Skip to content
PortsDB

Référence des ports

Port 23 (TCP) – Telnet

Protocole de terminal distant non chiffré pour la connexion interactive et la gestion d'équipements.

tcpWell-knownSouvent attaqué

État par défaut

Désactivé sur les OS modernes mais encore activé par défaut sur de nombreux routeurs, commutateurs, objets connectés et équipements industriels.

Attaques courantes

  • Capture d'identifiants en clair par écoute réseau
  • Identifiants par défaut ou faibles sur routeurs et IoT
  • Infection massive par botnet (type Mirai) des équipements exposés
  • Force brute et pulvérisation de mots de passe

Durcissement

  • Désactiver complètement Telnet et utiliser SSH (port 22) à la place
  • Si inévitable, le restreindre à un VLAN de gestion isolé, jamais Internet
  • Changer tous les identifiants par défaut et imposer des mots de passe forts
  • Bloquer le port 23 entrant sur le pare-feu de périmètre

Commande nmap

nmap -p23 --script telnet-encryption,telnet-ntlm-info,banner <target>

Remplacez <target> par l’hôte ou la plage que vous êtes autorisé à scanner.

Qu'est-ce qui tourne sur le port 23 ?

Le port 23 est le port par défaut de Telnet, l'un des premiers protocoles de terminal distant. Il fournit une session en ligne de commande interactive vers un hôte ou un équipement distant. Les systèmes d'exploitation modernes l'ont supprimé ou désactivé au profit de SSH, mais il reste activé par défaut sur de nombreux routeurs, commutateurs, objets connectés, imprimantes et équipements industriels, où il sert à la configuration et à la gestion.

Pourquoi c'est important pour la sécurité

Telnet n'a aucun chiffrement. Noms d'utilisateur, mots de passe, commandes et sorties transitent tous en clair : quiconque peut observer le trafic — sur le même LAN, un lien en amont ou un équipement compromis — peut lire toute la session et récolter les identifiants. Combiné aux mots de passe par défaut courants sur les équipements embarqués qui l'exécutent encore, un port 23 ouvert est l'un des points d'entrée les plus faciles qu'un attaquant puisse trouver.

Comment il est attaqué

L'attaque la plus simple est l'écoute passive pour capturer les identifiants d'une session. À l'échelle d'Internet, des botnets comme Mirai scannent en continu le port 23 et se connectent aux objets connectés à l'aide de listes d'identifiants par défaut et faibles, les enrôlant dans des essaims DDoS. Au-delà, les attaquants lancent une force brute / pulvérisation de mots de passe contre tout service Telnet exposé. Aucune sécurité de transport ne ralentit tout cela.

Liste de durcissement

Désactivez complètement Telnet et utilisez SSH (port 22) pour toute la gestion distante. Si un équipement ancien ne peut réellement pas faire de SSH, confinez Telnet à un VLAN de gestion isolé jamais joignable depuis Internet, changez chaque identifiant par défaut et imposez des mots de passe forts. Bloquez le port 23 entrant sur le pare-feu de périmètre. La commande nmap ci-dessus vérifie si le chiffrement est proposé et récupère la bannière afin de repérer un Telnet exposé sur les systèmes que vous êtes autorisé à tester.

Ports liés

Port 22Port 21Port 992Port 3389

Questions fréquentes

Le port 23 est-il dangereux ?
Oui. Telnet envoie tout, y compris les mots de passe, en clair et sans aucun chiffrement. Quiconque se trouve sur le chemin peut lire les identifiants, et les équipements exposés sont massivement ciblés par les botnets. Utilisez SSH à la place.
Pourquoi Telnet est-il encore utilisé ?
Les routeurs, commutateurs, objets connectés et matériels industriels anciens sont souvent livrés avec Telnet activé par commodité. Il devrait être désactivé au profit de SSH partout où c'est possible.