FTP

This website is not maintained anymore.
Some good links:

FTP

Défauts du protocol FTP
Installation correcte (anonyme)de serveurs FTP
Enregistrement de mots de passe utilisés pour FTP

Défauts du protocol FTP

FTP et RCP sont deux applications servant à copier des fichiers entre deux ordinateurs. Aussi bien pour FTP que pour RCP le trafic (entre autres le code d'identité et le mot de passe) traverse Internet sous forme lisible ce qui fait que le trafic peut faire l'objet d'écoute; à cela s'ajoute pour RCP que l'authentication de l'utilisateur est basée sur le nom de domaine ou l'adresse IP, ce qui peut entraîner une insécurité supplémentaire.

Solutions pour résoudre les défauts du protocol FTP

Selon la situation les solutions suivantes sont possibles:

Faites en sorte que le réseau sous-jacent ne puisse pas (facilement) faire l'objet d'écoute. Ceci peut être réalisé par exemple en passant d'un ethernet commun à un ethernet commuté ou à l'aide d'autres technologies qui rendent l'écoute impossible, ou uniquement possible en utilisant un dispositif coûteux.
Prévoyez le cryptage. Pour l'instant le remplaçant le plus utilisé pour ftp et rcp est ssh.

L'installation correcte de serveurs FTP (anonymes)

Si on installe un service FTP (anonyme), il faut faire en sorte que des utilisateurs ne puissent pas avoir accès aux fichiers qui ne leur sont pas destinés.
Si on permet des uploads sur un serveur FTP anonyme, il faut faire en sorte que les fichiers qu'on place sur le serveur ne mettent pas en danger la protection du système, que l'uploading (le fait de télécharger) soit éventuellement limité à un groupe d'utilisateurs dignes de confiance.

L'enregistrement de mots de passe utilisés pour FTP

Dans des environnements Windows il est souvent possible d'enregistrer le nom de l'ordinateur, le code d'identité et le mot de passe utilisés, ainsi que les fichiers start de la session FTP. Bien que le mot de passe soit le plus souvent enregistré sous une forme encryptée, ce cryptage est généralement tellement faible qu'il peut être rompu dans des délais raisonnables.
L'utilisation de cette fonctionnalité n'est donc pas à conseiller si des données importantes se trouvent sur le serveur FTP, ou si l'on souhaite que d'autres personnes ne puissent pas s'emparer du mot de passe.

Références

RFC 2577 (FTP security considerations)
http://netwinsite.com/surgeftp/manual/ssl.htm FTP SSL/TLS Frequently Asked Questions
Search for new pages (max 3 months old) about this subject with google!

Livres

Search for books on this subject at Amazon.com

The PISA-project is financed by the OSTC, Belgian Federal Office for Scientific, Technical and Cultural Affairs (DWTC - SSTC).
Project description of PISA

URL: http://pisa.belnet.be/pisa/pisa.htm

PISA Home Page