Skip to content
PortsDB

Référence des ports

Port 502 (TCP) – Modbus TCP

Modbus sur TCP/IP — lit et écrit les bobines et registres des automates, RTU et E/S industrielles.

tcpWell-knownSouvent attaqué

État par défaut

Ouvert sur les automates, RTU et passerelles parlant Modbus TCP, sans authentification ni chiffrement sur le protocole.

Attaques courantes

  • Lectures non autorisées des bobines, registres et état du procédé
  • Écritures non autorisées basculant bobines ou registres pour contrôler l'équipement
  • Énumération d'appareils et de codes fonction via modbus-discover
  • Déni de service en forçant les sorties ou en saturant l'appareil

Durcissement

  • Ne jamais exposer le port 502 à Internet — isoler Modbus sur un segment OT
  • Segmenter avec pare-feu/DMZ et restreindre aux hôtes SCADA autorisés
  • Utiliser une passerelle/proxy Modbus imposant la lecture seule si possible
  • Surveiller avec un IDS ICS pour les codes fonction d'écriture inattendus

Commande nmap

nmap -p502 --script modbus-discover <target>

Remplacez <target> par l’hôte ou la plage que vous êtes autorisé à scanner.

Ce qui s'exécute sur le port 502

Le port 502 héberge Modbus TCP, l'encapsulation IP du vénérable protocole série Modbus. Un maître (SCADA, IHM ou outil d'ingénierie) émet des codes fonction vers un esclave — un automate, une RTU ou une passerelle d'E/S — pour lire et écrire des bobines (bits) et des registres (mots) représentant capteurs, consignes et commandes d'actionneurs dans les usines, services publics et bâtiments.

Pourquoi c'est important pour la sécurité

Modbus a été créé en 1979 pour des liaisons série de confiance et n'a aucune authentification, aucun chiffrement et aucun contrôle d'intégrité. Lorsqu'il fonctionne sur TCP et est accessible, quiconque se connecte au port 502 peut lire toute l'image du procédé et écrire bobines et registres — allumer ou éteindre pompes et disjoncteurs, modifier les consignes ou pousser les sorties vers des valeurs dangereuses. Il n'existe aucune notion de client privilégié, donc l'exposition équivaut au contrôle.

Comment il est attaqué

Les attaquants localisent les appareils avec le script nmap modbus-discover ou Shodan, puis énumèrent les unit IDs et les codes fonction pris en charge. Avec des codes d'écriture disponibles, ils basculent bobines et registres pour manipuler le procédé ou forcer un déni de service. Comme les lectures sont sans authentification, même des attaquants passifs collectent un renseignement détaillé sur l'installation.

Liste de durcissement

N'exposez jamais le port 502 à Internet. Gardez les appareils Modbus sur un segment OT isolé derrière des pare-feu et une DMZ, et n'autorisez que les maîtres SCADA légitimes. Si possible, placez devant les appareils une passerelle Modbus imposant la lecture seule ou filtrant les codes fonction dangereux, et déployez un IDS ICS pour alerter sur les écritures inattendues. N'utilisez la commande nmap ci-dessus que sur les systèmes que vous êtes autorisé à tester.

Ports liés

Port 102Port 2404Port 20000Port 44818

Questions fréquentes

Modbus TCP dispose-t-il d'une authentification ?
Non. Modbus n'a aucune authentification ni chiffrement. Tout hôte qui atteint le port 502 peut lire et écrire les bobines et registres, donnant un contrôle direct sur l'équipement connecté.
Peut-on sécuriser Modbus ?
Le protocole lui-même ne peut pas être authentifié, la sécurité repose donc sur les contrôles réseau : segmentation stricte, pare-feu, liste blanche des maîtres SCADA et supervision ICS. Modbus/TCP Security (TLS) existe mais est rarement déployé.