Référence des ports
Port 1883 (TCP) – MQTT
Port par défaut de MQTT, le protocole de messagerie publication/abonnement léger utilisé dans les déploiements IoT ; la variante TLS tourne sur 8883.
État par défaut
De nombreux brokers (ex. Mosquitto) autorisent l'accès anonyme par défaut et se lient largement. Le MQTT en clair sur 1883 n'est pas chiffré, laissant topics et charges utiles lisibles par quiconque atteint le port.
Attaques courantes
- Connexion anonyme pour s'abonner à tous les topics avec le joker #
- Injection de messages et publication de commandes sur les topics d'actionneurs/contrôle
- Interception des charges utiles et identifiants sur MQTT non chiffré
- Énumération de brokers massivement exposés via le scan à l'échelle d'Internet
Durcissement
- Désactiver l'accès anonyme ; exiger identifiant/mot de passe ou certificats client
- Utiliser MQTT sur TLS sur 8883 au lieu du 1883 en clair
- Lier à une interface privée et limiter 1883 par pare-feu aux hôtes de confiance
- Imposer des ACL de topics par client pour limiter la portée abonnement/publication
- Maintenir le logiciel du broker à jour et auditer les clients connectés
Commande nmap
nmap -p1883 --script mqtt-subscribe <target>Remplacez <target> par l’hôte ou la plage que vous êtes autorisé à scanner.
Que tourne sur le port 1883 ?
Le port 1883 est le port par défaut de MQTT, un protocole de messagerie publication/abonnement léger conçu pour les appareils IoT et les liens à faible bande passante. Les clients se connectent à un broker central (comme Mosquitto ou HiveMQ) pour publier sur des topics et s'y abonner, découplant capteurs, passerelles et applications. Le MQTT en clair tourne sur 1883 ; la variante sécurisée par TLS utilise le 8883.
Pourquoi c'est important pour la sécurité
MQTT transporte la télémétrie et les commandes qui pilotent les systèmes IoT ; un broker exposé fuit donc des données de capteurs et permet aux attaquants de contrôler des appareils. De nombreux brokers autorisent l'accès anonyme par défaut, et le MQTT en clair sur 1883 est non chiffré, donc topics, charges utiles et identifiants sont lisibles. Les scanners à l'échelle d'Internet trouvent régulièrement des brokers massivement exposés sans aucune authentification.
Comment c'est attaqué
Les attaquants se connectent anonymement et s'abonnent à #, le joker qui
correspond à tous les topics, déversant tout le trafic en temps réel. Ils
injectent des messages dans les topics de contrôle pour actionner des appareils
et interceptent charges utiles et identifiants sur les liens non chiffrés. Les
brokers ouverts sont catalogués par les scans à l'échelle d'Internet pour une
exploitation en masse.
Liste de durcissement
Désactivez l'accès anonyme et exigez identifiant/mot de passe ou certificats client. Utilisez MQTT sur TLS sur 8883 au lieu du 1883 en clair. Liez le broker à une interface privée et limitez 1883 par pare-feu aux hôtes de confiance. Imposez des ACL de topics par client pour limiter la portée abonnement/publication, maintenez le logiciel du broker à jour et auditez les clients connectés. Utilisez l'extrait nmap ci-dessus pour vérifier l'exposition sur les brokers que vous êtes autorisé à tester.
Ports liés
Questions fréquentes
- Le MQTT sur le port 1883 est-il chiffré ?
- Non. Le MQTT en clair sur 1883 n'est pas chiffré et autorise souvent l'accès anonyme, donc topics, charges utiles et identifiants sont lisibles. Utilisez MQTT sur TLS sur 8883 et exigez l'authentification.
- Pourquoi les brokers MQTT sont-ils si souvent exposés ?
- Les déploiements IoT exposent souvent 1883 sur Internet avec des réglages anonymes par défaut. Les attaquants scannent tout Internet à la recherche de brokers ouverts, puis s'abonnent avec le joker # pour lire tous les topics.