Skip to content
PortsDB

Référence des ports

Port 79 (TCP) – Finger

Protocole hérité qui renvoie des informations sur les utilisateurs et leur état de connexion sur un hôte.

tcpWell-knownSouvent attaqué

État par défaut

Désactivé sur les systèmes modernes mais encore présent sur des hôtes Unix hérités et certains équipements.

Attaques courantes

  • Énumération des noms d'utilisateurs pour un brute force ultérieur
  • Fuite d'informations : heures de connexion, répertoires personnels, état d'inactivité
  • Reconnaissance des comptes valides avant des attaques ciblées

Durcissement

  • Désactiver entièrement le démon finger (fingerd)
  • Bloquer le port TCP 79 en entrée au pare-feu périmétrique
  • Supprimer des hôtes les services hérités divulguant les comptes
  • Si un annuaire est nécessaire, utiliser une alternative moderne authentifiée

Commande nmap

nmap -p79 --script finger <target>

Remplacez <target> par l’hôte ou la plage que vous êtes autorisé à scanner.

Ce qui s'exécute sur le port 79

Le port 79 est le port par défaut de Finger (RFC 1288), un service des années 1970 qui renvoie des informations sur les utilisateurs d'un hôte. Une simple requête peut révéler le nom réel d'un utilisateur, son répertoire personnel, son heure de connexion, son temps d'inactivité et s'il est actuellement connecté. Il était conçu pour trouver facilement des collègues sur des systèmes Unix partagés. Aujourd'hui il est désactivé par défaut, mais des hôtes hérités et certains équipements exécutent encore un fingerd.

Pourquoi c'est important pour la sécurité

Finger fournit une divulgation d'informations non authentifiée. Les données qu'il livre — surtout les noms d'utilisateurs valides et l'activité de connexion — sont exactement ce dont un attaquant a besoin pour la phase de reconnaissance. Savoir quels comptes existent et quand ils sont actifs affine la devinette de mots de passe, l'ingénierie sociale et le phishing ciblé. C'est un exemple typique de service hérité qui divulgue plus qu'il n'aide.

Comment il est attaqué

Les attaquants interrogent finger pour énumérer les comptes valides et récolter les schémas de connexion, puis injectent cette liste dans des attaques par brute force et password spraying contre SSH, la messagerie ou les VPN. Des requêtes vides ou avec joker sur certaines implémentations vident la liste complète des utilisateurs d'un coup. La valeur de reconnaissance est élevée et l'effort trivial, d'où les scans persistants du port 79.

Liste de durcissement

Désactivez fingerd et supprimez le service de inetd/xinetd. Bloquez le port TCP 79 en entrée pour que les scanners externes ne puissent pas énumérer vos utilisateurs. Si vous avez réellement besoin d'un annuaire d'utilisateurs, utilisez une alternative moderne authentifiée plutôt qu'un service ouvert en clair. La commande nmap ci-dessus montre ce qu'une requête finger révèle sur les hôtes que vous êtes autorisé à tester.

Ports liés

Port 23Port 113Port 25Port 22

Questions fréquentes

Qu'expose le protocole Finger ?
Finger renvoie des détails sur les utilisateurs d'un hôte — noms d'utilisateurs, noms réels, répertoires personnels, heures de connexion et état d'inactivité — le tout en clair et sans authentification.
Pourquoi le port 79 est-il un risque de sécurité ?
Il fournit aux attaquants une liste de noms d'utilisateurs valides et de schémas de connexion, qui alimente la devinette de mots de passe et l'ingénierie sociale. Il n'a pas sa place sur des systèmes exposés à Internet.