtenez la liste des ports ouverts détectés, leur niveau de risque, et des recommandations de remédiation.

Le scan couvre les ports les plus fréquemment exploités : SSH, RDP, Telnet, SMB, bases de données, interfaces d'administration. Idéal pour un audit rapide avant une mise en production ou un audit de sécurité client.

Audit complet de vos ports exposés, gratuit :

→ Analyser mon domaine

Lire aussi

Audit de sécurité de domaine : ce que ça vérifie vraiment Checklist d'audit sécurité d'un site web (2026) Sécuriser WordPress : checklist complète 2026