Les ransomwares représentent l’une des menaces les plus importantes pour les entreprises et les infrastructures critiques. Ces logiciels malveillants exploitent souvent des ports réseau ouverts pour infiltrer les systèmes et se propager rapidement. Identifier les ports les plus exposés permet aux équipes informatiques de renforcer la sécurité, prioriser les correctifs et réduire les risques d’attaque.
Le port 445 : la cible des attaques SMB
Le port 445, utilisé par le protocole SMB (Server Message Block), est l’un des plus visés par les ransomwares :
- Ce port permet le partage de fichiers et d’imprimantes sur les réseaux Windows.
- Les ransomwares exploitent les vulnérabilités SMB pour se propager d’un ordinateur à un autre sans intervention humaine.
- Les attaques célèbres, comme WannaCry et NotPetya, ont utilisé ce port pour infecter des milliers de systèmes dans le monde.
Selon Microsoft Security Intelligence, 70 % des ransomwares qui se propagent rapidement exploitent des vulnérabilités SMB via le port 445 lorsqu’il est exposé à Internet.
Le port 3389 : cible des accès à distance
Le port 3389 est utilisé pour le protocole RDP (Remote Desktop Protocol), permettant l’accès à distance aux systèmes Windows :
- Les cybercriminels cherchent à identifier des services RDP exposés avec des mots de passe faibles.
- Une fois l’accès obtenu, le ransomware peut être installé directement sur le poste ou le serveur.
- Les attaques sur ce port sont particulièrement fréquentes dans les PME qui n’appliquent pas de restrictions réseau ou de double authentification.
Selon Coveware 2024, 35 % des incidents de ransomware chez les PME impliquaient un accès non sécurisé via le port 3389.
Ports 80 et 443 : exploitation via les serveurs web
Les ports 80 et 443, utilisés pour HTTP et HTTPS, sont également ciblés, surtout sur les serveurs web :
- Les vulnérabilités des applications web peuvent permettre l’injection de ransomwares ou de malwares qui se propagent ensuite sur le réseau interne.
- Les ransomwares exploitent des failles non corrigées dans les CMS ou les applications exposées sur ces ports.
- Les entreprises qui n’appliquent pas les correctifs régulièrement sont particulièrement exposées.
Un rapport de Trend Micro indique que 22 % des attaques sur PME passent par des serveurs web vulnérables accessibles via les ports 80 et 443.
Ports de messagerie et fichiers : 21, 25 et 143
Certains ransomwares profitent également des ports liés à la messagerie et au transfert de fichiers :
- Le port 21 (FTP) permet le transfert de fichiers et peut être exploité si les identifiants sont faibles ou transmis en clair.
- Le port 25 (SMTP) est parfois ciblé pour envoyer des emails infectés ou propager le malware via phishing interne.
- Le port 143 (IMAP) peut être utilisé pour accéder aux boîtes mails et récupérer des informations utiles pour diffuser le ransomware.
Ces ports restent une cible, surtout pour les petites entreprises utilisant des services de messagerie locaux ou mal sécurisés.
A LIRE AUSSI Comment les correctifs Windows non appliqués augmentent-ils le risque d’attaque sur les PME ?
Propagation interne grâce aux ports ouverts
Les ransomwares ne se contentent pas d’attaquer un seul point : ils se propagent via le réseau interne en exploitant les ports ouverts :
- Les partages de fichiers non sécurisés permettent au malware d’atteindre plusieurs postes.
- Les connexions RDP ou FTP exposées permettent une infection rapide sur plusieurs serveurs et stations.
- Une fois un poste infecté, le ransomware peut verrouiller ou chiffrer les données sur l’ensemble des équipements accessibles.
Cette capacité à se propager rapidement rend les ports ouverts particulièrement sensibles.