Des mots de passe en clair dans un logiciel FTP comme Filezilla, c’est très dangereux

Temps de lecture : 7 minutes

Les mot de passe stockés en clair dans FileZilla

A votre avis, quel est le pire cauchemar d’un blogueur ? Que le serveur qui héberge son blog soit planté, qu’une mauvaise manipulation lors d’une mise à jour rende le blog inaccessible, que Google blacklist ses pages ou encore de subir un piratage ? Pour les deux premiers, je m’appuie sur un hébergeur 1and1 qui m’offre une bonne disponibilité et je procède avec méthode lors des mises à jour de WordPress. Pour la 3ème hypothèse, je veille à respecter les bonnes pratiques pour ne pas abuser de Google. Quant au dernier point, je pensais avoir établi suffisamment de mesures de sécurité autour de mon blog pour éviter un piratage. C’était sans compter sur une baisse de vigilance de ma part et sur une faille énorme de sécurité de mon client FTP Filezilla, qui stockait sur mon disque dur mes mots de passe en clair dans un simple fichier texte XML.

Mon blog planté au petit matin

Mercredi matin, lors d’un banal accès à mon blog, j’ai eu la mauvaise surprise de découvrir que mon blog était catalogué par Google comme un site web dangereux et qu’il était impossible d’accéder à sa page d’accueil. Elle ne s’affichait d’ailleurs plus et présentait un beau message d’erreur, alors que tout fonctionnait parfaitement la veille au soir.

Compte tenu du message de Google quand j’essayais d’accéder à mon blog, il ne faisait aucun doute que mon blog avait été piraté dans la nuit et que des hackers avait inséré un code malveillant (Malware). D’ailleurs mon anti-virus Microsoft Security Essentials me confirmait vite cela en m’alertant de la présence d’un code intrus sur les pages du blog. Rien de bien méchant mais ce code pirate essayait d’envoyer mes visiteurs sur quelques sites de pilules magiques ! Une attaque somme toute bénigne, aucune donnée n’avait été détruite et l’affichage de ces pages malveillantes ne fonctionnait pas. Le code avait été inséré de manière brutale, sans tenir compte du moteur WordPress qui affiche mon blog. Il s’agissait d’une attaque par FTP qui avait consisté à insérer le code pirate dans de nombreux fichiers de WordPress.

Mon blog affiche ses articles grâce à un logiciel, le moteur de blog WordPress, installé sur un serveur. Pour manipuler les fichiers sur ce serveur, un logiciel FTP me permet de faire des copier-coller de fichiers, comme sur un simple disque dur.

Le diagnostic de l’attaque et les remèdes

Par où sont-ils rentrés ?

Une fois les dégâts évalués, qui pouvaient être vite réparés en repartant d’une sauvegarde, je devais trouver la faille qui avait permis aux pirates de commettre leur forfait :

  • Une faille de sécurité dans WordPress ? A priori non, j’utilise la dernière version du logiciel.
  • Une faille de sécurité chez mon hébergeur ? Celui-ci me certifiait que tout était en règle chez lui.
  • La découverte de mon mot de passe FTP pour modifier les fichiers à ma place ? Normalement aucun dictionnaire ne permet de trouver mes mots de passe, ils sont construits par une méthode et ne représentent aucun mot dans aucun langage.

D’après les informations de mon serveur, l’attaque provenait d’un accès FTP. Dans un premier temps, je mettais donc en cause un accès public à mon serveur FTP ou à la présence de vieux sites web inutilisés sur des plateformes comme Joomla ou DotClear non mise à jour, mais qui auraient pu permettre un accès via FTP.

Changement des mots de passe

Je faisais donc le grand ménage et je changeais tous mes mots de passe depuis mon ordinateur. Tout fonctionna correctement pendant 24 h et je fus à nouveau victime de la même attaque : modification des fichiers sources javascript et PHP via un accès FTP avec mon nouveau mot de passe. Donc plus de doute, soit il  avait une caméra cachée dans mon bureau ou mon domicile, soit mon PC hébergeait un virus capable de fournir mon mot de passe (et peut-être bien d’autres) à des pirates. Là, la sensation d’insécurité numérique n’est pas très agréable.

Un virus et Filezilla à l’origine de l’attaque

En plein désarroi, j’échangeais avec une société partenaire, victime les mêmes jours d’une attaque de son site e-commerce, pour une toute autre raison. A croire d’ailleurs que nous étions au cœur d’une vraie attaque mondiale, car ces mêmes jours Twitter subissait une attaque de très grande envergure ! Au fil de nos discussions, nous en sommes venus à accuser le logiciel FTP Filezilla et un virus certainement présent sur mon ordinateur. Pourtant ni Microsoft Essential Security, ni Avast, ni Spybot ne révélaient la présence d’un intrus. Une amie me recommandait alors de faire un scan avec l’anti-malware a-Squared d’Emsisoft. Je lançais donc une version gratuite, qui après 1 heures d’un scan minutieux rendait son verdict : un Trojan et un Backdoor étaient présents sur mon PC, tout frais d’une dizaine de jours ! J’avais donc bien deux espions sur mon PC capables d’envoyer des informations à des tiers.

Savez-vous donc comment ses deux virus transmettaient aux méchants pirates mes mots de passe FTP ? Tout simplement en envoyant le fichier de préférences de FileZilla, un fichier texte structuré qui stocke en clair, sans aucun encodage ou astuce, mes mots de passe FTP avec le nom du serveur FTP et le nom d’utilisateur.

Voici comment sont stockées ses informations confidentielles sur notre disque dur par le client FTP FileZilla :

Fichier de stockage des mots de passe

Ce fichier est tout simplement présent à l’emplacement : C:usersXXXXAppDataRomaingFileZillaFilezilla.xml . Toutes les informations apparaissent en clair, parfaitement lisibles par n’importe qui ou n’importe quel robot.

Le piratage est donc rendu enfantin par cette énorme faille de sécurité de ce client FTP open-source, pourtant mondialement connu ! Après une petite recherche sur Google, il s’avérait que cette énorme boulette des concepteurs étaient régulièrement exploitée par les pirates pour s’introduire sur des serveurs web. Ce problème est connu et je suis surpris que cela ne soit toujours pas corrigé.

Lors de cette découverte, j’étais partagé entre le soulagement de connaitre la cause du piratage de mon blog et une certaine colère devant cette faille de sécurité pour un client FTP reconnu. Une colère aussi envers moi car l’un de mes surfs m’avait surement conduit sur un site infecté, avec un ordinateur ne disposant pas de toute les mises à jour de Windows 7 ou d’Internet Explorer 8 (que j’utilise très rarement). Je me suis rendu compte en effet que depuis quelques temps, par négligence, je n’avais pas effectué les dernières mises à jour fournies par Microsoft.

Le grand nettoyage et un environnement sécurisé

Depuis cet incident j’ai donc renforcé la sécurité de mon environnement informatique : j’ai supprimé illico presto le logiciel FTP Filezilla, j’ai ajouté des scans réguliers par A-Squared Free (appelé aussi anti-malware Emsifot), j’ai viré Spybot dont j’étais toujours sceptique sur l’efficacité et j’ai effectué toutes les mises à jour de Windows 7 et bien entendu j’ai changé la totalité de mes mots de passe, qui commençaient pour certains à dater de plusieurs années. Finalement, je considère cette mésaventure comme un avertissement sans frais et un rappel à l’ordre sur la sécurité informatique de mon environnement. Parfois, on en oublie que même un petit acteur du web peut être attaqué et se retrouver fort dépourvu avec un blog offline.

Mon blog était-il pour autant dangereux ?

Si vous avez eu l’occasion de passer sur mon blog pendant cette période, de mardi 4h00 du matin à mercredi 18h00, je vous rassure les dégâts éventuels causés sur votre ordinateur sont à priori inexistants :

  • Google veille au grain, dès l’insertion du code malveillant sur mon blog, une alerte vous informait qu’il ne fallait pas poursuivre et vous balader sur mon blog.
  • Si vous outrepassiez cette mise en garde, le site plantait et votre anti-virus vous informait de ne pas continuer. Par ailleurs, l’attaque n’ayant pas été ciblée sur un blog WordPress, aucune page d’un quelconque site de médicaments miraculeux ne s’affichait.
  • Vers 9h00 le mardi, quand je me suis aperçu de cette attaque, j’ai mis hors ligne mon blog pour éviter tout dommage collatéral et je réparais avec une sauvegarde dans l’heure. A noter que Google laisse l’alerte jusqu’à ce qu’il puisse ré-analyser votre site et s’assurer que tout est en ordre, cela prend un délai d’environ 24h.
  • Comme j’ai eu la joie de subir une nouvelle attaque (le nouveau mot de passe utilisé dans Filezilla avait dû être capté dès le mardi matin), ce n’est donc que vers 18h le mercredi que tout est rentré dans l’ordre. J’ai découvert cette attaque dans l’heure et rétabli aussitôt mon blog.

Donc au pire, vous avez été privé de lire mes écrits pendant ces quelques heures. A noter que la boutique d’Eric, qui partage le même nom de domaine que mon blog, avait été aussi cataloguée par ricoché comme dangereuse par Google. Vous imaginez que j’ai adoré ! Celle-ci n’a jamais subit la moindre attaque.

A noter que les outils fournis par Google sont très précieux pour protéger les visiteurs et permettre aux blogueurs de vite identifier le mal. Si jamais je n’avais pas consulté mon site le matin même de l’attaque, un email m’était envoyé par Google le soir pour m’informer de cette attaque.

Une sécurité toujours plus renforcée

C’était la 1ère fois que je subissais de plein fouet une attaque pirate, sur le coup j’ai eu l’impression du subir un cambriolage numérique et désormais je vais renforcer ma vigilance. Je ne peux que vous encourager à ne jamais utiliser le client FTP Filezilla, ou du moins à ne pas mémoriser vos mots de passe dans celui-ci. Mais n’a-t-il pas d’autres failles de sécurité comme des transferts non codés de mot de passe ? Dans le doute, je ne veux plus en entendre parler. Ne faites pas non plus la même erreur que moi en oubliant des mises à jour de sécurité de Windows 7. Je vous invite à rajouter a-Squared Free à votre trousse de sécurité, en plus de votre anti-virus. La version gratuite permet de scanner son disque dur, la version payante réalise une veille en temps réel mais elle me semble tout de même trop intrusive et préventive par défaut.

[Edit du 29/09 : Je constate malheureusement qu’une nouvelle fois un blog et un billet traitant d’un logiciel open source et de Windows entraînent des commentaires hors de propos. Un blog et ses commentaires permettent des discussions où normalement la courtoisie est la règle. J’invite donc mes lecteurs à prendre part à cet échange avec des commentaires utiles à tous. Dans le cas contraire, je serai contraint de fermer les commentaires de ce billet. Je propose aux lecteurs animant leur propre blog de publier un article sur le sujet, je me ferais un plaisir de relier leur lien pour élargir la discussion. Vous trouverez aussi de nombreuses publications dans des forums et des blogs sur cette faille de sécurité de FileZilla sur les deux premières pages de Google, laissant à chacun la liberté de se forger son opinion. Je vous souhaite une bonne lecture de ses nombreux commentaires et je remercie ceux qui ont pris la peine d’exprimer des opinions constructives et utiles.]
imprimer cet article

Pour poursuivre votre lecture sur le même sujet, je vous propose :

82 Commentaires à "Des mots de passe en clair dans un logiciel FTP comme Filezilla, c’est très dangereux"

  • comment-avatar
    Gaeil 2 janvier 2018 (15 h 03 min)

    Bonjour, ne serait-il pas temps d’effacer cet article qui n’est plus à jour et qui peut faire peur à l’utilisateur LAmbda…(ou alors le remanier, car certaines mise en garde restent valables) – En Dec 2017, Filezilla, non seulement ne stocke plus ses mots de passe en clair, mais en plus il intègre la possibilité de mettre un mot de passe maître qui protège l’ensemble des mots d epasse. Quand on veut accéder à un site (enregistré dans Filezilla et contenant un mot d epasse FTP), Firlezilla demande le mot de passe maître pour décoder le mot de passe du site http://FTP...
    reste que la mise en garde de l’article reste valable, au moins pour la partie interception de code ou mot de passe lors de la connexion, (en cas de virus), ou un FTP simple et non un SFTP par exemple.
    Cordialement
    Gérard

    • comment-avatar
      poine 3 janvier 2018 (11 h 08 min)

      Enfin !!! Merci Gaeil ! Depuis le temps que je me disais que je ne trouvais aucune solution, et que pourtant je ne voulais pas me fatiguer à chercher un autre logiciel !!!

      Je viens de mettre un mot de passe maître et j’avoue que je souffle un peu, cette situation était vraiment ridicule.

      Peut-être qu’une mise à jour avec les parenthèses « obsolète depuis décembre 2017 » serait une bonne idée. En tout cas merci vraiment pour ce commentaire.

  • comment-avatar
    Monarobase 2 janvier 2016 (14 h 28 min)

    Avez-vous pensé à une solution de type 1Password ou LastPass ?

    Les mots de passe sont toujours stockés sur votre ordinateur, mais ils sont cryptés et cela prendra un certain temps pour qu’une personnne qui volerait votre ordinateur ne puisse faire une attaque brute force sur le fichier de 1Password. Cela vous laisse ainsi un peu de temps pour changer tous ces mots de passe en cas de vol.

    Personellement j’ai aussi un yubikey qui est configuré pour que lors qu’on reste appuyé pendant 2 secondes de saisir un mot de passe de 32 caractères de long.

    J’ai donc un mot de passe que je saisis de tête, suivi par un appui long sur la yubikey pour faire en tout un mot de passe de 50 caractères si on ne me vole mais ma yubikey et de 18 caractères si on me vol ma yubikey avec l’ordinateur.

    La yubikey peut-être sur les clefs de voiture, puisque cela perd de son intérêt pour le vol si elle est branchée en permanence sur le mac.

  • comment-avatar
    poine 2 janvier 2016 (12 h 50 min)

    Moi, j’ai le problème tout simple pointé par esperlu :

    je ne supporte pas l’idée d’avoir des mots de passe stockés sur mon Mac, car on peut tout simplement me le voler dans le bus ou dans le métro, ou bien ayant des pertes de mémoire, il pourrait même arrivé que je l’oublie dans un resto ou un bar (eh bien on sait bien qu’il arrive de boire pour oublier…)

    J’ai des centaines, voire même comme dirait Obélix des dizaines de mots de passe professionnels (je travaille en libéral), et je ne sais pas quoi faire, car je ne vois pas comment éviter de mettre tous mes œufs dans le même panier :
    – ou bien j’utilise seulement seulement deux ou trois mots de passe pour l’ensemble de mes comptes. Comme ça, pas de problème de stockage, ils sont tous dans ma tête. Mais si un de mes comptes est piraté, le pirate n’a plus qu’à l’utiliser pour détruire toute ma vie numérique.
    – ou bien je stocke les multiples mots de passe sur mon ordinateur ou une clé USB, et on tombe sur l’inconvénient de tout support matériel : tu le paumes / on te le pique et tu es cuit
    – ou bien je les confie à n’importe quel fournisseur de porte-feuille de mots de passe, avec le risque que lui-même soit piraté, comme c’est arrivé à lastpass récemment. Et puis pas facile à utiliser avec FZ quand on fait des mises à jour quotidiennes de son site.

    J’ai entendu parler d’une solution type association clé USB cryptée qui doit être connectée à un ordi contenant lui-même des données cryptées, et seule la réunion des deux permet d’obtenir les mots de passe. Ça a l’air pas mal sur le papier.

    Est-ce que quelqu’un connaît ça ou bien une meilleure solution ?

    Ou bien quelqu’un peut-il m’expliquer les manips à réaliser pour faire ce qu’a suggéré esperlu ? :
    – configurer FZ pour qu’il stocke ses données de login sur une clé USB ou/et…
    – configurer FZ pour qu’il stocke ses données de login sur une partition cryptée On The Fly (OTFE) avec TrueCrypt par exemple.

  • comment-avatar
    Daniel 14 avril 2015 (17 h 22 min)

    J’ai relu l’article et toute la discussion qui suit, et je dois dire que je suis resté sur ma faim.

    J’ai assisté à une dispute d’école entre ceux qui soutiennent que FileZilla a une faille de sécurité et ceux qui défendent la thèse que c’est la faute de virus préexistants et donc du système (Windows) ou de l’antivirus ou de l’utilisateur.

    En fait en lisant bien le forum FileZilla
    https://forum.filezilla-project.org/viewtopic.php?f=1&t=31967
    il semble bien que ce ne soit ni l’un ni l’autre à moins que ce ne soit ET l’un ET l’autre.

    Je crois qu’aujourd’hui la situation a été clarifiée et mérite de faire le point.

    Ce qui a été clairement mis en évidence par des utilisateurs perspicaces de FileZilla de ce forum (que je vous invite à lire), c’est que ce qui est en cause c’est l’installateur de FileZilla de SourceForge qui propose d’installer des logiciels additionnels qui se révèlent être des malware.

    Circonstance aggravante le site officiel FileZilla (https://filezilla-project.org/) propose sur sa page de téléchargement (https://filezilla-project.org/download.php?type=client) comme premier choix (et EN GROS) le téléchargement via Sourceforge !

    Ces utilisateurs perspicaces ont en fait mis en évidence que, sur le site officiel, pour avoir un installateur clean il faut passer par les liens :
    « More download options » et « Show additional download options » qui aboutit à cette page :
    https://filezilla-project.org/download.php?show_all=1
    Qui est LA SEULE QUI PROPOSE UNE UNSTALLATION PROPRE DE FILEZILLA.
    Selon eux, une fois ce piège déjoué, FileZilla est un excellent logiciel.

    Finalement la vérité c’est que FileZilla et le malware étaient téléchargés simultanément sur votre ordinateur, d’où l’impression que c’était FileZilla le responsable de l’infection.

    Mon expérience personnelle corrobore entièrement cette thèse : Le trojan a été détecté par Symantec Endpoint dès la première phase du téléchargement avant même que FileZilla soit téléchargé.

    Ceci jette un sérieux doute sur tous les logiciels proposés par Sourceforge.

    Tout ceci est une affaire de gros sous : Sourceforge tire un financement de ces « ajouts » de logiciels dans ses installateurs.
    Et si FileZilla recommande en premier Sourceforge c’est parce que ce dernier les rétribue en retour pour cela.

    Je suis d’accord avec les intervenants du forum FileZilla qui considèrent ces procédés comme contraire à l’éthique.

    J’ajoute qu’il est quand même curieux de voir que certains s’ingénient à mettre de l’huile sur le feu.
    Ainsi Clubic a publié un article « Client FTP FileZilla : attention aux versions infectées qui circulent »
    ( http://www.clubic.com/antivirus-securite-informatique/virus-hacker-piratage/malware-logiciel-malveillant/actualite-615478-client-ftp-filezilla-touchee-malware-circule.html )
    mais qui curieusement recommande aussi le lien vers Sourceforge (et ignore le seul lien vers un téléchargement propre).
     » FileZilla conseille donc fortement aux internautes de se concentrer sur des sources de confiance pour télécharger son logiciel : le site officiel, bien sûr [dont le lien n’est pas cité -note de l’auteur] ou encore son partenaire SourceForge — vous pouvez par ailleurs télécharger le client via la logithèque de Clubic.  »

    Bizarre, vous avez dit bizarre …

    En conclusion soyez prudent lors du téléchargement et suivez la règle ci-dessus.

  • comment-avatar
    Pascal - Netenvie 21 juin 2013 (14 h 23 min)

    Quelques règles simples à respecter :

    – Effectuer les mises à jour de votre OS
    – Avoir un antivirus payant et performant (Gdata, Kespersky, Fsecure, etc ).
    – Ne pas stocker les mots de passe en clair mais dans un fichier sécurisé.
    – Si possible utiliser un client FTP sécurisé qui transfère les mots de passe cryptés et fonctionne avec un certificat !
    – Pour Filezilla il est possible de le faire fonctionner sur une partition cryptée avec Truecrypt ou de l’utiliser en mode kiosque afin qu’il ne stocke pas les mots de passe.

    Bon courage.

  • comment-avatar
    Monarobase 3 avril 2013 (13 h 01 min)

    Non, cela n’évitera pas le problème puisque Filezilla n’est pas le coupable.

    Si votre site a été piraté par le FTP et non pas par un autre moyen (script ou plugin non mis à jour…), cela signifie que vous avez un virus sur votre ordinateur qui enregistre toutes les connexions FTP sortantes.

    Cela ne sert à rien de crypter des mots de passe qui sont envoyés en clair dans l’URL du serveur FTP.

    Tout logiciel FTP se connecte avec une URL du type :

    ftp://UTILISATEUR:MOTDEPASSE@serveurftp.tld

    C’est cet URL que les virus récupèrent pour ensuite pouvoir pirater le site.

    Si votre site a été piraté par le FTP, il faut formater complétement votre ordinateur et tout autre ordinateur ayant eu les codes FTP pour être sûr de ne plus avoir le virus. Puis modifier votre mot de passe FTP.

  • comment-avatar
    Evane 3 avril 2013 (11 h 31 min)

    Je viens juste d’être victime d’intrusions sur 4 de mes sites.
    Une question ?
    Si on saisie les divers éléments nécessaires à une connection à chaque fois que l’on souhaite faire une mise en ligne , cela évite t il ce pervers effet ?

  • comment-avatar
    OliOne 8 février 2013 (10 h 31 min)

    @JACK:
    1. Un PC n’est jamais bien protégé. LEs irus arrivvent plus vite que les mise-à-jour anti-virus. Pour savoir qu’un nouveau virus est sur le marché, il faut le détecter. Quand on le détecte, c’est qu’il est trop tard ^^
    2. Utilisateur d’Apple, deux de mes sites ont été piratés. C’était des sites wordpresse hebergés chez OVH. Client ftp: Cyberduck. Je n’ai jamais su résoudre le problème. J’ai juste fermé les site et changer mon hébergement (tjrs sur OVH). D’autres sites que j’héberge sur OVH , non wordpress, sont toujours ok. donc, je pense qu’il est possible que ça me venait de WordPress, mais je ne peux pas affirmer que ça ne vient pas de mon Mac.
    Si un Mac a moins de problèmes, ce n’est pas pour autant qu’il n’est pas infecté! Les virus et trojans à destination des PC peuvent transitter par les Mac. Donc, même sur Mac, il faut un antivirus fiable.

  • comment-avatar
    Jack 25 octobre 2012 (10 h 12 min)

    Bonjour,

    J’ai pas mal de sites qui sont infectés par un virus. J’ai beau changé mes codes ftp, ça recommence à chaque fois.
    Du coup j’ai changé mon disque dur, mais c’est trop tôt pour dire si ce sera suffisant.
    J’ai aussi arrêté d’utiliser le logiciel Filezilla, à cause du fait que cet utilitaire stocke en clair vos mots de passe dans le PC (il faut avouer quand même, qu’en faisant cela, il facilite le travail des hackers).
    Mais, même en utilisant Winscp ça a continué… sur un site récemment (en espérant que ça ne le fasse pas sur les autres sites…)
    Comme je ne suis pas borné, j’ai lu avec attention les remarques de certains d’entre vous qui disent en gros que Filezilla ou pas, c’est un PC bien protégé qu’il faut.

    D’où mes deux questions (et merci d’y répondre en dépassionnant le débat et en ne faisant pas de hors sujet) :

    1. Comment « bien protéger » son PC ? (avec quel anti-virus et est-ce vraiment suffisant). Pour ma part j’utilise Microsoft security essential.

    2. Question peut-être naïve là-dessus mais je la pose quand même : Pensez-vous qu’en achetant un Mac je serai mieux protégé contre le vol de mes codes FTP ? (puisque, a priori, à en croire les détenteurs de MAC, sur Apple il y a moins de Trojan).

    Encore une fois je n’ai plus aucun a priori, ayant tellement de sites infectés, ce que je veux c’est la vérité et l’efficacité. Je me fous de la gué-guerre Windows / Apple. Ce que je veux ce sont des réponses objectives, sans a priori, honnêtes et argumentées.

    Cordialement.
    Merci à tous.

  • comment-avatar
    esperlu 8 avril 2012 (9 h 48 min)

    Bonjour,
    Je confirme. FileZilla est un excellent client FTP _à condition de ne pas l’utiliser avec le protocole FTP_ ! Et ceci est vrai pour *tous* les clients FTP.

    Comme Monarobase et d’autres l’ont souligné: le protocole FTP n’est pas sécurisé et transmet en clair le login et mot de passe. Un simple renifleur de paquets les révélera. Très facile.

    Solutions:

    – utiliser SFTP (ssh) ou FTPS (certificat TLS) tous deux parfaitement supportés par FileZilla. Si votre hébergeur ne supporte pas ces protocoles et si vous attachez la moindre importance à la sécurité: changez d’hébergeur.

    – configurer FZ pour qu’il ne stocke pas ses login en local (irréaliste si on gère de multiples sites avec de bons mots de passe différents) ou…

    – configurer FZ pour qu’il stocke ses données de login sur une clé USB ou/et…

    – configurer FZ pour qu’il stocke ses données de login sur une partition cryptée On The Fly (OTFE) avec TrueCrypt par exemple.

  • comment-avatar
    Monarobase 2 mars 2012 (12 h 03 min)

    Bonjour,

    C’est la méthode d’authentification qui pose problème ici et non pas filezilla.

    Pour se connecter au FTP on se connecte avec une URL de type :

    ftp://USER:PASSWORD@ftp.domain.tld

    Si filezilla cryptait les mots de passe et n’est pas lui-même protégé par un mot de passe, il suffirait de lancer filezilla et de se connecter à un FTP en surveillant le réseau sortant pour récupérer les mots de passe.

    Si filezilla demandait un mot de passe pour accéder aux mots de passe cryptés alors ce serait une protection, mais je ne connais aucun logiciel FTP qui fait cela.

    Filezilla a une option qui permet de dire à filezilla de ne pas stocker le mot de passe et de demander le mot de passe à chaque connexion, c’est aussi une solution viable, mais qui n’empêchera pas le virus de récupérer le mot de passe lorsque vous vous connectez.

    De toute façon dans le cas présent le pirate n’a pas été chercher le mot de passe dans le logiciel FTP, mais a simplement installé un virus qui surveille toutes les connexions sortantes.

    Pour nous, la meilleure solution reste de choisir un système d’exploitation qui n’est pas autant ciblé par les virus pour se connecter aux FTP importants et de sauvegarder régulièrement les fichiers de ces sites.

  • comment-avatar
    1150R 1 mars 2012 (23 h 56 min)

    Je suis développeur de logiciel et j’affirme que stocker les mots de passe comme le fait FileZilla est une aberration, c’est même une faute de la part du concepteur. Il aurait pu passer quelques heures de plus à mettre au point un système infaillible. Comme il est écrit plus haut, chaque installation de FileZilla devrait générer sa propre clé de chiffrage, de cette manière seul votre FileZila installé sur votre PC peut décrypter le fichier contenant les mots de passe. Si on vous vole le fichier contenant les mots de passe il ne sera pas lisible par une autre install de FileZilla.

  • comment-avatar
    Clément BEAUFILS 16 mars 2011 (3 h 14 min)

    @beaucoup de gens
    Premièrement, si vous désirez paraître crédible, évitez les confusion entre les termes crypter, décrypter, chiffrer et déchiffrer.

    FTP c’est vraiment dépassé. Vous pestez contre le client FTP qui ne chiffre pas les mots de passe dans le fichier XML, mais le protocole FTP lui-même ne chiffre ni les mots-de-passe, ni les données qui transitent sur le réseau. C’est ça l’aberration. Comme le dit Monarobase, il est très probable que le malware ai plutôt extrait le mot de passe dans

    Commencez par utiliser le protocole FTPS (FTP over SSL) qui chiffrera les échanges (FileZilla le supporte très bien). Il est également possible de faire du SFTP (FTP over SSH, enfin… c’est même pas vraiment du http://FTP...), qui ne nécessite pas l’utilisation de certificat.

    Deuxièmement, arrêtez d’être bornés. Plusieurs personnes l’ont répété : il ne sert à rien de chiffrer les mots de passe. Tout simplement parce que même s’ils étaient chiffrés, ils seraient toujours accessibles. Une fois qu’une personne malveillante se serait procuré les fichiers contenant les mots-de-passe (chiffrés), elle n’aurait qu’à les déchiffrer.

    Même pour des logiciels à code fermé, un peu de reverse-engineering permet de trouver le système de chiffrage et la clé qui va avec.

    La première chose à faire, c’est de se protéger des malwares. Mais là encore, un antivirus ne suffit pas. Ça me fait rire quand vous balancez Spybot sous prétexte qu’il n’a rien détecté. Il est difficile de départager des logiciels anti-malware vu qu’ils font la même chose dans la plupart des cas.
    Il existe bon nombre d’outils pour offusquer des codes malveillants qui passeront à travers les mailles du filet de plusieurs « bon » antivirus. Il faut arrêter de truster les antivirus à fond. Nombre d’anti-virus sont eux-mêmes bourrés de failles. La sécurité antivirale est un échec ! (Big up à M. Stefan Leberre).

    Un moyen d’être plus sécure (mais jamais totalement, c’est ce qui rend tout ça si passionnant)… C’est de monitorer ce qui se passe sur son réseau, d’installer un firewall, même basique (là encore, il ne faut pas oublier que les firewalls peuvent être vulnérables). De tout restreindre par défaut puis d’autoriser au cas par cas, quand un programme demande une connexion, on réfléchit, et on choisit de donner ou non l’accès (avec possibilité de mémoriser le choix pour ne pas avoir à répéter tout le temps la même chose).

    Dans le doute. On choisit de ne PAS donner l’accès. Si on se rend compte que quelque chose ne fonctionne plus, on retourne dans les règles du firewall et on modifie ce qu’il faut.

    À bon entendeur :D

  • comment-avatar
    Monarobase 25 février 2011 (16 h 04 min)

    Ce n’est pas une faille. La plupart des virus récupèrent les mots de passe lors de la connexion au FTP et non pas dans le fichier de config FTP ! A partir du moment où le système est corrompu et qu’on utilise son accès FTP le mal est fait.

  • comment-avatar
    lechampenois 25 février 2011 (15 h 44 min)

    Bonjour
    je remercie fillezilla d’avoir les mots de passe en clair , ayant un soucis de papier j’ai pu les retrouver grâce a vous en expliquant la fameuse faille.
    comme quoi il vos mieux ne pas trop montrer aux novices ou ont peut retrouver les MP
    CDT

  • comment-avatar
    BoiteaWeb 12 novembre 2010 (14 h 34 min)

    « j’ai donc besoin d’un soft qui les gardent en mémoire mais de manière sécurisée. »
    Relis bien tous les commentaires et tu comprendras que même si le pass étaient hashés/cryptés/bidouillés/cachés/tout_ce_que_tu_veux_és cela ne sert à rien, puisque le vol du fichier contenant ce password hyper sécurisé suffirait à exploiter le FTP ciblé. Le pirate n’a PAS connaissance du mot de passe, il s’en fiche ! Il a le fichier de VOTRE config, il le remplace donc à la place du sien, cela est amplement suffisant… Capicce ?

  • comment-avatar
    Monarobase 12 novembre 2010 (13 h 34 min)

    Bonjour,

    Malheureusement généralement ce n’est pas dans le logiciel même que les pirates/virus vont chercher les mots de passe, mais au moment de la connexion, puisque tout logiciel de FTP envoie une commande de type :

    ftp://user:mot_de_passe@ftp.domaine.com

    Ce type de commande est facile à enregistrer dès lors que le pirate a déjà installé un virus sur votre ordinateur lui donnant accès à vos fichiers.

    Crypter les mots de passe de Filezilla ne serait pas efficace puisque celui-ci doit les décrypter afin d’établir la connexion donc devrait stocker la clef permettant le décryptage. Effectivement avec un système de type trousseau protégé par mot de passe (existant sur Linux et Mac OS, mais je n’en suis pas sûr pour Windows) cela vous permettrait d’avoir un mot de passe globale permettant de crypter les mots de passe de votre logiciel FTP.

    Le problème ici est que le pirate est entré dans votre ordinateur est voit tout ce que vous faites. À partir du moment où un pirate a un accès en lecture à votre disque dur, il n’y a aucune sécurité qui pourra l’arrêter.

  • comment-avatar
    greengiant 12 novembre 2010 (13 h 24 min)

    salut Éric,
    j’ai eu comme toi le même problème la semaine dernière.
    12 sites hackés en 2 heures. J’ai découvert à ce moment-là le problème des mots de passe non-cryptés stockés par Filezilla.
    Et OUI !!! pour moi il s’agit bien d’un problème de Filezilla que les codeurs du même logiciel refusent d’entendre.

    Eric ou moi même ne méritons pas des attaques spectaculaires, il s’agit d’attaques très simples réalisées en très grand nombre via des bots.
    Statistiquement Filezilla est le soft FTP le plus utilisé donc les attaques sont spécifiques et à la portée de n’importe quel pingouin…

    J’ai personnellement autre chose à faire que rentrer systématiquement mes mdp FTP à la main, j’ai donc besoin d’un soft qui les gardent en mémoire mais de manière sécurisée.
    C’est pas parce que je sais qu’un « pro » peut ouvrir ma voiture en 8 sec que je la ferme pas à clef.

    La question est quel client FTP utiliser, leechFTP, fireFTP, cuteFTP ??? moi je cherche encore.

    en tous cas merci Eric d’avoir partagé cette info concernant filezilla qui à mon avis va intéresser de nombreux adeptes du blogging qui l’utilise.

  • comment-avatar
    leechftp 6 novembre 2010 (0 h 22 min)

    Moi j’utilise encore se bon vieux leechftp au mois je ne suis pas la cible de virus et autres saloperie du même genre.

  • comment-avatar
    Se7h 18 octobre 2010 (21 h 13 min)

    Je viens de tilter à un truc… SFTP c’est du FTP avec un tunnel SSH, mais 1&1 n’accepte pas la connexion SSH via bash… Un peu con, non ?

  • comment-avatar
    Se7h 14 octobre 2010 (20 h 20 min)

    @Djodjo : Je suis d’accord avec toi, mais après tout dépend de l’hébergeur où tu es, moi pour mon site je n’ai pas de connexion SSH possible, par contre 1&1 me permet tout de même de me connecter en SFTP, c’est déjà pas mal :-°

  • comment-avatar
    Djodjo 14 octobre 2010 (11 h 38 min)

    Il faut laisser tomber FTP, c’est le protocole qui est intrinsequement pourri. Le proto actuel a été ecrit en 1985, et ca se ressent vachement au niveau du design. Les alternatives ne sont pas si nombreuses, mais beaucoup plus efficaces:
    – SSH (scp, rsync, ftp over ssh)
    – Webdav

  • comment-avatar
    Thomas 9 octobre 2010 (23 h 41 min)

    Éric a dit : « je remercie ceux qui ont pris la peine d’exprimer des opinions constructives et utiles. »

    Des opinions utiles pour toi tu veux dire, car tu as supprimé mes deux derniers postes, qui pourtant étaient les plus constructives que j’avais mis ^^

    Si tu es anti-Linux tu as le droit, mais ne prive pas tes lecteurs STP ;)
    Car comme tu l’as bien écrit, chacun a ses opinions :)

    Donc comme je le disais, sur le poste non publié, Monarobase à bien résumé les solutions possibles pour éviter de se faire pirater son serveur FTP, ainsi que d’éviter les virus.
    Et pour se qui est du changement d’OS, il ne faut pas avoir peur de tester une distribution Linux, choisissez Ubuntu pour une question de simplicité, car celle-ci permet d’être installé directement à partir de Windows, même si ce n’est pas la meilleur solution au point de vu optimisation, cela vous permet de faire les premier pas dans le monde de Linux sans perdre vos données.
    Ou une autre solution, si vous connaissez quelqu’un qui sait installé Linux, demandez le lui ;)

  • comment-avatar
    GW 104.100 5 octobre 2010 (13 h 47 min)

    RE,

    tiens au fait pour éviter de faire un article la version serveur de Filezilla stock en claire le passwd « admin » … ceux des utilisateurs (client) sont chiffrés !

    Bye

  • comment-avatar
    M 4 octobre 2010 (13 h 33 min)

    Déjà dit, mais je me permets d’insister.

    A partir du moment où un logiciel malveillant a obtenu un accès administrateur à ta machine, peu importe la sécurité que tu mets en place, peu importe ta façon de stocker tes mots de passe, tu es vulnérable.

    Je trouve donc que tu critiques très facilement FileZilla. Tous les logiciels ont la même faille (le décodage n’est pas très difficile s’il y a codage : regarde Windows Live Messenger par exemple), sauf ceux qui demandent un mot de passe maître (Firefox si tu le configures ainsi, KeePass). Ces derniers sont par contre sensibles aux keyloggers.

    Bref, ne jette pas l’opprobre sur FileZilla, tu peux chercher partout ailleurs, tu auras le même souci. La seule solution ? Faire avec. Évidemment, il faut se protéger au maximum : mises à jour de tous les logiciels, utilisation de protocoles réseau sécurisés (https, sftp, ftps), pare-feu efficace, antivirus à jour, navigation « intelligente »…

  • comment-avatar
    Monarobase 1 octobre 2010 (9 h 41 min)

    Il y a de fortes chances à ce que le virus ait récupéré votre mot de passe au moment de la connexion au serveur FTP et non pas directement dans le fichier XML de Filezilla.

    Pour éviter qu’une personne malveillante ne puisse récupérer vos identifiants depuis l’extérieur, pensez à activer le mode SSL (FTPS) ou encore mieux le mode SFTP (contactez votre hébergeur si vous n’avez pas les informations nécessaires). Cela protégera votre connexion des regards extérieurs, mais ne vous protègera pas contre un virus de l’intérieur.

    Malheureusement, il n’y a pas 36 solutions pour se protéger contre un virus à l’intérieur de votre machine :

    La solution la plus radicale est de changer de système d’exploitation pour en prendre un moins sujet aux attaques de ce genre (Linux ou Mac OS). Cette solution étant trop radicale pour beaucoup de gens (trop compliqué ou trop cher), la seule autre solution est un bon antivirus (Kaspersky, Bitdefender…) et un surf+utilisation intelligent (c’est-à-dire ne pas aller sur des sites douteux et ne pas ouvrir de fichiers dont vous ne connaissez pas la source [par exemple tout ce qui n’est pas obtenu légalement]).

  • comment-avatar
    Sapher 29 septembre 2010 (22 h 09 min)

    Investi dans un Kaspersky Internet Security avec sa je peux dire que je suis tranquille. Dans le tas faut bien en choisir un, peut être que c’est le meilleur ou non.

    C’est fou certaine attaque parfois, style « Un attaque venant de 0.0.0.0 à été intercepté » 2fois 3fois 4fois, on reboot sont modem pour être tranquille.

  • comment-avatar
    Ya-graphic 29 septembre 2010 (16 h 55 min)

    Il y a une différence entre le « hacker » et le « pirate ». Les objectifs ne sont pas les mêmes.

  • comment-avatar
    quesh 29 septembre 2010 (15 h 14 min)

    @Eric
    Taper « faille + n’importe quel nom de logiciel » donne une tonne de résultats. Seuls les résultats de spécialistes de la sécurité informatique doivent être pris en compte.

    N’importe quel spécialiste sait qu’il ne faut pas mettre à jours son site par FTP ou HTTP, ce n’est pas sécurisé. Puis, mot de passe en clair ou pas, il ne faut pas le stocker sur son ordinateur. C’est même pas un conseil, c’est une évidence.

    Et il faut absolument utiliser du SFTP, FTPS ou HTTPS ou n’importe quel autre moyen de connexion sécurisé.

    J’aime bien ton blog et la domotique en général et le fait de te faire « cambrioler » ton blog trouble ton jugement. Désolé mais ce n’est pas ton domaine la sécu informatique, tu devrais le reconnaitre et passer à autre chose plutôt que de simplifier les commentaires en opensource vs windows.

  • comment-avatar
    Eric 29 septembre 2010 (8 h 27 min)

    [Edit du 29/09 publié en fin d’article : Je constate malheureusement qu’une nouvelle fois un blog et un billet traitant d’un logiciel open source et de Windows entraînent des commentaires hors de propos. Un blog et ses commentaires permettent des discussions où normalement la courtoisie est la règle. J’invite donc mes lecteurs à prendre part à cet échange avec des commentaires utiles à tous. Dans le cas contraire, je serai contraint de fermer les commentaires de ce billet. Je propose aux lecteurs animant leur propre blog de publier un article sur le sujet, je me ferais un plaisir de relier leur lien pour élargir la discussion. Vous trouverez aussi de nombreuses publications dans des forums et des blogs sur cette faille de sécurité de FileZilla sur les deux premières pages de Google, laissant à chacun la liberté de se forger son opinion. Je vous souhaite une bonne lecture de ses nombreux commentaires et je remercie ceux qui ont pris la peine d’exprimer des opinions constructives et utiles.]

  • comment-avatar
    F.Raphael 29 septembre 2010 (2 h 01 min)

    J’ai eu la même mésaventure avec un trojan venu s’installé a cause d’une faille dans Java.

    Les mots de passe enregistré dans Filezilla ont tous été volés mais aucun de ceux dans Dreamweaver ;)

    Donc ok, aucun mot de passe enregistré n’est inviolable, mais le problème est connu et visiblement pas prêt d’être résolu.

  • comment-avatar
    LunixA380 28 septembre 2010 (20 h 07 min)

    J’ai anti-RT le truc là.
    C’est quand même vachement désolant comme article, parce que FileZilla n’est pas du tout coupable de ça…d’ailleurs, souvent, le mot de passe n’est même pas chiffré lors du transfert dans les serveurs, tout comme pour un site où l’on se connecte en HTTP (sans le S, avec c’est bon, idem (genre FTPS)), de ce fait, c’est de la connerie en branche là. Je dois rappeler (pour les gens qui ne sont pas au courant) que, si vous avez le malheur d’ouvrir Wireshark (un analyseur de paquets) et de faire une connexion FTP, vous avez le mot de passe devant vos yeux en clair et après on va critiquer le client pour stocker un mot de passe sur le client ? La pure folie !
    J’ai cru que c’était d’ailleurs ça la faille en question lors ce que j’ai vu ce tweet sur Twitter et pour moi rappeler que les mots de passes sont trop souvent transférés en clair est quelque chose de logique et positif pour moi, car c’est la vérité et que peut de gens sont au courant. Le cheval de Troie aurais très bien pu surveiller le port 21, quel qu’en soit le client, et voir l’instruction PASS du protocole FTP (c’est pas trop difficile je pense, certes plus que de copier un fichier), une fois qu’il y a un cheval de Troie, c’est pas la peine d’accuser le logiciel qui est attaqué par le cheval de Troie (dans le cas d’un virus, tout les logiciels sont attaqués, vas-t-on boycotter tout les logiciels ?) mais plutôt le logiciel qui a mis l’attaque dans le coin et n’importe quel dévello de FireZilla pourra y faire quoi que ce soit, ça sera qu’un écran de fumée, histoire de retarder la tâche des pirates. Autant passer par la fameuse commande FTP en console.

    Quand à l’autre qui dis que Windows c’est pas sécurisé, faut arrêter le troll à fond, oui Linux est plus performant que Windows en sécurité, mais la principale cause c’est pas la protection de l’OS, c’est l’interface chaise clavier aussi, t’aura beau foutre tout les sudo du monde et les plus grand firewall, quand on demande si on doit autoriser ou refuser une opération, si l’utilisateur clique sur autoriser, c’est pour sa gueule si il prend le virus. C’est pour ça que j’ai laissé le pare-feu windows sur les postes de la famille par exemple, parce que quand il y a un danger, ils savent pas le reconnaître, à quoi ça sert donc de leurs demander pour soit avoir tout le temps à oui, soit tout le temps à non ? C’est pas aussi simple que la conduite, où il faut respecter des règles qu’on t’as appris pour ne pas mourir. Là, c’est comme si on demandais de conduire sans permis et sans connaître véritablement le code de la route.

    Voilà, fallait que ça sorte.

  • comment-avatar
    BoiteaWeb 28 septembre 2010 (19 h 55 min)

    @Se7h:Attaquer vulgairement est bas ;)

  • comment-avatar
    Se7h 28 septembre 2010 (19 h 53 min)

    En tout cas Éric Blaireau, heu Boisseau, aura réussi son petit coup de buzz d’un instant… Ou pas :p

  • comment-avatar
    BoiteaWeb 28 septembre 2010 (7 h 43 min)

    Et ce billet est encore retwitté, ça me désole là :/
    « Pourquoi vous devez absolument désinstaller FileZilla : http://mi-ni.me/14f – A lire absolument si vous l’utilisez. »
    :( Voilà ce que ça donne, les gens RT sans même lire le post ni les commentaires c’est pas croyable.

  • comment-avatar
    GW 104.100 28 septembre 2010 (0 h 59 min)

    Salut,

    j’avais déjà constaté ce problème de stockage de donnée en clair de filezilla … mais bon.

    Donc pour faire court et ne pas répéter ce qui c’est déjà dit :

    Chacun fait comme il veut (moi je garde filezilla malgré tout) après il faut être prudent et de la prudence je crois que tu la négligé au commencement par ton utilisation du soit disant AV de M$ ! et suivant tes activités de scanner régulièrement ton PC en mode sans échec par ton anti-virus, moi c’est une fois par semaine!

    Il existe des AV gratuits très efficace …

    après je me sert de filezilla en version portable sur une clé USB crypté (AES 256 bit) même en cas de perte, Walou! ceci dit 90% du temps elle chez moi.

    Je pense que les gens ne prennent pas suffisamment en considération la sécurité informatique, que ce soit pour paswd et même les noms « utilisateur », j’en veux pour preuve le trop commun « admin, root » est déjà une faille en soi … si je peux m’exprimer ainsi.

    sur ce … @+

  • comment-avatar
    Julien 27 septembre 2010 (23 h 52 min)

    Bonsoir

    Premièrement, tu ne devrais pas enregistrer tes mots de passe, c’est une mauvaise pratique. Deuxièmement, tu es sous Windows, tu te prends des virus, des inconnus peuvent aller farfouiller dans les fichiers présents sur ton disque dur et ça, ça n’a rien à voir avec Filezilla. Le désinstaller soit-disant pour résoudre ton problème, c’est comme vouloir soigner un cancer avec de l’aspirine, c’est complètement à côté de la plaque. Ce n’est vraiment pas sympa de cracher sur un logiciel libre alors que tu devrais uniquement t’en prendre à toi-même. Si tu étais sous Linux, le virus n’aurait pas eu le droit de s’exécuter (sauf si tu faisais tout en mode superutilisateur) et au pire, comme il aurait été compilé pour Windows, il n’aurait pas su s’exécuter sous Linux. Cordialement

  • comment-avatar
    BoiteaWeb 27 septembre 2010 (22 h 57 min)

    @CHOKO : N’as tu pas lu les commentaires ?

  • comment-avatar
    CHOKO 27 septembre 2010 (22 h 41 min)

    C’est une grande faille, comment on peut le savoir ??

  • comment-avatar
    Se7h 27 septembre 2010 (20 h 49 min)

    @Mox : Vu que tu utilises Mandriva tu n’as normalement aucun risque, car le trojan qu’Éric a eu à été écrit pour être exécuté sur Windows.
    Tout trojan qui voudrait faire de même sous Linux doit pouvoir se rendre exécutable, car un fichier sous Linux n’est pas exécutable par défaut.

  • comment-avatar
    Eric 27 septembre 2010 (19 h 16 min)

    @Mox les intrus sont désignés sous les noms de Trojan.SuspectCRC!IK et Backdoor.Win32.Poison.bwyr!A2 (connu de MS mais non détecté !) . Mais si tu es sous Linux, tu ne risques rien, non ?
    @BoiteaWeb Ce genre de mésaventure permet de se rendre compte que cela n’arrive pas qu’aux autres donc un peu de sécurité sur mon blog ne fera pas de mal dans les prochains jours. Je suis reparti d’une sauvegarde à priori saine. Je prends note de vos conseils. Merci

  • comment-avatar
    BoiteaWeb 27 septembre 2010 (14 h 28 min)

    Attention aussi, maintenant que vous avez été infecté et touché, il est possible qu’une backdoor (ficheir ou script permettant de prendre/garder un accès sur des données/un site) se trouve dans un des dossiers VOIRE dans un des fichiers de votre site. Il va falloir auditer bien évidemment le contenu du site. (Comme par hasard c’est mon métier tiens.)
    Aussi et encore, je vous conseille de modifier le login de votre accès admin car il est trop simple (Ce n’est pas « admin » c’est déjà bien mais celui en cours actuellement est trop simple tout de même).
    A bon entendeur.

  • comment-avatar
    Leg'Z 27 septembre 2010 (14 h 03 min)

    Mon cher Éric, j’ose imaginer que ce billet est loin d’être un billet sponsirisé, mais pourquoi en donner le ton ?
    On se croirait dans une mauvaise pub pro-antivirus et anti Filezilla, c’est navrant…

  • comment-avatar
    Steuf 27 septembre 2010 (9 h 05 min)

    @Eric Le problème étant en fait que dans ton article (même si ce n’est pas le but je pense) parle beaucoup plus de Filezilla plutôt que de raconter ton aventure malheureuse, en fait tu apporte un jugement sur un logiciel plutôt que de laisser les lecteurs juges au vu de ton histoires ;)

    Comme je l’ai soulevé et d’autres, avec un Firewall tu n’aurais pas eu cette mésaventure.

    Pour appuyer le désintérêt du cryptage des MDP par filezilla il faut comprendre un concept simple en cryptologie: Tout cryptage est cassable, car d’un façon ou d’une autre il est possible de décrypter les données.

    Pour juger de l’inutilité, jugez par vous même l’utilité des DRM sur les CD/DVD, qui embêtent plus les utilisateurs que les pirates…

  • comment-avatar
    Damien Ravé 27 septembre 2010 (8 h 43 min)

    Bonjour,
    Je n’en rajoute pas sur le débat trollesque, mais sache que j’ai vécu la même mésaventure il y a un an et quelques.
    Pour ceux qui ont un serveur dédié ou virtuel privé, le problème a été réglé non seulement en protégeant mon PC (antivirus) mais en sécurisant le Ftp côté serveur. J’ai mis en place un firewall qui exclut toutes les ip sur le port 21, sauf celles que moi ou mes collègues utilisons pour uploader des fichiers. Le hacker polonais a beau avoir les codes, il ne peut pas se connecter. Radical.
    Détails : http://bit.ly/atUQFm

  • comment-avatar
    quesh 27 septembre 2010 (8 h 11 min)

    La faille est bien au niveau de l’os et pas au niveau du logiciel de ftp. Avec n’importe quel autre logiciel ftp et le même système d’exploitation, tu auras le même résultat.

    Avec le mot de passe en clair ou non dans un fichier.

  • comment-avatar
    Mox 27 septembre 2010 (8 h 01 min)

    Salut tout l’monde.
    Quel est le nom de ce trojan et de ce backdoor ?
    J’utilise Mandriva Linux et je me demandais si ce problème précis aurait pu m’arriver ? Parcequ’au niveau antivirus je suis un peu (complètement) largué mais mon firewall et tout de même bien paramètré.

    Je n’utilise pas wordpress mais j’ai tout de même un paquet de mots passe enregistrés.
    Merci à vous. Bonne journée

  • comment-avatar
    Eric 27 septembre 2010 (7 h 54 min)

    @LePs Je n’utilise aucunement deux anti-virus sur le même PC. Les différents anti-virus ont été utilisés successivement suite à ma suspicion d’infection, pour trouver les intrus.
    Comme vous le dites en sécurité informatique rien n’est sûr, les plus grosses firmes se font aussi hacker, toutes proportions gardées. L’ennui avec une attaque informatique, c’est que l’on se rend compte de celle-ci si elle a des effets de bord. Sans une attaque de mon blog via FTP je n’aurais pas cherché à détecter les intrus. L’autre point concerne les systèmes de protection, chacun prône pour sa paroisse, il suffit de lire les réactions ci-dessous. Il n’y pas de règles universelles selon les usages et la situation.
    Dans ce billet, j’invite à la vigilance sur nos comportements et sur les usages des logiciels, ainsi qu’à la correction quand nous subissons une attaque.

  • comment-avatar
    BoiteaWeb 27 septembre 2010 (7 h 39 min)

    HS : Pour ce qui est des URLs raccourcies sur twitter, je suis sur un « truc », je vous tiens au jus (follow me sur twitter)

  • comment-avatar
    LePs 27 septembre 2010 (7 h 12 min)

    Vous parlez de sécurité et en aucun cas vous parlez de pare-feu qui est tout aussi préférable à un antivirus et pour rappel on utilise qu’un antivirus sur une machine et pas « des » comme tu l’indiques. Les pare-feux de Windows sont à éviter.

    Je suis utilisateur de Windows, et je n’utilise qu’un pare-feu où j’ai créé mes propres règles, je filtre tout ce qui entre et sort, j’utilise deux logiciels de défenses proactive et tout s’exécute dans un bac à sable tout cela tourne depuis 8 ans avec site hébergé à domicile sans aucun problème et je visite toute sorte de site sans aucune restriction, résultat je n’ai jamais subi le quelconque piratage et ne je ne ralentis pas mon Windows avec des antivirus et autres anti-spywares à la noix qui sont le talon d’Achille de la sécurité informatique il suffit de se renseigner.

    En sécurité informatique rien n’est sûr et si des pirates arrivent à pirater les serveurs de la défense américaines croyez bien qu’ils n’auraient aucun mal à pirater votre site, le mien, votre hébergeur ou que sais-je encore.

  • comment-avatar
    Se7h 27 septembre 2010 (1 h 01 min)

    @Eric : C’est moi ou tu n’as pas compris qu’on trouvait tes reproches sur FileZilla totalement à coter de la plaque ?
    Le gros soucis est surtout le titre, car avec un titre plus vague et qui ne pointerait pas FileZilla aurait suffit à rendre ton bille plus crédible ^^

  • comment-avatar
    Eric 27 septembre 2010 (0 h 51 min)

    @Yacodo J’ai bien noté le coté taquin de votre réponse, aucun soucis. Si j’ai écris ce billet c’est bien pour les raisons que vous évoquez notamment pour alerter mes lecteurs sur les boulettes que nous pouvons tous commettre en matière de sécurité informatique, j’en suis un bel exemple sur ce cas là. Et aussi pour « rassurer » mes visiteurs qui sont passés par là pendant ces « tristes » heures.
    A lire vos commentaires, j’en déduis que vous œuvrez autour de FileZilla, je n’ai toujours utilisé que se sot Ftp et j’avoue être déçu qu’il n’y ai pas un brin de sécurité autour des mots de passe
    Quant à votre parenthèse sur les liens de Twitter, il est clair qu’avec les URL raccourcies c’est la porte à toutes les attaques. Mon billet aura au moins le mérite de rappeler qu’il faut veiller à être à jour sur son OS et ses anti-virus. Ce qui me rassure c’est que Google veille correctement sur le web aussi. Dans ma mésaventure j’ai été agréablement surpris de cela. Merci pour vos retours.

  • comment-avatar
    Pierrick Le Gall 27 septembre 2010 (0 h 42 min)

    Je suis un peu sidéré de lire ce billet. Mettre en cause FileZilla parce qu’il stocke les mots de passe en clair, cela signifie que l’on ne comprend pas le fonctionnement de l’identification FTP.

    C’est un peu comme si tu disais que la mémoire humaine est stupide car elle se souvient du code de la carte bleue : le jour où une personne arrive à te faire parler (une fois « drogué » ou abusé ou menacé) alors tu vas dire que de se souvenir de son code était stupide ?

    Je vois bien que tu modères tes propos suite aux nombreux commentaires, mais il faudrait prendre conscience de l’absurdité du titre de ce billet et le changer.

    Ce qui serait encore plus grave, ce serait que FileZilla stocke les mots de passe encodés en base64 (qui n’est pas un cryptage, mais un encodage de base) dans un fichier binaire. Cela laisserai croire à l’utilisateur que son mot de passe est protégé alors qu’il n’en serait rien et que n’importe quel pirate saurait que ton mot de passe n’est pas du tout protégé.

  • comment-avatar
    Eric 27 septembre 2010 (0 h 34 min)

    @stephane L’ennui avec les anti-virus, c’est que d’un test à l’autre les classements d’efficacité sont très différents, sans parler de l’éternel bataille des gratuits contre les payants. Un ami administrateur réseau dans une entreprise me parlait de ses déboires avec Kaspersky… souvent réputé comme un des meilleurs, alors à qui faire confiance ? Et comme on s’en rend compte qu’en cas de problème…
    Je pense tout comme toi que le minium de sécurité d’un logiciel Ftp n’est pas d’afficher en clair dans un fichier XML des mots de passe et qu’un minimum de crytage serait le bienvenu.

    @Fanou: à lire certains commentaires, je ne serai même pas serein avec mes mots de passe stockés et encryptés… L’ennui d’utiliser Keepass, que je ne connais absolument pas, c’est comment gérer mes accès depuis un autre pc ? ou l’iPhone ou l’iPad par exemple ? tout du moins s’il n’est pas multiplate-forme et/ou online. Et encore cela ne resoudrait peut être pas tout en cas de vol de ses appareils. La multiplication des comptes en ligne et des appareils imposent un manque de sécurité ou une mémoire d’éléphant ou de futurs systèmes d’empreintes digitales ou rétiniennes … Merci de la suggestion, je vais regarder tout de même.

  • comment-avatar
    Yacodo 27 septembre 2010 (0 h 31 min)

    @Eric Je suis bien anti-Windows, qui est un facteur du piratage, mais pour le pro-open-source par vraiment, il arrive que du propriétaire soit plus que correct. Ma réponse était surtout taquine, même si assez motivé par l’irritation qu’ont provoqué les quelques pics listés par @BoiteaWeb. Il est rare que je prenne le temps de commenter des articles et encore moins de suivre les commentaires.
    Mais l’analyse m’a plutôt séduite, faute avoué faute à moitié pardonné j’ai gardé un ton assez fort mais avec de la retenue et j’ai volontairement épargné le côté faille « interface chaise-clavier » car reconnu durant le billet.

    La question de la sécurité en fin de commentaire n’était qu’une blague, la sécurité de FileZilla remise en question plus que gratuitement c’était une sorte de remboursement, d’ailleurs vous n’avez pas l’air de l’avoir mal pris. On peut se poser la question, mais votre première réaction (couper le site!) à été la bonne. La sécurité est l’affaire de tout le monde, dans tout les domaines, et des gens passent leurs temps à sensibiliser pour que d’autres personnes aient les bonnes réactions.

    Admettons que nous proposions un patch pour la sécurité, j’en ai proposé un du même niveau que celui de @Stephane mais elle resteront cassable, pas facilement. Une autre solution (stupide) proposé ici serait de demander la clé de cryptage au démarrage : mais elle serait logé facilement.
    Beaucoup de personnes ont du ce soucier avant toi de la sécurité du mot de passe en clair : surtout pour Firefox ! Mais si il en sont arrivé là, c’est qu’aucun moyen ne permet de garantir la sécurité quand il y a cryptage/décryptage d’informations. Remettre en question leurs intelligences serait une erreur et c’est la où je veut en venir à la seconde partie de mon commentaire.

    Je vais finir pour ce soir avec le deuxième worm twitter d’aujourd’hui. Pour en être victime il faut visiter le lien, malheureusement il nous a habituer à suivre des liens à l’aveuglette et ses failles n’arrange rien ! La question n’est pas de savoir si ce qu’on utilise est sécurisé, mais si nos utilisations le sont et c’est surtout ce point que j’ai tenté de faire passer – par la réflexion – sur mon commentaire.

  • comment-avatar
    Fanou 27 septembre 2010 (0 h 08 min)

    Les constructions mentales pour un mot de passe…
    Pourquoi pas. Mais j’ose penser que tu dois en gérer au moins une 50aine (FTPs, mails, réseaux sociaux, forum, etc…).

    Keepass est un logiciel qui stock tes mots de passe, et bien sûr les cryptes…
    Chaque fois que tu lanceras le logiciel il te demandera une clé de décryptage (plus simplement le super mot de passe « root »).

    Après cela, tu auras la sécurité d’avoir des mots de passe trèèès compliqué (généré par le logiciel) et sauvegarder par ses soins.

    Un conseil : essaye-le !

  • comment-avatar
    BoiteaWeb 27 septembre 2010 (0 h 05 min)

    Permalink du post : « mon-blog-attaqué-grâce-à-des-mots-de-passe-en-clair-dans-filezilla »
    FAUX, attaqué grâce à 2 virus installés depuis 10 jours et à la négligence de sécurité sous Windows.
    Comme il a été dit, le virus aurait pu voler ton cookie de session admin sur ton blog. Aurais-tu pesté contre FireFox ?

  • comment-avatar
    Eric 27 septembre 2010 (0 h 00 min)

    @Yacodo : je me doutais bien en redigeant ce billet que je m’attirerai les foudres des anti-Windows et pro open source. Je relate ici simplement deux négligences : la 1ère contre mon comportement et la seconde contre Filezilla. Je vous concède un titre que vous pouvez qualifier de vendeur, je préférerais utiliser « discuteur » car ce billet permet de nombreux échanges instructifs et c’est ce que j’aime dans un blog, encore plus quand c’est le mien. Quand j’ai commencé à écrire ce billet, je me demandais si effectivement des lecteurs ne se poseraient pas la question de leur sécurité en visitant ce blog, mais j’ai préférai jouer la transparence sur mes logiciels et aussi sur mes usages. Vous noterez que je parle dans mon billet de ma colère contre moi-même.
    @fanou : je note pour les AV. Il est clair que mon nouvel anti-malware va scanner régulièrement. Pour les mots de passe, je n’ai aucune confiance dans une solution de stockage, je préfère des moyens de constructions mentales, un peu tordu histoire que … et puis ça fait travailler la mémoire ;)
    @steuf : Si j’avais voulu parler que de FileZilla, je n’aurais pas évoqué les autres points de ce billet : AV, anti-malware, Windows et moi-même.

  • comment-avatar
    Stéphane 26 septembre 2010 (23 h 54 min)

    J’ai du mal à comprendre comment on peut trouver ça normal qu’un logiciel FTP stocke ses mots de passe en clair.

    Évidemment, utiliser des logiciels de sécurisation (joke) aussi minable que celui de MS, couplé à Avast et un anti-spyware douteux est l’erreur principale.

    Cependant, il est tellement enfantin de coder un exécutable indétectable qui upload un fichier local sur un serveur distant que le terme de « faille » ne me semble pas si loin de la réalité que ça.

    Quand vous dites que « crypter » le fichier ne servirait à rien puisqu’il suffirait de remplacer le fichier crypté volé par son propre fichier local, je dis non !
    Il existe des méthodes de cryptage bien plus évoluées que ça, certes brisables, mais qui sont capables de générer des clefs uniques pour chaque installation du logiciel.

    On est d’accord sur le fait qu’un système de cryptage n’est jamais infaillible, mais de là mettre en clair les mots de passe dans un petit fichier…. il ne faut pas abuser.

    Quant à « l’interception des mots de passe lors de la connexion », il y a un fossé d’écart entre un trojan sniffeur de réseau et un petit backdoor qui upload un fichier non protégé. Si le trojan avait été un sniffeur, sa suite de logiciels antivirus, aussi lamentable soit-elle, l’aurait très probablement détecté.

  • comment-avatar
    Se7h 26 septembre 2010 (23 h 51 min)

    Crypté ou non cela aurait été pareil de toute manière, car comme l’a expliqué BoiteaWeb, il suffit de copier les préférences du logiciels pour les réutiliser avec ce même logiciel pour avoir accès au http://FTP...
    Comme d’hab’ c’est Windows et la liaison chaise clavier la source de cette faille…

  • comment-avatar
    Fanou 26 septembre 2010 (23 h 48 min)

    Tiens… pour FTP Expert !
    (tout comme pour Cute PDF).

    En effet, ils ne stockent pas les mots de passe en clair… ils les convertissent (très simplement) :

    http://www.zmaster.fr/informatique_article_173.html

    N’importe quel pirate ou programme malveillant saura donc trouver tes mots de passe.

  • comment-avatar
    Se7h 26 septembre 2010 (23 h 46 min)

    Faute à Windows point final, sérieux… Ainsi qu’à la grande négligence de l’utilisateur…

  • comment-avatar
    BoiteaWeb 26 septembre 2010 (23 h 37 min)

    @eric : Remplace aussi firefox qui stocke les mots de passes en clair, supprime aussi tous les autres logiciels qui stockent les mots de passe (en clair ou crypté ou hashé).
    Ce que je regrette dans ton post c’est :
    « énorme faille de sécurité de ce client FTP open-source, pourtant mondialement connu »
    « énorme boulette des concepteurs »
    « [mon] ordinateur ne disposant pas de toute les mises à jour de Windows 7 »
    « je me suis rendu compte en effet que depuis quelques temps, par négligence, je n’avais pas effectué les dernières mises à jour fournies par Microsoft. »
    « Depuis cet incident […] j’ai ajouté des scans réguliers par A-Squared Free »
    « Depuis cet incident […] j’ai effectué toutes les mises à jour de Windows 7 »
    « ne jamais utiliser le client FTP Filezilla »
    Dommage.

  • comment-avatar
    Eric 26 septembre 2010 (23 h 32 min)

    Merci à tous pour vos retours. Bien évidement la cause de ce piratage n’ai pas uniquement des mots de passe en clair, elle provient aussi de deux virus et de ma négligence comme je l’évoque dans mon billet. Je partage donc la colère entre Filezilla et moi-même.
    J’utilise l’anti-virus Microsoft Security Essential et j’avais Spybot qui visiblement n’ont su détecter les intrus en temps réel ou lors de scans hebdos. D’ailleurs Avast installé plus tard n’a rien trouvé au scan, seul a-squared a débusqué les intrus. L’ennui avec les AV, c’est que l’on ne connait leur efficacité ou non, que lorsque que l’on a besoin… et certains fonctionnent dans un contexte et d’autres dans un autre.
    @stef : je test FTP expert mais est-il plus fiable ?
    @hygrog3n : je ne connais pas la source des deux virus. Est-il d’ailleurs possible de le savoir ?
    @Nico : oui c’était une solution que j’envisageais, mais je n’avais pas envie de ressaisir mes mdp ou de les laisser en clair sur mon disque dur.
    @wolforg et boiteaweb : le problème n’est pas dû uniquement à Filezilla, puisque je l’ai utilisé pendant des années sans pb. Mais c’est comme avec ma carte bancaire, se faire voler son portefeuille avec le code écrit sur un post-it c’est pire que sans le code, j’ai donc viré le post-it coller à mon insus, en l’occurrence Filezilla. Quant à mes protections, j’ai remplacé Spybot par A-Squared et je conserve l’AV de Microsoft, ce couple là m’aurait évité un squatte de 10 jours par ces deux virus.

    Effectivement plus de stockage de mot de passe quelque soit le client Ftp, mais je reste sceptique sur le choix de stocker des mots de passe en clair dans un fichier XML…

  • comment-avatar
    Steuf 26 septembre 2010 (23 h 24 min)

    Je suis tombé sur cet article qui a été RT sur Tweeter…

    Que d’amalgames et de conclusions hâtives… Le fait que Filezilla stocke en clair les mots de passe que vous lui demander d’enregistrer n’est pas une faille ni un problème de conception. Si vous lui demandez de sauvegarder des mots de passes, même s’il les cryptait il doit pouvoir les décrypter à un moment pour les envoyer au serveur. Le problème resterait entier : Si un pirate accède à ce fichier il sera capable de le lire.

    Vous savez, le trojan aurait très bien pu voler vos cookies de avec vos accès de reconnexion automatique sur certains sites, voir voler vos sessions avec des applications mal protégées. Si vous enregistrez vos mots de passe sur Firefox il aurait très bien pu aussi, car oui Firefox les stocke aussi en clair ! C’est même un jeu d’enfant de récupérer les mots de passes stockés dans Firefox.

    La vrai faille dans cette histoire est malheureusement (comme souvent et sans être péjoratif) entre la chaise et le bureau, sur les points suivant :

    – Avoir été sur un site malheureusement infecté (Pas eu d’avertissement ? Site peu recommandable ?)
    – N’avoir pas tenu à jour son PC
    – Ne pas avoir à priori de Firewall correctement configuré (Le logiciel à bien du communiqué via un port, ce qu’un firewall aurait forcément vu et vous aurez demandé d’autoriser tel programme ou nom à dialoguer avec l’extérieur sur un port précis)
    – Et surtout d’avoir enregistrer des mots de passe sur son ordinateur. Ce qu’on ne doit pas faire (mais que l’on fait souvent malheureusement) pour protéger des données par MDP.

    Ce sont surtout une accumulation d’erreurs humaines qui ont amenées l’attaques et non une faille de Filezilla.

    Mais j’en convient il est toujours plus facile de mettre en cause un logiciel plutôt que nous même ;)

  • comment-avatar
    Se7h 26 septembre 2010 (23 h 23 min)

    C’est honteux de dire que Filezilla ait une énorme faille, alors que tu dis belle et bien que ton PC était infecté, le problème était bien là, car Filezilla est loin d’être le seul logiciel à sauvegarder les mots de passe en clair.
    D’ailleurs l’option « sauvegarder les mots de passe » est à utiliser avec modération, sur un navigateur web tout dépend du site et du mot de passe utilisé, mais sur Filezilla il ne faudrait jamais l’utiliser… À part peut-être sur un petit FTP perso qui n’a pas de réel importance, et encore…

    Je fini avec un petit troll (mais qui est pourtant tellement vrais), la grosse faille était plus Windows (comme d’hab) que Filezilla ;-)

  • comment-avatar
    Fanou 26 septembre 2010 (23 h 20 min)

    Je viens de lire ta mésaventure… pas de bol… vraiment pas de bol !

    Maintenant, comme cela a déjà été dit : Filezilla n’a pas de faille… et j’imagine que tous les clients FTP stockent leur donnés en clair (ou ils devraient te demander la clé de cryptage à chaque lancement).

    Niveau antivirus, je te conseillerai Kaspersky ou Nod32 (ESET)
    Si tu as une machine assez puissante, alors tu peux te permettre de pendre Kaspersky (plus précisément KIS : Kaspersky Internet Security – Antivirus + Firewall).

    Nod32 lui, est presque aussi bon que Kaspersky, mais beaucoup plus léger ! Par expérience j’ai remarqué que Nod donnait un peu plus de faux positifs… m’enfin rien de bien méchant. C’est d’ailleurs Nod32 que j’utilise (ESET Smart Security : Antivirus + Firewall).

    Peut-être aussi as-tu fais l’erreur de désactiver les boites de dialogue de Windows 7.
    Lorsque je me suis mis dessus (et par mauvaise expérience sur Vista), j’ai désactiver ces boites de dialogues… j’ai du un jour tout réinstaller.
    Sachant que ces messages sont moins présents que sur Vista, autant les conserver.

    Sinon, si tu tiens à avoir le fichier xml de Filezilla vide de tous mots de passe, tu peux faire comme te l’as proposé Nico.
    Quant à tes mots de passe tu les stockes dans KeePass (logiciel de gestion de mots de passe).

    Une dernière chose, un p’tit scan de temps en temps avec Malwarebytes Anti-Malware en plus de ton antivirus ne sera pas de trop.

    Bonne chance pour la suite ;-)

  • comment-avatar
    Yacodo 26 septembre 2010 (23 h 15 min)

    Je me demande à la lecture de ce billet si vous tentez de lancer une certaine propagande pour les logiciels non open-source.
    Arrêtez-vous pour pensez un instant. Code ouvert signifie que n’importe qu’elle personne peut lire le code et ainsi comprendre son fonctionnement. Or, si on en comprends le fonctionnement à quoi servirai un cryptage ?
    Une solution afin de boucher ce que vous qualifier de « faille tout pariel comme la première de Twitter » serait de compiler (et non ! proposer ! ce qui impliquerai un nouveau stockage en clair) FileZilla avec une clé qui permettrait de crypter les mots de passe avec une sécurité déjà plus basique. Mais je ne suis pas sur que n’importe qu’elle blogueur sache compiler.
    Second point, une faille de sécurité dans un logiciel open-source mondialement utilisé, c’est quasiment inexistant, mais ça existe – Tiens on cause WordPress, j’en ai vu souvent sur celui-ci avant la démocratisation des blogs, et il doit en rester -, mais il ne faut pas confondre sécurité et stockage. Pour se souvenir de vos mots de passe en tenant compte du premier point, il faut donc les mettre dans un fichier, et finalement en clair.
    Troisième point, le champion Windows, quand on veut de la sécurité on n’utilise déjà pas ce dernier. Je n’ai rien contre cet OS, si on fait abstraction de la facilité que l’on peut avoir à rencontrer des virus et autres bordels numériques ainsi que l’effet Big Brother que l’on assigne à Microsoft (De mon point de vue, Google c’est limite de la rigolade à côté).
    Je rejoins votre avis sur le titre qui est dans la lignée des blogueurs : juste vendeur. Le reste malgré que l’analyse et l’argumentation soit tout à votre honneur donne l’impression suivante : si on me fourni quelque chose, celui-ci doit être infaillible, sinon je le vire (Et Facebook dans l’histoire ? La vie privée reçoit le même traitement que vos mots de passe).

    Je découvre votre blog à l’instant, et je dois vous dire que ses sujets m’intéresse, mais je me pose la question suivante : quid de ma sécurité en cas de nouvelle attaque ? Je pousse un peu, certes, mais si on commence en remettre en question nos logiciels, et pas nos utilisations de ces derniers on risquent de se rendre compte que beaucoup d’entre eux stockent des informations en clair.

    Excusez-moi pour ce commentaire irrité, je crois que vous m’avez transmis la votre.

  • comment-avatar
    Hydrog3n 26 septembre 2010 (22 h 06 min)

    Je vois :/ il faut donc trouver un anti virus qui est fiable skybot on oublis
    Éric tu utilisé quel anti virus ?

  • comment-avatar
    BoiteaWeb 26 septembre 2010 (22 h 02 min)

    @stef : Relis mon commentaire de 21 h 50 tu comprendras pourquoi la cryptage ne sert à rien DU TOUT.

  • comment-avatar
    stef 26 septembre 2010 (22 h 00 min)

    meme si certains considerent que filezilla n’ a pas de faille , il pourrait quand meme crypter le fichier xml ou au moins le mdp
    Solution : peut etre winscp ???

  • comment-avatar
    BoiteaWeb 26 septembre 2010 (21 h 59 min)

    FileZilla ! Par contre, installez un antivirus, mettez vous à jour régulièrement, passer un scanner de spywares sur votre machine régulièrement, évitez de cocher « enregistrer mon password automatiquement » et tout se passera bien.

  • comment-avatar
    Chezmaos 26 septembre 2010 (21 h 56 min)

    Quel FTP utiliser alors ?

  • comment-avatar
    BoiteaWeb 26 septembre 2010 (21 h 50 min)

    Tout à fait Worlforg, je lis les commentaires et TOUT le monde fait un amalgame énorme ! FileZilla n’a PAS DE FAILLE ! Le problème se situe au niveau de l’antivirus mauvais OU non mis à jour OU désactivé (autre possibilité ?).
    Crypter ou hasher le pass ne résout pas DU TOUT le problème puisqu’il suffit de voler le fichier de la victime, puis de remplacer son propre fichier FileZilla afin d’avoir la connection de la victime.
    Comprenez-vous ?

  • comment-avatar
    Wolforg 26 septembre 2010 (21 h 45 min)

    Uhmmmmm, je ne veux pas faire le troll de service du dimanche soir mais la faille a plutôt l’air de se situer du côté de Windows que de Filezilla.
    Comme le dit Boiteaweb, ce n’est plus de la séucrité web là…
    Enfin, bon courage quand même :-)

  • comment-avatar
    Tom 26 septembre 2010 (21 h 41 min)

    Merci pour la prévention, et encore désolé pour ce qui t’es arrivé: je comprend parfaitement ton ressenti pour avoir eu des soucis informatiques qui dépendaient complètement de mes efforts de sécurité.
    Bonne continuation

  • comment-avatar
    Nico 26 septembre 2010 (21 h 38 min)

    Depuis la lecture de votre article, j’ai cherché une solution viable sans pour autant changer de soft !

    Après chaque connexion avec Filezilla, allez dans le menu « Edition » et cliquez sur « Supprimer les données privatives .. »

    Voila pour mon cas.

  • comment-avatar
    Hydrog3n 26 septembre 2010 (21 h 37 min)

    Oula coups dur j’utilise la même config seven + FileZilla
    Tu à prit quel client ftp du coups ? Et l’intrusion est arrivé par quel site ?

  • comment-avatar
    observateur 26 septembre 2010 (21 h 34 min)

    Une des faille les plus courante avec filezilla est une faille adobe reader. Beaucoup de webmaster sur windows ont été touché avec pour resultat des fichier index de leurs sites web modifié par des bots pour insérer un javascript.

  • comment-avatar
    stef 26 septembre 2010 (21 h 32 min)

    Intéressant, comme article mais quel cleint ftp utilisez vous alors ? si vous n’utilisez plus Filezilla….

  • comment-avatar
    BoiteaWeb 26 septembre 2010 (21 h 22 min)

    Il arrive souvent qu’un site soit piraté de façon « simple », j’entends par là que le mot de passe n’as pas été brute forcé, ou que vous ayez répondu à un phishing.
    Il est évident que FileZilla doit stocker quelque part les infos des FTP enregistrés, que ce soit en clair ou pas. Légalement, le fait de l’enregistrer en clair sur VOTRE machine, c’est correct.
    Maintenant la question à se poser n’est pas « Pourquoi FileZilla enregistre en clair » car vous auriez aussi bien pu ne pas enregistrer ces pass et les retaper au moment voulu, mais la question est plutôt « Comment 2 virus se sont retrouvés plus de 10 jours installés sur votre machine. Et là, ce n’est plus de la sécurité web.

Ajouter un commentaire

Votre adresse mail ne sera pas publiée