Quels ports utilise SMB ?
SMB et CIFS utilisent aujourd'hui le port 445, avec NetBIOS hérité sur 137 et 139. Voici le rôle de chacun, pourquoi 445 est le vecteur n°1 et quoi bloquer.
SMB (Server Message Block), aussi appelé CIFS, est le protocole utilisé par Windows pour le partage de fichiers et d'imprimantes, et il sous-tend une grande partie de l'authentification et de l'administration internes. Si vous lisez des journaux de pare-feu ou si vous durcissez un réseau, savoir exactement quels ports SMB utilise — et lesquels bloquer — est essentiel. En résumé, le SMB moderne fonctionne sur un seul port, le port 445, tandis que quelques ports hérités subsistent de l'ère NetBIOS. Cet article détaille chaque port, explique le SMB moderne par rapport à l'hérité, et explique pourquoi le port 445 est le port le plus dangereux à laisser exposé. Consultez chacun d'eux sur ProtocolPorts ou parcourir tous les ports.
La référence des ports SMB
| Port | Protocole / Service | Rôle |
|---|---|---|
| 445 | SMB direct sur TCP | SMB2/SMB3 moderne — partage de fichiers, canaux nommés, RPC sur SMB |
| 139 | Service de session NetBIOS (TCP) | SMB hérité transporté sur une session NetBIOS |
| 137 | Service de noms NetBIOS (UDP) | Résolution de noms héritée pour localiser les hôtes SMB |
| 135 | Mappeur de points de terminaison RPC (TCP) | Localise les services RPC qui s'exécutent souvent sur SMB |
SMB moderne : direct sur le port 445
Depuis Windows 2000, SMB fonctionne directement sur TCP via le port 445, sans couche NetBIOS intermédiaire. Tous les dialectes modernes — SMB2 et le SMB3 chiffré et performant utilisé par Windows 10/11 et les versions actuelles de Windows Server — utilisent ce port unique. Lorsqu'une machine connecte un lecteur réseau, applique une stratégie de groupe, copie un fichier depuis un partage ou appelle un service distant via un canal nommé, ce trafic circule sur le port 445.
Comme tant de choses en dépendent, le port 445 est aussi le port qu'il faut le plus surveiller. Il transporte non seulement des fichiers mais aussi des appels RPC utilisés pour l'administration à distance, ce que les attaquants exploitent précisément pour passer d'une machine à l'autre.
NetBIOS hérité : port 137 et port 139
Avant l'existence du port 445, SMB était transporté à l'intérieur de sessions NetBIOS. Deux ports s'en chargeaient :
- Le port 137 (UDP) est le service de noms NetBIOS, utilisé pour résoudre les noms d'ordinateurs en adresses sur le segment local.
- Le port 139 (TCP) est le service de session NetBIOS, qui transportait réellement le trafic de partage de fichiers SMB.
Sur un réseau actuel, vous n'en avez presque jamais besoin. Ils restent activés principalement pour la compatibilité avec de très anciens systèmes, et ils présentent un risque réel : la résolution de noms NetBIOS est à la base de l'empoisonnement NBT-NS, où un attaquant répond aux requêtes en diffusion pour capturer des identifiants NTLM. Désactiver NetBIOS sur TCP/IP ferme cette porte et force les clients vers le port 445.
RPC et le lien avec le port 135
Le mappeur de points de terminaison RPC sur le port 135 n'est pas SMB en soi, mais il y est étroitement lié. De nombreux services RPC Windows sont accessibles via des canaux nommés sur SMB, et le mappeur indique aux clients où les trouver. Les outils d'administration à distance — et les techniques de déplacement latéral qui les imitent — touchent généralement le port 135 et le port 445 ensemble, c'est pourquoi ils sont habituellement filtrés en groupe.
Pourquoi le port 445 est le vecteur n°1 de rançongiciel
Aucun port n'a une plus mauvaise réputation en matière de sécurité que le port 445. C'est la surface exploitée par EternalBlue (MS17-010), la faille « wormable » qui a alimenté WannaCry et NotPetya en 2017. Ces épidémies se sont propagées à travers le monde précisément parce que tant de réseaux laissaient SMB accessible et non corrigé.
Le danger comporte deux volets :
- Déplacement latéral. Une fois qu'un attaquant a pris pied sur un hôte, le port 445 est l'autoroute vers toutes les autres machines — copie de charges utiles vers les partages d'administration, exécution de services à distance et propagation interne du rançongiciel.
- Relais SMB. Les identifiants capturés sur le réseau peuvent être relayés vers le port 445 d'un autre hôte si la signature SMB n'est pas imposée, donnant aux attaquants un accès authentifié sans jamais cracker de mot de passe.
Quoi bloquer et comment durcir
Les règles sont simples et non négociables :
- Bloquez le port 445 et le port 139 au périmètre Internet, en entrée et en sortie. SMB ne doit jamais traverser Internet.
- Désactivez NetBIOS sur TCP/IP pour retirer le port 137 et le port 139 et neutraliser l'empoisonnement NBT-NS.
- Imposez la signature SMB sur les serveurs et les contrôleurs de domaine pour déjouer les attaques de relais.
- Désactivez complètement le dialecte obsolète SMBv1 — c'est la version visée par EternalBlue.
- Corrigez sans tarder. Les vulnérabilités SMB sont « wormables » ; appliquez les correctifs Microsoft dès leur publication.
En interne, n'autorisez le port 445 qu'entre les hôtes qui ont réellement besoin du partage de fichiers, et segmentez votre réseau pour qu'une seule compromission ne puisse pas tout atteindre.
Conclusion
SMB aujourd'hui se résume en réalité à un seul port : le port 445, le transport TCP direct de SMB2 et SMB3. Les ports NetBIOS hérités 137 et 139, ainsi que le mappeur RPC sur le port 135, sont des vestiges que vous devez désactiver ou restreindre strictement. Traitez le port 445 avec respect — c'est le principal vecteur de déplacement latéral et de rançongiciel — gardez-le hors d'Internet, signez votre trafic SMB et corrigez rapidement. Utilisez ProtocolPorts pour vérifier chacun de ces ports, ou parcourir tous les ports.