Référence des ports
Port 5938 (TCP) – TeamViewer
Protocole de support et de contrôle à distance TeamViewer, utilisé pour l'accès assisté et non assisté.
État par défaut
Utilisé comme connexion sortante par le client TeamViewer vers ses serveurs relais. Le port est rarement en écoute localement mais permet le contrôle distant une fois le client lancé.
Attaques courantes
- Prise de contrôle de compte par credential stuffing et mots de passe réutilisés
- Abus des mots de passe d'accès non assisté pour un contrôle distant persistant
- Ingénierie sociale poussant les victimes à installer ou partager des ID TeamViewer
- Pivot depuis un compte TeamViewer compromis vers les terminaux gérés
Durcissement
- Activer l'authentification à deux facteurs sur chaque compte TeamViewer
- Utiliser des mots de passe forts et uniques et créer une liste blanche d'appareils de confiance
- Désactiver l'accès non assisté là où il n'est pas strictement nécessaire
- Restreindre les comptes autorisés à se connecter et examiner le journal de connexions
- Maintenir le client à jour et le désinstaller là où il est inutilisé
Commande nmap
nmap -p5938 --script banner <target>Remplacez <target> par l’hôte ou la plage que vous êtes autorisé à scanner.
Ce qui s'exécute sur le port 5938
Le port 5938 est le canal principal de TeamViewer, un produit populaire de support et de contrôle à distance. Le client établit une connexion TCP sortante vers l'infrastructure relais de TeamViewer sur le 5938 (se rabattant sur 443 ou 80), qui arbitre ensuite les sessions d'assistance assistées et l'accès non assisté aux appareils enregistrés. Le port est rarement ouvert en écoute entrante ; le contrôle transite par le relais.
Pourquoi c'est important pour la sécurité
Comme TeamViewer lie le contrôle à distance à un compte en ligne, ce compte est la cible. Des vagues d'attaques de credential stuffing ont produit des prises de contrôle de comptes où des intrus se sont connectés avec des mots de passe réutilisés puis ont piloté directement la souris et le clavier de la victime. Les mots de passe d'accès non assisté et les installations permanentes transforment un seul compte compromis en contrôle persistant de chaque terminal lié.
Comment c'est attaqué
Les attaquants rejouent des identifiants fuités de brèches sans rapport contre les connexions TeamViewer, réussissant partout où les mots de passe sont réutilisés et la 2FA désactivée. Ils utilisent aussi l'ingénierie sociale pour pousser les utilisateurs à installer TeamViewer ou à partager leur ID et mot de passe. Une fois entrés, la liste des appareils du compte devient une carte pour pivoter à travers les machines d'une organisation.
Liste de durcissement
Activez l'authentification à deux facteurs sur chaque compte TeamViewer et utilisez des mots de passe forts et uniques. Créez une liste blanche d'appareils de confiance et restreignez les comptes autorisés à se connecter. Désactivez l'accès non assisté là où il n'est pas requis, examinez le journal de connexions pour repérer les sessions inconnues, gardez le client à jour et désinstallez-le sur les machines qui n'en ont plus besoin.
Ports liés
Questions fréquentes
- Pourquoi TeamViewer utilise-t-il le port 5938 ?
- TeamViewer privilégie une connexion TCP sortante vers ses serveurs relais sur le 5938 pour de meilleures performances, se rabattant sur 443 ou 80 si le 5938 est bloqué. Il a rarement besoin d'un port ouvert en entrée.
- Comment les comptes TeamViewer sont-ils compromis ?
- Le vecteur principal est le credential stuffing — les attaquants réutilisent des mots de passe fuités ailleurs pour se connecter aux comptes, puis contrôlent tout appareil lié à ce compte. L'authentification à deux facteurs bloque cela.