8 juin 2026 · 9 min de lecture
Quels ports devraient être ouverts (et lesquels sont risqués)
Un guide clair sur les ports réseau qu'il est sûr de laisser ouverts, ceux qu'il faut renforcer et ceux qui ne devraient jamais être exposés à Internet — avec un tableau de référence des risques.
Un port ouvert n'est pas automatiquement dangereux. Un port n'est risqué que lorsque le service qui se trouve derrière n'est pas chiffré, non authentifié, non corrigé, ou tout simplement pas destiné à être exposé à Internet. En bref : 443, 587, 993 et un SSH renforcé peuvent être exposés sans danger ; 23, 21, 445, 3389 et tous les ports de base de données ne devraient jamais être accessibles depuis l'Internet public. Ce guide explique le raisonnement afin que vous puissiez juger vous-même n'importe quel port.
La réponse courte
| Verdict | Ports | Pourquoi |
|---|---|---|
| ✅ Sûrs à exposer | 443, 587, 993, 8443 | Chiffrés et authentifiés par conception |
| ⚠️ À renforcer si ouverts | 22, 80, 53, 8080 | Utiles, mais attirent les attaques — sécurisez-les |
| ❌ À ne jamais exposer | 23, 21, 139, 445, 3389, 1433, 3306, 5432, 6379, 27017 | En clair, hérités, ou jamais destinés à être publics |
Vous pouvez voir lesquels sont accessibles sur votre propre connexion dès maintenant avec l'outil Quels sont mes ports ouverts — il analyse ces ports courants et étiquette chacun selon son risque.
D'abord, ce que « ouvert » signifie vraiment
Une vérification de port a trois issues possibles, et la différence compte pour la sécurité :
| État | Ce qui s'est passé | Ce que cela signifie |
|---|---|---|
| Ouvert | Le service a répondu | Quelque chose écoute et est accessible depuis Internet |
| Fermé | L'hôte a répondu « personne » | Accessible, mais aucun service ne tourne sur ce port |
| Filtré | Aucune réponse | Un pare-feu ou le NAT rejette silencieusement les paquets |
La plupart des connexions domestiques affichent presque tous les ports comme filtrés car le NAT du routeur bloque le trafic entrant non sollicité par défaut. C'est la base sûre. Un port ouvert signifie que vous (ou votre FAI, votre routeur, ou un logiciel malveillant) avez délibérément exposé un service — il vaut donc la peine de savoir lesquels sont acceptables.
Les ports qu'il est sûr de laisser ouverts
Ils transportent un trafic chiffré et authentifié. Les laisser ouverts est normal et attendu :
- 443 — HTTPS. Toute la raison d'être d'un serveur web. Chiffré avec TLS ; gardez votre certificat et votre version de TLS à jour.
- 587 — soumission SMTP (TLS) / 993 — IMAPS. Le courrier moderne utilise ces ports chiffrés et authentifiés. Sûrs à exposer.
- 8443 — HTTPS alternatif. Bien lorsqu'il sert réellement du TLS.
Le principe : chiffrement + authentification + mises à jour = un port ouvert n'est pas un risque réel en soi. Les attaquants peuvent se connecter, mais ne peuvent ni lire le trafic ni entrer sans identifiants.
Les ports à renforcer s'ils sont ouverts
Ils ont des usages légitimes mais sont des cibles d'attaque constantes. Ne les gardez ouverts que si vous en avez besoin, et verrouillez-les :
- 22 — SSH. Indispensable pour les serveurs, mais attaqué par force brute en permanence. Désactivez l'authentification par mot de passe, utilisez des clés SSH, activez le MFA et limitez le débit avec fail2ban. Changer de port par défaut réduit le bruit mais n'est pas une vraie sécurité.
- 80 — HTTP. Acceptable comme redirection vers HTTPS, mais ne servez jamais de contenu sensible en HTTP en clair.
- 53 — DNS. Requis pour les serveurs DNS, mais un résolveur ouvert est exploité pour l'amplification des DDoS. Restreignez-le à vos propres réseaux.
- 8080 — HTTP alternatif. Souvent un serveur de développement oublié ou un panneau d'administration sans authentification. Vérifiez ce qui tourne réellement.
Les ports qui ne devraient jamais être exposés à Internet
| Port | Service | Pourquoi c'est dangereux |
|---|---|---|
| 23 | Telnet | Envoie les identifiants en clair — quiconque sur le chemin peut les lire |
| 21 | FTP | Identifiants en clair ; utilisez plutôt SFTP sur le port 22 |
| 139 / 445 | NetBIOS / SMB | La cible de WannaCry / EternalBlue ; un vecteur majeur de rançongiciels |
| 3389 | RDP | Le point d'entrée de rançongiciel le plus courant — placez-le derrière un VPN |
| 1433 / 3306 / 5432 | MSSQL / MySQL / PostgreSQL | Les bases de données ne devraient jamais être accessibles aux inconnus |
| 6379 | Redis | Non authentifié par défaut dans de nombreuses configurations |
| 27017 | MongoDB | Un long historique de fuites massives de données dues à l'exposition publique |
Si l'un de ces ports apparaît ouvert lorsqu'il est vérifié depuis Internet, traitez-le comme une urgence. Le correctif est presque toujours le même : liez le service à localhost ou à un réseau privé, et exigez un VPN pour tout accès distant légitime.
Une règle de décision simple
Lorsque vous trouvez un port ouvert et que vous hésitez, posez-vous trois questions :
- Le trafic est-il chiffré ? Non → fermez-le ou enveloppez-le dans TLS/VPN.
- Exige-t-il une authentification ? Non → fermez-le.
- Ai-je réellement besoin qu'il soit accessible depuis Internet ? Non → fermez-le.
Si vous ne pouvez pas répondre « oui, oui et oui », le port ne devrait pas être ouvert au public. L'objectif n'est jamais zéro port ouvert — c'est zéro port inutile ou non protégé.
Comment fermer un port que vous n'aviez pas l'intention d'ouvrir
- Trouvez ce qui écoute. Linux :
ss -tlnp | grep :<port>. Windows :netstat -ano | findstr :<port>, puis associez le PID dans le Gestionnaire des tâches. - Arrêtez ou reliez le service. Coupez-le s'il ne devrait pas tourner, ou configurez-le pour qu'il n'écoute que sur
127.0.0.1. - Ajoutez une règle de pare-feu.
ufw deny <port>/tcpsous Ubuntu, ou un blocage entrant du pare-feu Windows. - Vérifiez. Relancez un vérificateur de ports — le port devrait désormais indiquer filtré depuis l'extérieur.
Analysez votre propre connexion en quelques secondes — sans logiciel — avec l'outil Quels sont mes ports ouverts, qui signale désormais chaque port courant selon son niveau de risque. Pour mieux comprendre les états, lisez Quels sont mes ports ouverts ? Comment vérifier les ports TCP sur votre IP publique. Et si vous utilisez un VPN pour garder les services risqués hors de l'Internet public, confirmez qu'il ne fuit pas avec le Test de fuite VPN et notre guide pour corriger une fuite VPN.