2 mai 2026 · 7 min de lecture
Quels sont mes ports ouverts ? Comment vérifier les ports TCP sur votre IP publique
Apprenez ce que signifient les ports ouverts, fermés et filtrés, quels ports présentent des risques de sécurité et comment vérifier les ports ouverts de votre IP publique sans aucun logiciel.
Votre adresse IP publique est visible par tous les appareils sur Internet — tout comme les services qui écoutent sur ses ports. Connaître les ports ouverts est la première étape pour comprendre la surface d'attaque de votre réseau.
Un vérificateur de ports se connecte à votre IP depuis un serveur externe et indique si chaque port est ouvert (un service a accepté la connexion), fermé (le système d'exploitation l'a refusée) ou filtré (un pare-feu a rejeté le paquet silencieusement). L'outil Quels sont mes ports ouverts effectue cette vérification automatiquement pour un ensemble de ports courants et pour tout port personnalisé de votre choix.
Qu'est-ce qu'un port réseau ?
Une adresse IP achemine les paquets vers la bonne machine. Un numéro de port — un entier de 16 bits allant de 1 à 65535 — indique au système d'exploitation quel programme doit traiter ces paquets.
Lorsqu'un programme appelle bind() et listen() sur un port, il est en mode écoute : prêt à accepter les connexions entrantes. Si aucun programme n'écoute, le système d'exploitation répond aux paquets TCP SYN entrants par un RST (réinitialisation), indiquant que le port est "fermé". Si un pare-feu rejette le paquet sans réponse, l'expéditeur attend jusqu'au dépassement du délai de connexion (timeout) — c'est un port filtré.
Ouvert, fermé et filtré — la perspective du handshake TCP
Le handshake (poignée de main) TCP standard envoie trois paquets :
- SYN — le client demande la connexion
- SYN-ACK — le serveur accepte (le port est ouvert)
- ACK — le client confirme
Si, au lieu de SYN-ACK, le serveur renvoie RST-ACK, le port est fermé. Si le paquet SYN disparaît complètement, le port est filtré.
| Statut | Ce qui s'est passé | Signification |
|---|---|---|
| Ouvert | SYN-ACK reçu | Un service écoute et est accessible |
| Fermé | RST-ACK reçu | Aucun service n'écoute ; l'hôte est actif |
| Filtré | Pas de réponse (délai dépassé) | Le pare-feu / NAT bloque le paquet |
La plupart des adresses IP domestiques affichent presque tous les ports comme filtrés car les routeurs grand public appliquent le NAT par défaut et bloquent toutes les connexions entrantes non sollicitées.
Pourquoi la vérification de ports nécessite un serveur externe
Les navigateurs s'exécutent dans un modèle de sécurité isolé (sandbox). JavaScript ne peut pas ouvrir de sockets TCP arbitraires vers des hôtes externes — cela permettrait à n'importe quel site Web d'analyser votre réseau ou de sonder des services internes. L'API fetch() est limitée à HTTP/HTTPS ; la connexion TCP directe n'est pas disponible pour les pages Web.
Un vérificateur de ports côté serveur contourne cette restriction en établissant la connexion TCP depuis une infrastructure de confiance, puis en renvoyant le résultat. La vérification équivaut à exécuter nc -zv <votre-ip> <port> depuis une machine distante :
# Commande shell équivalente
nc -zv 203.0.113.42 22
# Connection to 203.0.113.42 22 port [tcp/ssh] succeeded!
Le résultat vous indique exactement ce qu'un attaquant verrait en scannant Internet.
Ports courants et niveau de risque
| Port | Service | Risque si ouvert publiquement |
|---|---|---|
| 22 | SSH | Moyen — cibles constantes de force brute ; utilisez l'authentification par clé |
| 23 | Telnet | Élevé — envoie des données en texte clair |
| 25 | SMTP | Moyen — risque de relais de spams si mal configuré |
| 80 | HTTP | Faible — attendu pour les serveurs Web |
| 443 | HTTPS | Faible — attendu pour les serveurs Web |
| 3306 | MySQL | Critique — ne jamais exposer à l'Internet public |
| 5432 | PostgreSQL | Critique — ne jamais exposer à l'Internet public |
| 6379 | Redis | Critique — pas d'authentification par défaut dans les anciennes versions |
| 8080 | HTTP Alt | Moyen — souvent des outils de dev sans authentification |
| 27017 | MongoDB | Critique — historique massif de failles suite à des expositions publiques |
Comment le NAT et la redirection de ports interagissent
La plupart des utilisateurs à domicile et au bureau se trouvent derrière un NAT (traduction d'adresses réseau). Votre routeur attribue à chaque appareil une IP privée (192.168.x.x, 10.x.x.x) et présente une unique IP publique à Internet. Les connexions entrantes qui atteignent l'IP publique du routeur n'ont nulle part où aller, sauf si vous configurez une redirection de ports (port forwarding) — une règle NAT qui associe un port externe à une machine et un port internes.
Si vous hébergez un serveur de jeu, un site Web ou si vous utilisez un service nécessitant des connexions entrantes (VoIP, BitTorrent, bureau à distance), vous configurez la redirection de ports dans le panneau d'administration de votre routeur. Le vérificateur de ports confirme si la redirection fonctionne — si le port apparaît comme ouvert depuis l'extérieur, la règle de redirection achemine correctement le trafic vers votre machine.
Sécuriser les ports que vous n'aviez pas l'intention d'ouvrir
Si le vérificateur de ports révèle un port ouvert inattendu :
- Identifiez le service à l'écoute — sur Linux :
ss -tlnp | grep :<port>ounetstat -tlnp. Sur Windows :netstat -ano | findstr :<port>puis recherchez le PID dans le Gestionnaire des tâches. - Arrêtez le service s'il ne doit pas être exécuté, ou reconfigurez-le pour qu'il s'associe uniquement à
127.0.0.1. - Ajoutez une règle de pare-feu —
ufw deny <port>/tcpsur Ubuntu, ou une règle de trafic entrant dans le Pare-feu Windows. - Vérifiez la correction — exécutez à nouveau le vérificateur de ports ; le port doit maintenant apparaître comme filtré depuis l'extérieur.
Vérifiez les ports de votre IP publique dès maintenant — aucun logiciel requis — sur l'outil Quels sont mes ports ouverts. Pour obtenir du contexte sur l'IP analysée, consultez Quelle est mon IP.