Skip to content
PortsDB

Référence des ports

Port 20 (TCP) – Données FTP

Canal de données FTP en mode actif qui transporte le contenu des fichiers et les listes de répertoires.

tcpWell-knownSouvent attaqué

État par défaut

Ouvert à la demande par un serveur FTP lorsqu'un client demande un transfert en mode actif, en parallèle du canal de contrôle sur le port 21.

Attaques courantes

  • Capture en clair des fichiers transférés et des listes de répertoires
  • Attaques FTP bounce abusant de la commande PORT
  • Altération en homme du milieu des données téléchargées
  • Contournement de pare-feu via des ports de données négociés dynamiquement

Durcissement

  • Remplacer le FTP simple par SFTP (port 22) ou FTPS (contrôle 990)
  • Préférer le mode passif et fixer une plage de ports passifs restreinte
  • Désactiver le FTP bounce / PORT vers un tiers (par défaut sur les démons modernes)
  • Terminer le FTP sur un proxy compatible TLS et restreindre les IP sources

Commande nmap

nmap -p20,21 --script ftp-anon,ftp-bounce,banner <target>

Remplacez <target> par l’hôte ou la plage que vous êtes autorisé à scanner.

Qu'est-ce qui tourne sur le port 20 ?

Le port 20 est le canal de données FTP en mode actif. Dans le protocole classique File Transfer Protocol, les commandes et réponses transitent par le canal de contrôle sur le port 21, tandis que le contenu réel des fichiers et les listes de répertoires passent par une connexion de données distincte. En mode actif, le serveur ouvre cette connexion depuis le port 20 vers un port client indiqué via la commande PORT. Le mode passif inverse ce schéma : le client se connecte alors à un port haut choisi par le serveur.

Pourquoi c'est important pour la sécurité

Le FTP simple est en clair. Tout ce qui transite sur le port 20 — contenu des fichiers, noms de fichiers, listes de répertoires — traverse le réseau sans chiffrement, et les identifiants échangés sur le port 21 sont tout aussi exposés. Quiconque peut écouter le chemin (Wi-Fi partagé, commutateur compromis, sonde en amont) peut lire ou capturer les données. La séparation contrôle/données complique aussi le filtrage et a historiquement permis des abus.

Comment il est attaqué

L'attaque la plus simple est l'écoute passive du flux de données non chiffré. L'attaque classique FTP bounce abuse de la commande PORT pour faire ouvrir au serveur des connexions de données vers un hôte tiers, le transformant en scanner de ports ou en relais. Des attaquants en homme du milieu peuvent aussi altérer les fichiers téléchargés. Comme les ports de données sont négociés dynamiquement, des règles de pare-feu laxistes pour accommoder le FTP élargissent l'exposition.

Liste de durcissement

Le vrai correctif est de cesser d'utiliser le FTP simple : passez à SFTP (via SSH, port 22) ou FTPS (FTP sur TLS, contrôle sur le port 990). Si le FTP doit rester, préférez le mode passif avec une plage de ports passifs fixe et étroite, assurez-vous que le démon rejette les cibles bounce / PORT vers un tiers, et placez le service derrière un proxy compatible TLS avec restriction des IP sources. La commande nmap ci-dessus vérifie l'accès anonyme et la vulnérabilité au bounce sur les systèmes que vous êtes autorisé à tester.

Ports liés

Port 21Port 22Port 990Port 989

Questions fréquentes

À quoi sert le port 20 ?
Le port 20 est le canal de données FTP en mode actif. Le serveur se connecte depuis le port 20 vers le client pour transférer le contenu des fichiers et les listes de répertoires, tandis que les commandes passent par le port 21.
Le port 20 est-il chiffré ?
Non. Les données FTP simples sur le port 20 sont en clair. Utilisez SFTP ou FTPS pour chiffrer les transferts ; sinon les fichiers et les identifiants en transit sont exposés.