« Stop using FTP »

J’ai pris l’habitude de n’utiliser que sFTP, chez mon hébergeur, à cause des coupures constantes dans les transferts de mes photographies de 5 Mo (problème que je n’ai pas via sFTP). Mais l’argument de la sécurité des données est tout aussi pertinent. En fait, j’en viens à me demander pourquoi aujourd’hui, alors que la sécurité des données est un enjeu assez important dans le domaine de l’informatique, tout transfert d’information sensible (incluant n’importe quel mot de passe) n’est pas de facto protégé.

SSH FTW

Historiquement, le protocole FTP est plus sécuritaire qu’il y a 10 ans. Il y a 10 ans, alors que les switch étaient pratiquement inexistantes et les hubs abondants, le packet sniffing était un jeu d’enfant. En fait, n’importe qui branché sur la plupart des segments IP le long du chemin n’avait qu’à rouler un simple TCP dump.

Maintenant, à moins d’être un opérateur réseau d’un des hops par lequel les paquets transitent, il est généralement beaucoup plus simple de pirater un serveur et d’attendre les données à destination que de sniffer un paquet IP le long du chemin. Les techniques disponibles sont assez complexes, et nécessitent un la plupart du temps un accès Layer 2 (ie. Ethernet) à la switch.

Bien sûr, avec l’arrivée des multiples réseaux sans-fil, c’est une autre paire de manche. La décryption des paquets WEP n’est étonnament pas si complexe. Mais l’attaqueur doit être à portée de signal.

Combien de gens assez intéressés par vos données pour commetre un crime avez vous au KM carré dans votre région? Ça donne une idée de la probabilité qu’on sniffe vos paquets sur votre réseau WIFI.

Bref, oui, le FTP est insécure, et le sous-utilisé sFTP est une excellente alternative, mais je ne vois personnellement pas cette insécurité comme la prochaine catastrophe informatique.