Skip to content
PortsDB

Référence des ports

Port 5900 (TCP) – VNC

Virtual Network Computing — protocole de partage de bureau à distance graphique (RFB).

tcpRegisteredSouvent attaqué

État par défaut

Ouvert sur les hôtes exécutant un serveur VNC (RealVNC, TightVNC, TigerVNC, partage d'écran macOS). Souvent exposé à Internet avec une authentification faible ou nulle.

Attaques courantes

  • Force brute du mot de passe VNC faible de 8 caractères
  • Accès aux serveurs configurés sans aucune authentification
  • Écoute clandestine du trafic d'écran et de frappes non chiffré
  • Exploits de contournement d'authentification (ex. RealVNC CVE-2006-2369)

CVE-2006-2369

Durcissement

  • Ne jamais exposer le port 5900 à Internet — tunneliser via SSH ou un VPN
  • Toujours exiger un mot de passe ; préférer les serveurs supportant une authentification complète
  • Utiliser une version de VNC avec chiffrement fort/TLS, ou encapsuler VNC dans un tunnel chiffré
  • Restreindre les IP sources et ajouter une limitation de débit/verrouillage
  • Mettre à jour le serveur VNC ; les anciennes versions ont des failles de contournement d'auth et de RCE

Commande nmap

nmap -p5900 --script vnc-info,vnc-title,realvnc-auth-bypass <target>

Remplacez <target> par l’hôte ou la plage que vous êtes autorisé à scanner.

Ce qui s'exécute sur le port 5900

Le port 5900 est le défaut de VNC (Virtual Network Computing), un protocole de bureau à distance graphique basé sur RFB (Remote Framebuffer). Il diffuse l'écran de la cible vers un visualiseur et relaie en retour les entrées clavier et souris, offrant un contrôle interactif complet. Chaque affichage VNC incrémente le port — :0 est le 5900, :1 est le 5901 — et les serveurs incluent RealVNC, TightVNC, TigerVNC et le partage d'écran macOS.

Pourquoi c'est important pour la sécurité

L'authentification VNC classique est faible : l'ancien schéma défi-réponse plafonne les mots de passe à 8 caractères, les rendant faciles à brute-forcer, et de nombreux serveurs sont déployés sans aucun mot de passe. Le protocole de base est non chiffré, donc quiconque sur le chemin peut observer l'écran et capturer les frappes — y compris les mots de passe saisis. Un 5900 exposé offre donc aux attaquants une fenêtre directe, souvent trivialement accessible, sur le bureau.

Comment c'est attaqué

Les scanners Internet répertorient les ports 5900 ouverts et les scripts nmap vnc-info / vnc-title révèlent le type d'authentification et même un titre proche d'une capture d'écran. Les attaquants brute-forcent le court mot de passe VNC ou se connectent simplement aux serveurs sans authentification. Les sessions non chiffrées sont interceptées, et les anciennes versions RealVNC sont visées par le contournement d'authentification CVE-2006-2369 via le script realvnc-auth-bypass.

Liste de durcissement

N'exposez jamais le 5900 directement — tunnelisez VNC via SSH ou un VPN afin que la session soit chiffrée et protégée par une authentification forte. Définissez toujours un mot de passe et préférez les serveurs supportant une authentification complète et le chiffrement TLS. Restreignez les IP sources, ajoutez une limitation de débit/verrouillage, et gardez le serveur VNC à jour contre les failles de contournement d'auth et de RCE. Utilisez la commande nmap ci-dessus pour vérifier l'authentification et le chiffrement sur les systèmes que vous êtes autorisé à évaluer.

Ports liés

Port 5901Port 3389Port 5800Port 22

Questions fréquentes

VNC sur le port 5900 est-il sécurisé ?
Pas par défaut. Le VNC classique limite les mots de passe à 8 caractères et envoie l'écran en clair, et certains serveurs n'exigent aucune authentification. Tunnelisez-le via SSH/VPN et exigez une authentification forte.
Quelle différence entre 5900 et 5901 ?
Le 5900 est le premier affichage VNC (:0). Les affichages supplémentaires incrémentent le port, donc :1 est 5901, :2 est 5902, et ainsi de suite. Chaque affichage est une session VNC distincte.