Référence des ports
Port 5684 (UDP) – CoAPS (CoAP over DTLS)
Port par défaut de CoAPS, la variante sécurisée par DTLS de CoAP, le protocole IoT léger de type REST qui tourne en clair sur UDP 5683.
État par défaut
Réservé au CoAP sécurisé par DTLS. Le chiffrement est en place, mais les appareils peuvent reposer sur des clés pré-partagées faibles, sauter l'authentification mutuelle ou exposer aussi le CoAP en clair sur 5683.
Attaques courantes
- Force brute ou réutilisation de clés pré-partagées DTLS faibles (PSK)
- Repli vers le CoAP en clair sur 5683 quand les deux sont accessibles
- Exploitation de piles DTLS/CoAP embarquées vulnérables
- DoS basé sur UDP et épuisement des ressources des appareils contraints
Durcissement
- Utiliser CoAPS (DTLS) sur 5684 au lieu du CoAP en clair sur 5683
- Utiliser des PSK forts et uniques ou un DTLS par certificat avec auth mutuelle
- Désactiver le 5683 en clair pour empêcher le repli des clients
- Ne jamais exposer directement les appareils IoT ; les garder sur des réseaux segmentés
- Corriger le firmware des appareils et limiter le débit UDP à la passerelle
Commande nmap
nmap -sU -p5684 --script coap-resources <target>Remplacez <target> par l’hôte ou la plage que vous êtes autorisé à scanner.
Que tourne sur le port 5684 ?
Le port 5684 est le port par défaut de CoAPS — CoAP sécurisé par DTLS — la forme chiffrée du Constrained Application Protocol, un protocole léger de type REST pour les appareils IoT contraints. Il tourne sur UDP comme le CoAP en clair sur 5683, mais enveloppe les requêtes dans DTLS afin que les données soient confidentielles et que les points de terminaison puissent être authentifiés. Il reproduit les verbes HTTP (GET, POST, PUT, DELETE) sous forme binaire compacte.
Pourquoi c'est important pour la sécurité
Le 5684 comble les défauts de confidentialité et d'amplification du CoAP en clair, mais DTLS ne vaut que par la force de ses clés. Les appareils reposent souvent sur des clés pré-partagées (PSK) faibles ou partagées, sautent l'authentification mutuelle ou exposent aussi le 5683 en clair, permettant aux attaquants de revenir en arrière. Les appareils IoT contraints exécutent aussi des piles embarquées vulnérables visées directement.
Comment c'est attaqué
Les attaquants tentent de forcer ou réutiliser des PSK faibles pour rejoindre la session DTLS, et là où les deux sont accessibles, ils rabaissent vers le 5683 en clair pour lire ou changer l'état des appareils. Les piles DTLS/CoAP vulnérables sont exploitées pour des plantages ou de l'exécution de code, et le DoS basé sur UDP épuise les ressources des appareils contraints.
Liste de durcissement
Utilisez CoAPS (DTLS) sur 5684 au lieu du 5683 en clair, avec des PSK forts et uniques ou un DTLS par certificat et authentification mutuelle. Désactivez le 5683 en clair pour empêcher le repli des clients. N'exposez jamais directement les appareils IoT et gardez-les sur des réseaux segmentés. Corrigez le firmware et limitez le débit UDP à la passerelle. Utilisez l'extrait nmap ci-dessus pour vérifier l'exposition sur les appareils que vous êtes autorisé à tester.
Ports liés
Questions fréquentes
- En quoi le port 5684 diffère-t-il du 5683 ?
- Le port 5684 transporte CoAP dans un tunnel DTLS pour la confidentialité et l'authentification, tandis que 5683 est le même protocole en UDP clair. Utilisez 5684 et désactivez 5683 si possible.
- DTLS sur 5684 rend-il CoAP totalement sûr ?
- Pas à lui seul. DTLS protège le trafic, mais des clés pré-partagées faibles ou partagées, l'absence d'authentification mutuelle et des piles embarquées vulnérables exposent encore les appareils. Utilisez des clés fortes ou des certificats et corrigez le firmware.