Les ports sont des emplacements virtuels au sein d'un système d'exploitation. Ils désignent l'endroit où les connexions réseau commencent et se terminent afin d'aider les ordinateurs à trier le trafic réseau qu'ils reçoivent.
Cet article s'articule autour des points suivants :
Contenu associé
Abonnez-vous à theNET, le récapitulatif mensuel de Cloudflare des idées les plus populaires concernant Internet !
Copier le lien de l'article
Un port est un point virtuel où les connexions réseau commencent et se terminent. Basés sur logiciel, ils sont gérés par le système d'exploitation d'un ordinateur. Chaque port est associé à un processus ou à un service spécifique. Les ports permettent aux ordinateurs de différencier facilement les différents types de trafic. Les e-mails, par exemple, sont acheminés vers un port différent de celui des pages web, même si les deux atteignent l'ordinateur via la même connexion Internet.
Les ports sont normalisés sur l'ensemble des appareils connectés au réseau et un numéro est attribué à chacun d'eux. La plupart des ports sont réservés à certains protocoles. Tous les messages HTTP (Hypertext Transfer Protocol, protocole de transfert hypertexte) sont envoyés au port 80, par exemple. Alors que les adresses IP permettent aux messages de joindre et d'être émis par des appareils spécifiques, les numéros de port permettent de cibler des services ou des applications spécifiques au sein de ces appareils.
Plusieurs types de données très différents circulent vers et depuis un ordinateur sur la même connexion réseau. L'utilisation des ports aide les ordinateurs à comprendre ce qu'ils doivent faire avec les données qu'ils reçoivent.
Supposons que Bob transfère un enregistrement audio MP3 à Alice en utilisant le protocole FTP (File Transfer Protocol, protocole de transfert de fichiers). Si l'ordinateur d'Alice transmettait les données du fichier MP3 à l'application de messagerie d'Alice, cette dernière ne saurait pas comment les interpréter. Toutefois, comme le transfert de fichiers de Bob utilise le port désigné pour le FTP (port 21), l'ordinateur d'Alice est en mesure de recevoir et de stocker le fichier.
Pendant ce temps, l'ordinateur d'Alice peut charger simultanément des pages web HTTP en utilisant le port 80, même si les fichiers de la page web et le fichier audio MP3 arrivent sur l'ordinateur d'Alice par la même connexion WiFi.
Le modèle OSI est un modèle conceptuel du fonctionnement de l'Internet. Il divise les différents services et processus Internet en 7 couches. Ces couches sont :
Les ports sont un concept de la couche de transport (couche 4). Seul un protocole de transport, comme le TCP (Transmission Control Protocol, protocole de contrôle de transmission) ou l'UDP (User Datagram Protocol, protocole de datagramme utilisateur), peut indiquer à quel port un paquet doit être envoyé. Les en-têtes TCP et UDP comportent une section destinée à indiquer les numéros de port. Les protocoles de la couche réseau tel que l'IP (Internet Protocol, protocole Internet), par exemple, ne savent pas quel port est utilisé dans une connexion réseau donnée. Un en-tête IP standard ne comporte par d'emplacement permettant d'indiquer vers quel port le paquet de données doit se rendre. Les en-têtes IP indiquent uniquement l'adresse IP de destination et non le numéro de port de cette adresse IP.
En général, l'impossibilité d'indiquer le port au niveau de la couche réseau n'a aucun impact sur les processus de connectivité réseau, puisque les protocoles de la couche réseau sont presque toujours utilisés conjointement avec un protocole de la couche de transport. Ce cas de figure présente toutefois une incidence sur la fonctionnalité des logiciels de tests (des logiciels qui « pinguent » les adresses IP à l'aide de paquets ICMP). L'ICMP (Internet Control Message Protocol, protocole de message de contrôle sur Internet) est un protocole de la couche réseau qui permet d'envoyer des pings à des appareils en réseau, mais sans la possibilité d'adresser ces pings à des ports spécifiques, les administrateurs réseau ne peuvent pas tester de services spécifiques au sein de ces appareils.
Certains logiciels de ping, comme My Traceroute, proposent la possibilité d'envoyer des paquets UDP. Contrairement à l'ICMP, le protocole UDP (un protocole de la couche de transport) est capable de spécifier un port particulier. En ajoutant un en-tête UDP aux paquets ICMP, les administrateurs réseau peuvent tester des ports spécifiques au sein d'un appareil sur le réseau.
Un pare-feu est un système de sécurité réseau qui bloque et autorise le trafic réseau en fonction d'un ensemble de règles de sécurité. Les pare-feu se dressent généralement entre un réseau de confiance et un réseau non fiable. Ce dernier s'avère bien souvent être Internet d'ailleurs. Les réseaux de bureau peuvent, par exemple, utiliser un pare-feu pour protéger leur réseau contre les menaces en ligne.
Certains pirates tentent d'adresser du trafic malveillant à des ports aléatoires en espérant que ces ports ont été laissés « ouverts », c'est-à-dire capables de recevoir du trafic. Ce type d'action s'apparente à la situation d'un voleur de voitures qui se promènerait dans la rue et essaierait d'ouvrir les portes des véhicules garés, en espérant que l'une d'entre elles soit déverrouillée. C'est pourquoi les pare-feu doivent être configurés pour bloquer le trafic réseau dirigé vers le plus de ports possibles. Il n'existe aucune raison légitime pour que la vaste majorité des ports disponibles reçoivent du trafic.
Les pare-feu correctement configurés bloquent, par défaut, le trafic vers l'ensemble des ports, à l'exception de quelques ports prédéterminés connus pour être d'usage courant. Un pare-feu d'entreprise pourrait, par exemple, ne laisser ouverts que les ports 25 (courrier électronique), 80 (trafic web), 443 (trafic web) et quelques autres afin de permettre aux collaborateurs internes d'utiliser ces services essentiels, tout en bloquant les plus de 65 000 autres ports.
À titre d'exemple plus spécifique, les acteurs malveillants tentent parfois d'exploiter les vulnérabilités du protocole RDP en adressant du trafic hostile au port 3389. Pour empêcher ces attaques, le pare-feu peut ainsi bloquer le port 3389 par défaut. Ce port n'étant utilisé que pour les connexions de bureau à distance, ce type de règle a peu d'incidence sur les opérations quotidiennes, hormis les collaborateurs en télétravail.
Il existe 65 535 numéros de port possibles, mais tous ne sont pas utilisés couramment. Voici quelques-uns des ports les plus couramment utilisés, ainsi que le protocole réseau qui leur est associé :
L'Internet Assigned Numbers Authority (IANA) tient à jour la liste complète des numéros de port et des protocoles qui leur sont attribués.