Alertes de sécurité en cours Discussion Discussion
Faire un lien Lien
Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée


Scanner de ports

Dernière mise à jour : 2016-12-03T00:00 - 03.12.2016 - 00h00
01.04.2012 - 00h00 - Paris - (Assiste - Pierre Pinard) - Mise à jour de notre article antérieur (versions 1997-2007)

Scanner de ports

Scanner de ports

Scanner de portsScanner de portsScanner de ports

Les scanners de ports (et les scanners d'IPs) sont des outils logiciels automatiques (des robots) analysant les ports (portes) de communication derrière une adresse IP (un ordinateur) et cherchant ceux ouverts.

Il y a divers usages des scanners de ports :

  • En sécurité des systèmes d'information, les scanners de ports sont utilisés par des administrateurs de réseaux, de manière préventive, pour surveiller et durcir les réseaux dont ils ont la charge grâce à des outils d'analyse, comme les logiciels Nessus ou NMap.
  • Ces mêmes outils scanners de ports se trouvent également entre les mains de pirates et cybercriminels. Pour eux, la recherche de ports ouverts puis de ressources vulnérables derrière un port ouvert est conduite afin d'exploiter la vulnérabilité, pénétrer la machine et en exploiter enfin les ressources et/ou les données s'y trouvant.

En termes d'insécurité, les scanners de ports ne conduisent pas une attaque en eux-mêmes, ils la précèdent (avec, éventuellement, l'usage d'un backdoor).

Fonctionnement d'un scanner de portsFonctionnement d'un scanner de portsFonctionnement d'un scanner de ports

Un ordinateur non connecté à l'Internet n'est jamais la cible d'un scan de ports.

Lorsqu'un ordinateur est connecté à l'Internet, il est identifié sur le réseau par une adresse unique, appelée Adresse IP (Internet Protocol).

Dans son principe général, le fonctionnement est simple : un scanner de ports va scanner (tester, interroger) un intervalle de ports (ou un dictionnaire de ports), sur chaque machine trouvée dans un intervalle d'adresses IPs (on parle donc, parfois, de scanner d'IPs).

Exemple : recherche de ports ouverts entre les ports 35000 et 35100 sur l'intervalle d'adresses IPs 128.208.78.000 à 128.208.78.255.

Il existe 65.536 ports par machines et 274.941.996.890.625 adresses IP possibles.

Les ports de communications des ordinateurs sont nombreux (Windows laisse ses 65.536 ports ouverts par défaut, raison pour laquelle un pare-feu est obligatoire, ne serait-ce que le pare-feu Windows !). Vous pouvez d'ailleurs tester l'état de vos ports avec le célèbre service gratuit en ligne Shields-Up, de GRC.

  • Adressage IPV4
    Les adresses IPs (adresse de votre ordinateur sur le réseau) vont, dans la norme IPV4, de 000.000.000.000 à 255.255.255.255 soit 2554, c'est-à-dire 4.228.250.625 adresses (et donc, autant de machines possibles connectées). L'adressage dit "IPV4" fut mis en place à l'origine en pensant qu'avec plus de 4 milliards d'adresses possibles, on pourrait "tenir" l'adressage longtemps.
  • Adressage IPV6
    L'adressage se fait maintenant sur une base dite "IPV6" soit 2556, c'est-à-dire 274.941.996.890.625 adresses possibles ce qui devrait nous laisser le temps de voir venir.

Le scan de port commence par éviter de s'acharner à analyser les ports d'une machine qui n'est pas présente sur le réseau (adresse IP inutilisée ou machine éteinte). L'outil de scan de ports commence par envoyer un ping (le paquet ICMP echo-request) et attend la réponse à sa requête (le paquet ICMP echo-reply). Une autre technique consiste, sur l'adresse IP, à contacter un port TCP (typiquement, le port 80 utilisé pour le service HTTP). Dans les deux cas, s'il y a une réponse (acquittement signifiant que la connexion est acceptée, ou reset signifiant que la connexion est refusée), c'est que la machine est présente et allumée - elle peut être scannée.

La ressource accessible la plus souvent recherchée par un scan de port malintentionné est la partie "serveur" d'un RAT (Remote Administration Tool) - (appelée, de manière totalement éronnée, Trojan - Cheval de Troie) ce qui va permettre de prendre le controle d'un ordinateur à distance. Le scan de ports va donc rechercher si la partie serveur d'un RAT est active, sinon, il va chercher si diverses ressources, affectées de failles de sécurité, répertoriées dans le logiciel de scan de ports, sont actives, et va exploiter une faille pour pénétrer l'ordinateur (peu importe la raison : vol de données, espionnages de toutes natures (industriel, commercial, privé, institutionnel, etc. ...), transformation de l'ordinateur en zombie injecté dans un botnet, etc. ...).

Implantation malveillante de la partie serveur d'un RAT (Remote Administration Tool).

Un RAT (Remote Administration Tool) est constitué d'une paire d'applications, l'une, la partie " serveur ", tournant sur le système contrôlé à distance (la victime s'il s'agit de cybercriminalité), et l'autre, la partie " client ", tournant sur la machine de celui qui contrôle la machine distante (le technicien de télémaintenance de l'ordinateur ou de l'une des applications installées, ou le cybercriminel).

Un RAT peut être totalement légitime (télémaintenance, télédiagnostic...).

Chronologie du déploiement et de l'exploitation des RATs cybercriminels :

  1. La partie " serveur " d'un RAT (Remote Administration Tool) est lâchée dans la nature, au même titre qu'un virus, pour qu'elle infecte le plus grand nombre d'ordinateurs possible. Cette partie serveur est dotée d'un identifiant / mot de passe connu du cybercriminel. Toutes les méthodes sont "bonnes" pour la déployer, par exemple :

  2. Un scanner de ports est utilisé pour trouver ces parties "serveurs" de RAT qui "répondent", sur les machines des victimes potentielles. Le scanner de ports cherche plusieurs "serveurs" de plusieurs RAT pour augmenter ses chances de trouver quelque chose d'exploitable. L'attaquant dit au scanner de ports quels sont les RAT à rechercher (quels sont ceux qu'il utilise - Il existe des centaines de logiciels de télémaintenance / télédiagnostic, commerciaux ou gratuits, identifiés dans les bases de données des logiciels de scanners de ports - le plus célèbre, que l'on trouve sur les rayons de tous les magasins, étant probablement "PC-Anywhere" de Norton / Symantec, et un autre étant le logiciel gratuit TeamViewer ).

    L'attaquant peut "tomber" sur un "serveur" qui se trouve chez la victime tout à fait légitimement. Il peut s'agir, par exemple, d'une entreprise dont le service informatique est situé, géographiquement, ailleurs, ou dont l'informatique est sous-traitée auprès d'un prestataire de services, et qui permet ainsi à ses dépanneurs d'intervenir à distance.
  3. Accessoirement, si l'attaquant ne tombe pas sur "son" serveur de RAT avec son identifiant et son mot de passe, il va chercher à forcer le serveur trouvé chez la victime potentielle pour établir le dialogue, à partir de listes de mots de passe (les hackers s'échangent des listes de mots de passe), de dictionnaires exhaustifs, de force brute, etc. ...

Une fois dans la place, le cybercriminel fait ce qu'il veut, silencieusement : regarder ce que fait la victime, copier ses fichiers et données, cacher sur l'ordinateur de la victime des documents ou outils compromettants pour l'attaquant, utiliser ses ressources, sa bande passante etc. ... En principe, le cybercriminel ne se fait pas remarquer, ce n'est pas son intérêt. Il n'y a donc pas de destruction de fichiers et autres attaques visibles. Les attaques visibles sont le fait d'apprentis pirates, les script kiddies, jamais le fait de cybercriminels confirmés (si on se fait voir de la victime, elle ne va pas mettre longtemps à réagir et à éradiquer la faille et l'attaque).

Détection d'œuvres soumises à droits numériques et piratées (effet colatéral des scans de ports) :
Les parties "serveur" des RAT (Remote Administration Tool) sont recherchées, avec des scanners de ports, par des organismes de type " détectives privés ", mandatés par des " majors ", pour qui les mécanismes mis en place par Hadopi ne suffisent pas. Cela permet de fouiller dans les ordinateurs et d'identifier les utilisateurs de copies pirates (de logiciels, de films, de musiques, etc. ...). Une fois ciblés, d'autres moyens, légaux, sont alors mis en œuvre pour les attaquer juridiquement.

Sécurité informatique - Comment je me fais avoir - Comment ne pas me faire avoirSécurité informatique - Comment je me fais avoir - Comment ne pas me faire avoirSécurité informatique - Comment je me fais avoir - Comment ne pas me faire avoir

Contre mesuresContre-mesures" Contre mesures "

Derrière le rideauDerrière le rideauDerrière le rideau

RéférencesRéférences" Références "

RessourcesRessources" Ressources "

openclassrooms - introduction au scan de ports
Scanner de ports : Quelques techniques avec Nmap

 Requêtes similairesRequêtes similaires" Requêtes similaires "

Analyseur de réseaux
Scanner de ports
Scanner d'IPs