Skip to content
PortsDB

Référence des ports

Port 2404 (TCP) – IEC 60870-5-104

Protocole de télécommande IEC 60870-5-104 — supervise et commande RTU et postes électriques sur TCP/IP dans les réseaux d'énergie.

tcpRegisteredSouvent attaqué

État par défaut

Ouvert sur les RTU, passerelles de postes et frontaux SCADA parlant IEC-104, sans authentification sur le protocole.

Attaques courantes

  • Commandes de contrôle sans authentification (ouverture/fermeture de disjoncteur) injectées aux RTU
  • Lecture de la télémétrie et des données ASDU pour cartographier le réseau
  • Usurpation et rejeu des APDU de supervision/commande
  • Déni de service contre les passerelles de postes

Durcissement

  • Ne jamais exposer le port 2404 à Internet — isoler la télécommande sur un WAN OT
  • Segmenter avec pare-feu/DMZ et restreindre aux centres de conduite autorisés
  • Encapsuler les liens en IPsec/VPN ou utiliser les extensions de sécurité IEC 62351
  • Surveiller avec un IDS ICS pour les ASDU de contrôle inattendues

Commande nmap

nmap -p2404 --script banner <target>

Remplacez <target> par l’hôte ou la plage que vous êtes autorisé à scanner.

Ce qui s'exécute sur le port 2404

Le port 2404 véhicule IEC 60870-5-104 (IEC-104), le protocole de télécommande sur TCP/IP utilisé dans les systèmes électriques de puissance. Les centres de conduite échangent des ASDU avec les RTU et passerelles de postes pour lire la télémétrie (tensions, courants, état) et envoyer des commandes comme l'ouverture ou la fermeture de disjoncteurs. C'est le profil IP de la norme série IEC 60870-5-101.

Pourquoi c'est important pour la sécurité

IEC-104 a été conçu pour des liens de télécommande dédiés et de confiance et n'a aucune authentification, aucun chiffrement et aucune protection d'intégrité. Tout hôte qui atteint le port 2404 peut lire l'état du réseau et injecter des commandes de contrôle, affectant directement le réseau électrique physique. Comme l'impact inclut le déclenchement de disjoncteurs et la perturbation de la fourniture d'électricité, les points de terminaison IEC-104 exposés sont traités comme des risques d'infrastructure critique et de sécurité nationale.

Comment il est attaqué

Les attaquants identifient les points de terminaison en récupérant la bannière du port 2404 ou via Shodan, puis lisent les ASDU de supervision pour cartographier le poste. Sans authentification, ils peuvent injecter des commandes simples/doubles pour manœuvrer l'équipement de terrain, ou rejouer et usurper des APDU. Saturer la passerelle provoque un déni de service qui aveugle les opérateurs.

Liste de durcissement

N'exposez jamais le port 2404 à Internet — gardez la télécommande sur un WAN OT dédié et isolé derrière des pare-feu et une DMZ, et n'autorisez que les centres de conduite légitimes. Encapsulez les liens en IPsec/VPN et, lorsque c'est pris en charge, appliquez les extensions de sécurité IEC 62351 pour l'authentification. Déployez un IDS ICS pour alerter sur les ASDU de contrôle inattendues. N'utilisez la commande nmap ci-dessus que sur les systèmes que vous êtes autorisé à tester.

Ports liés

Port 102Port 502Port 20000Port 44818

Questions fréquentes

IEC-104 dispose-t-il d'une authentification ?
Non. IEC 60870-5-104 n'a aucune authentification ni chiffrement intégrés. Tout hôte qui atteint le port 2404 peut lire la télémétrie et injecter des commandes de contrôle comme l'ouverture ou la fermeture de disjoncteurs. IEC 62351 ajoute une sécurité optionnelle par-dessus.
Pourquoi IEC-104 est-il considéré comme une infrastructure critique ?
IEC-104 est le protocole de télécommande utilisé entre les centres de conduite et les postes électriques. Le manipuler peut déclencher des disjoncteurs et perturber la distribution d'électricité, donc les RTU exposées sont traitées comme un risque de niveau sécurité nationale.