Skip to content
PortsDB

Référence des ports

Port 69 (UDP) – TFTP

Trivial File Transfer Protocol — transfert de fichiers UDP minimal et sans authentification.

udpWell-knownSouvent attaqué

État par défaut

Ouvert uniquement là où un serveur TFTP est délibérément activé — démarrage PXE, sauvegardes d'équipements réseau, provisionnement de téléphones IP. Ne doit jamais être exposé à Internet.

Attaques courantes

  • Téléchargement non authentifié de configurations et firmwares d'équipements
  • Lecture/écriture arbitraire de fichiers via traversée de chemin (../)
  • Écrasement des fichiers de boot/config pour implanter des portes dérobées
  • RCE par dépassement de tampon dans les anciens démons TFTP

Durcissement

  • Désactiver TFTP sauf nécessité absolue ; préférer SFTP/SCP
  • Lier à un VLAN d'administration isolé, jamais à Internet
  • Restreindre l'accès par liste d'IP et un pare-feu sur UDP 69
  • Mettre le serveur en chroot et rendre la racine en lecture seule si possible
  • Maintenir le démon à jour ; les anciens serveurs TFTP comportent des CVE de dépassement

Commande nmap

nmap -sU -p69 --script tftp-enum <target>

Remplacez <target> par l’hôte ou la plage que vous êtes autorisé à scanner.

Ce qui s'exécute sur le port 69

Le port 69 héberge TFTP (Trivial File Transfer Protocol), un protocole de transfert de fichiers UDP délibérément minimal. Il n'a ni connexion, ni listage de répertoire, ni chiffrement — seulement des requêtes de lecture/écriture RRQ/WRQ. Sa simplicité en fait le choix par défaut pour le démarrage réseau PXE, la sauvegarde et la restauration des configurations et firmwares d'équipements réseau, et le provisionnement de téléphones IP sur les réseaux internes.

Pourquoi c'est important pour la sécurité

L'absence d'authentification est tout le problème : quiconque peut atteindre UDP 69 peut demander tous les fichiers que le serveur accepte de servir. Sur les équipements réseau, cela signifie souvent télécharger les configs actives — identifiants, communautés SNMP et secrets VPN inclus — ou téléverser une config ou une image firmware altérée. Un serveur TFTP exposé au-delà de son segment d'administration prévu est en pratique un partage de fichiers ouvert.

Comment il est attaqué

Les attaquants interrogent des noms de fichiers connus pour voler configs et firmwares, et abusent de la traversée de chemin (../) sur les serveurs faibles pour lire ou écrire des fichiers hors de la racine prévue. L'accès en écriture leur permet d'écraser les fichiers de boot ou de config pour implanter une persistance. Plusieurs démons TFTP hérités comportent aussi des bugs de dépassement de tampon menant à l'exécution de code à distance.

Liste de durcissement

Désactivez entièrement TFTP sauf si un flux le nécessite strictement, et préférez SFTP ou SCP. Là où TFTP est requis, liez-le à un VLAN d'administration isolé, restreignez-le par une liste d'IP et un pare-feu sur UDP 69, mettez le serveur en chroot, et rendez la racine en lecture seule si possible. Maintenez le démon à jour. La commande nmap ci-dessus énumère les fichiers exposés par un serveur TFTP sur un hôte que vous êtes autorisé à tester.

Ports liés

Port 67Port 21Port 22Port 873

Questions fréquentes

TFTP est-il sécurisé ?
Non. TFTP n'a ni authentification ni chiffrement, donc quiconque atteint UDP 69 peut lire ou écrire les fichiers exposés par le serveur. Ne l'utilisez que sur des réseaux isolés et filtrés par pare-feu.
À quoi sert TFTP ?
Il sert aux transferts légers comme le démarrage réseau PXE, le chargement des configs et firmwares de routeurs/commutateurs, et le provisionnement de téléphones IP — des tâches privilégiant la simplicité sur la sécurité.