Catégories
Expert Sécurité

FileZilla Server : activer le FTPS (FTP over TLS)

Le protocole FTP est utilisé depuis de nombreuses années pour échanger des fichiers. Ce moyen de communication a peu évolué mais la réglementation européenne RGPD / GDPR peut changer les choses. En effet, les entreprises sont tenues d’assurer la protection et la confidentialité des informations personnelles sur leurs clients et fournisseurs, cela peut donc aussi concerner les échanges par FTP. Pour se conformer à la loi, il faut chiffrer les transferts FTP avec TLS ou SSL. Avec le FTPS, pour FTP over TLS ou over SSL, est sécurisé de manière explicite ou implicite. Le FTPS peut aussi s’écrire FTPES.

Ce tutoriel explique comment configurer le FTPS (FTP over TLS) sur un serveur FTP FileZilla Server. Ce logiciel open source et gratuit est très populaire comme serveur FTP sur système d’exploitation Microsoft Windows.

 

Activer le FTP over TLS (FTPS) sur FileZilla Server

1. Ouvrir la console d’administration de FileZilla Server.

2. Aller dans le menu Edit, Settings.

3. Cliquer sur le menu « FTP over TLS settings » .

4. Cocher la ligne « Enable FTP over TLS support (FTPS) » .

5. Définir un port de connexion, par défaut le 990.

6. Cliquer sur le bouton « Generate new certificate » et remplir les informations demandées :

  • Key size : 4096 bits
  • 2-Digit country code : FR pour France, CA pour Canada, BE pour Belgique, CH pour la Suisse, DZ pour Algérie…
  • Full State or Province : nom de l’Etat ou de la région
  • Locality (City) : ville
  • Organization : nom de l’entreprise
  • Organization unit : nom du service, par exemple
  • Contact E-mail : adresse mail de contact
  • Common name : adresse du serveur
  • Save key and certificate to this file : où enregistrer le fichier de certificat

Cliquer sur « Generate certificate » pour créer le certificat avec la clé privée RSA.

7. Par défaut, le simple FTP (port 21) sera encore activé : cocher la ligne « Disallow plain unencrypted FTP » pour refuser les futures connexions par ftp:// :

Les autres informations de configuration sur FTPS sur FileZilla Server se trouvent sur le wiki du logiciel open source.

8. Valider par OK. Le serveur FTP se relance et devient FTPS uniquement. Les prochaines connexions de clients FTP devront se faire par FTPS (ftps://) et non plus par FTP (ftp://). Le client FTP FileZilla gère ce protocole.

 

Connexion à un serveur FTPS

1. Ouvrir un client FTP et demander une connexion au serveur distant.

2. Accepter le certificat proposé.

3. La connexion et les transferts FTP sont sécurisés.

Techniquement, la session FTPS utilise le protocole TLS 1.2, l’échange de clé ECDHE-RSA, le chiffrement AES-256-GCM et le MAC : AEAD.

 

Connexion en FTP à un serveur uniquement FTPS

Si le serveur FileZilla est configuré pour n’accepter que les connexions sécurisées FTPS, une tentative de connexion par FTP sur port 21 sera soldée par un échec :

Catégories
Intermédiaire Logiciels Sécurité

FileZilla : récupérer un mot de passe perdu

Vous gérez vos sites internet avec le client FTP FileZilla. Vous utilisez peut-être aussi ce logiciel open source pour les connexions SFTP (SSH FTP) pour aller sur des serveurs distants en Unix / Linux. Aussi, Filezilla gère le FTPS (FTP over SSL/TLS pour des connexions sécurisées. Ce logiciel compatible Windows, BSD et macOS est certainement le plus populaire des clients FTP, gratuit qui plus est.

Et comme tout logiciel de connexion FTP, on peut enregistrer des favoris FTP. FileZilla les gère en tant que « Sites » dans son Gestionnaire de sites (Site manager). Ce tutoriel explique comment lire un mot de passe FileZilla qui a été enregistré dans les sites FTP ou SFTP favoris. On peut aussi retrouver un mot de passe de site récent, simplement connecté par la « Connexion rapide » de FileZilla, c’est-à-dire l’historique récent de connexion FTP ou SFTP.

Ce guide fonctionne avec toutes les versions de FileZilla Client et a été réalisé sur un ordinateur Windows. Le chemin des dossiers sera donc différent sur un autre système d’exploitation.

Pour plus de facilité, on pourra préférer utiliser l’outil Notepad++ pour lire le fichier de configuration XML de FileZilla.

 

Retrouver un mot de passe FileZilla

1. Fermer le logiciel client FTP FileZilla.

2. Aller dans le dossier : Disque local (C:) > Utilisateurs > NomProfil > AppData > Roaming > FileZilla

Il faudra peut-être afficher les fichiers cachés de Windows.

On peut aussi y aller en direct, et sans activer les dossiers cachés, en tapant C:\Users\profil\AppData\Roaming\FileZilla

3. Les sites enregistrés (favoris FTP) se trouvent dans le fichier sitemanager.xml. Les sites récents sont dans recentservers.xml. Ouvrir l’un des fichiers avec le Bloc Notes Windows, WordPad, Notepad++ ou un autre éditeur de texte (double clic ou clic droit, Modifier).

4. Les informations de connexion et le mot de passe sont indiqués en clair dans le fichier texte XML, entre les balises <Pass> </Pass> :

<?xml version= »1.0″ ?>
<FileZilla3 version= »3.22.2.2″ platform= »windows »>
<Servers>
<Server>
<Host>ftp.monserveur.fr</Host>
<Port>21</Port>
<Protocol>0</Protocol>
<Type>0</Type>
<User>windowsfacile</User>
<Pass>MotDePasse</Pass>
<Logontype>1</Logontype>
<TimezoneOffset>0</TimezoneOffset>
<PasvMode>MODE_DEFAULT</PasvMode>
<MaximumMultipleConnections>0</MaximumMultipleConnections>
<EncodingType>Auto</EncodingType>
<BypassProxy>0</BypassProxy>
<Name>Mon FTP</Name>

5. On retrouve ainsi, en quelques clics, le mot de passe égaré d’une connexion FTP ou SSH FTP.

Si le mot de passe est chiffré en base 64, il suffit de récupérer la ligne <Pass encoding= »base64″>XXX</Pass> et de passer le mot de passe sécurisé dans un convertisseur Base64 vers texte ASCII.

On peut aussi faire un Export des paramètres FileZilla pour enregistrer le fichier XML à un autre endroit que sur le profil, répertoire caché AppData et Roaming. La lecture du password sera identique, en clair dans le fichier texte.