Skip to content
PortsDB

Référence des ports

Port 990 (TCP) – FTPS (TLS implicite)

FTP sur TLS implicite — le canal de contrôle est enveloppé dans TLS dès la connexion, contrairement au FTPS explicite (AUTH TLS) sur le port 21.

tcpWell-knownSouvent attaqué

État par défaut

Ouvert sur les serveurs FTP configurés en FTPS implicite. Souvent exposé à Internet pour l'échange de fichiers avec des partenaires.

Attaques courantes

  • Force brute d'identifiants et réutilisation de logins divulgués
  • TLS faible/hérité (SSLv3/TLS 1.0), chiffrements et certificats défaillants
  • Exposition du canal de données et mauvaise gestion des ports passifs FTP par le pare-feu/NAT
  • Accès anonyme et permissions de fichiers/répertoires trop permissives

Durcissement

  • Exiger TLS 1.2+ avec des chiffrements forts et un certificat valide
  • Désactiver le login anonyme ; imposer des identifiants forts et uniques et le MFA si possible
  • Restreindre et filtrer explicitement la plage de ports de données passifs
  • Préférer SFTP (SSH, port 22) pour les nouveaux déploiements quand c'est possible
  • Verrouiller les permissions de fichiers ; journaliser et limiter le débit des tentatives d'authentification

Commande nmap

nmap -p990 --script ssl-enum-ciphers,ssl-cert <target>

Remplacez <target> par l’hôte ou la plage que vous êtes autorisé à scanner.

Ce qui tourne sur le port 990

Le port 990 est le port TCP enregistré pour le FTPS implicite — FTP enveloppé dans TLS dès l'ouverture de la connexion. Cela diffère du FTPS explicite sur le port 21, où une session FTP normale est élevée avec la commande AUTH TLS. Les deux protègent le classique File Transfer Protocol ; le FTPS implicite sur le 990 est l'approche plus ancienne où le client attend TLS immédiatement et négocie aussi les canaux de données passifs sur TLS.

Pourquoi c'est important pour la sécurité

FTPS corrige le plus gros défaut du FTP en clair — les identifiants et données envoyés en clair sur le port 21 — en chiffrant les canaux de contrôle et de données. Mais le chiffrement n'aide que si la configuration TLS est solide ; des versions de protocole héritées, des chiffrements faibles ou des certificats invalides la sapent. FTPS hérite aussi du canal de données séparé peu pratique de FTP, qui complique les pare-feux et peut divulguer des transferts s'il est mal configuré.

Comment c'est attaqué

Les attaquants mènent de la force brute d'identifiants et rejouent des logins divulgués, surtout là où l'accès anonyme ou les mots de passe faibles sont autorisés. Ils rétrogradent ou exploitent un TLS faible/hérité (SSLv3, TLS 1.0, mauvais chiffrements) pour saper la confidentialité. Des plages de ports de données passifs mal configurées et la gestion NAT peuvent exposer les transferts ou être détournées, et des permissions trop permissives divulguent des fichiers.

Liste de durcissement

Exigez TLS 1.2+ avec des chiffrements forts et un certificat valide, et désactivez le login anonyme. Imposez des identifiants forts et uniques et le MFA si possible, et restreignez et filtrez explicitement la plage de ports de données passifs. Verrouillez les permissions de fichiers, journalisez et limitez le débit des tentatives d'authentification, et préférez SFTP (port 22) pour les nouveaux déploiements. Les scripts nmap ci-dessus énumèrent la configuration TLS et le certificat sur les hôtes que vous êtes autorisé à tester.

Ports liés

Port 21Port 22Port 989Port 443

Questions fréquentes

Quelle est la différence entre le FTPS du port 990 et celui du port 21 ?
Le port 990 est le FTPS implicite — TLS est négocié immédiatement à la connexion. Le port 21 utilise le FTPS explicite (AUTH TLS), qui élève une session FTP en clair. Les deux protègent FTP, mais l'implicite est l'approche héritée sur le 990.
FTPS sur le 990 est-il sûr ?
TLS protège les identifiants et les données en transit, mais FTPS hérite tout de même des canaux de données peu pratiques de FTP et des risques de mots de passe faibles. Imposez TLS 1.2+, désactivez l'accès anonyme et envisagez plutôt SFTP.