Des chercheurs de l'Université du Maryland ont essayé de faire le point sur les relations supposées entre un scan de ports et une attaque pirate. Dans l'idée commune, un scan de ports préfigure souvent une attaque réseau d'un pirate ou d'un virus qui vérifie auparavant par quel port s'introduire sur le PC de la victime.

Les expériences des universitaires dans ce domaine montrent quelques distinctions intéressantes. Après avoir laissé deux PC sous Windows 2000 non patché à la merci du Net, les conclusions de l'étude ont révélé certaines choses intéressantes. Selon les chercheurs, un simple scan de port n'aboutit que très rarement à une attaque malveillante, et inversement, seulement 5 % des attaques sont précédées d'un scan de port classique. Beaucoup de firewalls bloquent d'ailleurs par défaut ce genre de scan.

Selon Michel Cukier, qui a mené les expériences en question, c'est plutôt lorsque le scan de ports est associé à une recherche de vulnérabilité que le risque d'une attaque imminente est vraiment sérieux. Lorsque que ces deux procédures sont lancées à partir d'une même adresse IP, le risque d'une attaque est au plus haut.

La question est de distinguer un scan de port classique et un scan visant à trouver des vulnérabilités. La méthode est très simple selon Cukier, il suffit de compter le nombre de paquets reçus par le PC scanné. Les scans de ports classiques nécessitent l'envoi de 5 paquets de données maximum, tandis que les scans de vulnérabilité en envoient entre 6 et 12.

En fait, les attaques pirates les plus courantes sur les réseaux sont des tentatives faites à l'aveugle. Selon les résultats de l'étude, dans 39 % des cas, aucun scan ne précède l'attaque pirate, qui tente alors d'exploiter directement une vulnérabilité précise du système.