SMB/CIFS : partage de fichiers réseau avec Samba

SMB (Server Message Block) est le protocole de partage de fichiers et d'imprimantes en réseau, né dans le monde Windows. Un client monte un dossier partagé distant et l'utilise comme un disque local, sur le port TCP 445. Sur Linux, l'implémentation open source s'appelle Samba. Ce guide explique la différence entre SMB et CIFS, comment accéder à un partage avec smbclient, auditer un serveur avec nmap, et durcir une configuration Samba. Pour administrateurs et profils blue team, en ligne de commande.

Ce que vous allez apprendre

La différence entre SMB, CIFS et Samba.
Les versions de SMB et pourquoi SMB1 est dangereux.
Accéder à un partage avec smbclient et le monter.
Auditer un serveur SMB avec nmap.
Durcir une configuration Samba.

Qu'est-ce que SMB, et CIFS ?

SMB est le protocole qui permet de partager des fichiers et des imprimantes entre machines. Créé par IBM dans les années 80 puis étendu par Microsoft, c'est le mécanisme derrière les lecteurs réseau d'entreprise et la plupart des NAS (Synology, TrueNAS, QNAP).

Le terme CIFS (Common Internet File System) prête à confusion. Ce n'est pas un protocole distinct : c'est le nom donné par Microsoft en 1996 à une variante de SMB1.

Terme	Réalité
CIFS	ancien nom de SMB1
SMB	le protocole actuel (SMB2, SMB3)
Samba	l'implémentation open source pour Linux

Retenez la règle simple : CIFS = SMB1, un dialecte obsolète. Quand vous montez un partage avec mount -t cifs, vous utilisez en réalité un client SMB moderne ; le nom cifs est resté pour des raisons historiques.

Les versions de SMB

Choisir la bonne version est d'abord une question de sécurité. Trois générations coexistent, et la première doit disparaître.

Version	Apparition	À retenir
SMB1 (CIFS)	années 90	obsolète, vecteur d'EternalBlue, à désactiver
SMB2	Windows Vista / Server 2008	signature disponible, pas de chiffrement
SMB3	Windows 8 / Server 2012	chiffrement et signature par défaut
SMB 3.1.1	Windows 10 / Server 2016	chiffrement AES-128-GCM, intégrité pré-auth

Côté réseau, deux ports entrent en jeu : TCP 445 (SMB direct sur TCP, le standard) et TCP 139 (SMB historique encapsulé dans NetBIOS). En pratique, vous surveillez le 445.

Samba : SMB sur Linux

Samba est l'implémentation open source du protocole SMB pour Linux et Unix. Elle permet à un serveur Linux de partager des fichiers avec des clients Windows, macOS et Linux, et peut même jouer le rôle de contrôleur de domaine Active Directory. La version stable courante est Samba 4.24 (2026).

Sa configuration vit dans /etc/samba/smb.conf : une section [global] pour les réglages généraux, puis un bloc par partage. Un partage minimal ressemble à ceci :

[partage]
    path = /srv/partage
    valid users = alice
    read only = no

Accéder à un partage en ligne de commande

Le client de référence est smbclient (paquet smbclient sur Debian/Ubuntu, samba-client sur RHEL/Fedora). Les sorties ci-dessous proviennent d'un lab réel : un serveur Samba en conteneur exposant un partage partage.

Lister les partages d'un serveur, après authentification :

smbclient -L //serveur -U alice

Sharename       Type      Comment
partage         Disk
IPC$            IPC       IPC Service (Samba Server)

Se connecter à un partage : la session est interactive, comme un client FTP (ls, get, put, cd) :
Fenêtre de terminal
```
smbclient //serveur/partage -U alice
```
Monter le partage comme un filesystem avec cifs-utils :
Fenêtre de terminal
```
sudo mount -t cifs //serveur/partage /mnt -o username=alice,vers=3.0
```
L'option vers=3.0 force SMB3 : explicite, c'est plus sûr que de laisser la négociation automatique choisir une version ancienne.

Auditer un serveur SMB

Avant de sécuriser, il faut voir ce qu'un attaquant voit. Deux vérifications comptent : les versions acceptées et l'accès anonyme.

nmap énumère les dialectes SMB supportés. Sur le lab, le serveur accepte SMB 2.1 et 3.0, mais pas SMB1, ce qui est le comportement attendu :

nmap -p445 --script smb-protocols serveur

445/tcp open  microsoft-ds
| smb-protocols:
|   dialects:
|     2.1
|     3.0

Le second test est l'accès anonyme (null session). Sur le lab, lister les partages sans authentification réussit, ce qui révèle le partage à n'importe qui :

smbclient -L //serveur -N

Sharename       Type      Comment
partage         Disk

Durcir une configuration Samba

La sécurité de SMB tient à quelques directives dans la section [global] de smb.conf. L'objectif : refuser les vieux protocoles, chiffrer, signer et bloquer l'anonyme.

[global]
    server min protocol = SMB3        # refuse SMB1 et SMB2
    smb encrypt = required            # chiffrement obligatoire (SMB3)
    server signing = mandatory        # signature imposee (anti-relais NTLM)
    restrict anonymous = 2            # coupe les null sessions

Chaque ligne ferme une faille concrète :

server min protocol = SMB3 élimine SMB1 (EternalBlue) et SMB2 non chiffré ;
smb encrypt = required chiffre les échanges (n'a d'effet qu'avec SMB3) ;
server signing = mandatory contre le relais NTLM (SMB relay) ;
restrict anonymous = 2 coupe les null sessions.

Complétez avec valid users sur chaque partage pour restreindre l'accès, et surtout : n'exposez jamais le port 445 sur Internet. SMB reste cantonné au réseau local, derrière un pare-feu.

À retenir

SMB est le protocole de partage de fichiers réseau ; Samba en est l'implémentation Linux open source.
CIFS = SMB1, un dialecte obsolète à désactiver (EternalBlue, WannaCry).
Le port à surveiller est TCP 445 ; le 139 est historique (NetBIOS).
Côté client CLI : smbclient -L liste, smbclient //srv/share se connecte, mount -t cifs monte (forcez vers=3.0).
Auditez avec nmap --script smb-protocols et testez l'accès anonyme (null session).
Durcissez Samba : server min protocol = SMB3, smb encrypt = required, restrict anonymous = 2.
Jamais de port 445 exposé sur Internet.

FAQ : questions fréquentes sur SMB/CIFS

Qu'est-ce que le protocole SMB ?

SMB (Server Message Block) est le protocole de partage de fichiers et d'imprimantes en réseau, originaire du monde Windows. Un client SMB accède à des dossiers partagés sur un serveur comme s'ils étaient locaux. Sur Linux, l'implémentation open source s'appelle Samba. Il écoute sur le port TCP 445.

Quelle différence entre SMB et CIFS ?

CIFS (Common Internet File System) est l'ancien nom donné par Microsoft en 1996 à une variante de SMB1 ; ce n'est pas un protocole distinct. Aujourd'hui on dit SMB (versions SMB2 et SMB3). CIFS désigne donc SMB1, un dialecte obsolète et dangereux qu'il faut désactiver.

CIFS, c'est l'ancien SMB1

CIFS (Common Internet File System) est le nom donné par Microsoft en 1996 à une variante étendue de SMB1. Ce n'est pas un protocole distinct de SMB.

Terme	Réalité
CIFS	ancien nom de SMB1
SMB	le protocole actuel (SMB2, SMB3)

Dans la pratique, « CIFS » est un terme historique : quand vous montez un partage avec mount -t cifs, vous utilisez en réalité un client SMB moderne. Retenez : CIFS = SMB1, dialecte obsolète à ne plus utiliser.

Quel port utilise SMB ?

SMB utilise le port TCP 445 (SMB directement sur TCP, depuis Windows 2000). Le port TCP 139 correspond au SMB historique encapsulé dans NetBIOS. Le port 445 ne doit jamais être exposé sur Internet : c'est une cible majeure d'attaques comme EternalBlue.

Port 445 (et 139 historique)

Port	Usage
TCP 445	SMB direct sur TCP (standard depuis Windows 2000)
TCP 139	SMB historique via NetBIOS

Le port à connaître est le 445. Le 139 subsiste pour la compatibilité avec d'anciens systèmes via NetBIOS.Règle de sécurité absolue : ne jamais exposer le port 445 sur Internet. C'est une cible majeure d'attaques (EternalBlue, relais NTLM, mouvement latéral). Il reste cantonné au réseau local, derrière un pare-feu.

Comment lister les partages SMB en ligne de commande ?

Avec smbclient : smbclient -L //serveur -U utilisateur liste les partages d'un serveur après authentification, et smbclient -L //serveur -N tente un accès anonyme (null session). Pour se connecter à un partage : smbclient //serveur/partage -U user, en session interactive type FTP (ls, get, put).

smbclient, le client en ligne de commande

# Lister les partages (authentifie)
smbclient -L //serveur -U alice

# Lister en anonyme (null session)
smbclient -L //serveur -N

# Se connecter a un partage (session type FTP : ls, get, put)
smbclient //serveur/partage -U alice

Le paquet est smbclient (Debian/Ubuntu) ou samba-client (RHEL/Fedora). Pour monter un partage en filesystem, utilisez cifs-utils :

mount -t cifs //serveur/partage /mnt -o username=alice,vers=3.0

Pour auditer un serveur, nmap énumère les partages et versions : nmap -p445 --script smb-enum-shares,smb-protocols <ip>.

SMB1 est-il dangereux ?

Oui. SMB1 (CIFS) est le vecteur de la faille EternalBlue (MS17-010) exploitée par les rançongiciels WannaCry et NotPetya en 2017. Microsoft le désactive par défaut depuis Windows Server 2019. Il faut le désactiver partout et imposer au minimum SMB2, idéalement SMB3 avec chiffrement.

Oui, à désactiver partout

SMB1 (CIFS) est obsolète et dangereux. C'est le protocole exploité par la faille EternalBlue (MS17-010), utilisée par les rançongiciels WannaCry et NotPetya en 2017 (plus de 200 000 systèmes touchés).

Microsoft le désactive par défaut depuis Windows Server 2019 ;
côté Samba, imposez une version minimale dans smb.conf :

[global]
    server min protocol = SMB3
    smb encrypt = required
    server signing = mandatory

Imposer SMB3 active le chiffrement et la signature (anti-relais NTLM). Vérifiez l'absence de SMB1 avec nmap --script smb-protocols.

Qu'est-ce que Samba ?

Samba est l'implémentation open source du protocole SMB pour Linux et Unix. Elle permet à un serveur Linux de partager des fichiers et imprimantes avec des clients Windows et macOS, et peut jouer le rôle de contrôleur de domaine Active Directory. Version stable : Samba 4.24 (2026).

Prochaines étapes

Utiliser NFS sur Linux L'autre grand protocole de partage de fichiers réseau, côté Unix.

nmap : analyser l'exposition réseau Énumérer les services SMB et leurs versions sur un réseau.

Volumes Docker Monter un partage SMB/CIFS comme volume de conteneur.

Transférer des fichiers avec SFTP Une alternative chiffrée via SSH quand SMB n'est pas adapté.