skip to main | skip to sidebar
Code 18
Manuel du savoir-faire à l'usage des geeks et des curieux
RSS
  • Accueil
  • Le web au Québec
  • Liens
  • Twitter
  • Facebook
  • À propos

dimanche 27 février 2011

Récupérer un mot de passe de Filezilla

Publié par Infinite Loop, à 20 h 25 5 commentaires

Qu'un client FTP encrypte les mots de passe utilisés au moment de sauvegarder localement une session, ça me semblait logique et évident. Pourtant, un des logiciels gratuits que nous utilisons souvent dans notre travail quotidien, Filezilla, semble s'entêter à les conserver en texte clair, sans même les obfusquer au préalable.

C'est ce que j'ai découvert récemment lorsqu'un employé fût absent à long terme et que j'ai eu à reprendre son projet là où il l'avait laissé. Comme personne ne connaissait le mot de passe du FTP pour récupérer les fichiers, j'ai eu comme réflexe d'aller voir sur le poste de mon collègue comment Filezilla conservait sa configuration.

Dans Windows, le fichier se trouve à ce dossier :

Menu Windows / Démarrer (Run)
%APPDATA%/filezilla


Toutes les configurations des sites FTP sont enregistrées dans le fichier sitemanager.xml. Comme on peut le voir en l'ouvrant avec un éditeur texte, le mot de passe se cache sous le node XML "pass". Et j'ai beau avoir cherché, il ne semble pas exister de moyen pour l'encrypter! Donc une vulnérabilité peu enviable puisque quiconque ayant accès à votre poste, légalement ou non, peut récupérer vos mots de passe. Remarquez que dans la situation dans laquelle j'étais, ça s'est avéré utile et j'ai pu amener le projet à terme.

Si vous travaillez sur Linux, comme c'est le cas pour moi présentement (distribution Ubuntu), vous pourrez jeter un coup d'oeil au fichier en y accédant comme suit (il se trouve dans un sous-dossier de votre répertoire personnel)

cat ~/.filezilla/sitemanager.xml

Pour l'instant, Filezilla me suffit mais je songe à chercher une alternative. Parfois quand c'est gratuit, ça vaut ce que ça vaut. J'attends vos suggestions.


Tags: Coffre à outils, Linux, Sécurité

5 réponses à "Récupérer un mot de passe de Filezilla"

  1. Anonyme a dit...
    28 février 2011 à 06 h 28

    J'ai remarqué ca il y a quelques années et tu serais bien surpris de voir tous les logiciels qui stockent en clair les "passes". Ceci dit, rien a voir avec les logiciels libres ou pas. Personnellement j'utilise Filezilla ainsi que d'autre logiciels qui stockent ce genre de données en clair cependant je les utilise sur une partition chiffrée donc plus de problème ! (voir truecrypt ou E4M)

    +++

    Patrick M. Lozeau a dit...
    1 mars 2011 à 13 h 23

    Je viens de vérifier et c'est la même chose pour la version Mac OSX. Je n'ai même pas eu à faire de recherche dans les fichiers de configurations. En effet, Filezilla offre une option "export" dans son gestionnaire de site qui génère un fichier XML. Le mot de passe y était en clair.

    Audesou a dit...
    2 mars 2011 à 05 h 20

    A ce propos, cet article ainsi que ses commentaires sont particulièrement intéressants : Des mots de passe en clair dans un logiciel FTP comme Filezilla, c’est très dangereux.

    Mr Xhark a dit...
    21 mars 2011 à 09 h 10

    FileZilla encodait les mdp à un moment donné, mais vu la faible sécurité du système... ils ont fait machine arrière.

    Anonyme a dit...
    19 août 2013 à 16 h 14

    recentservers.xml est plus détaillé après avoir tapé %APPDATA%/filezilla dans le menu exécuter... tout est clair !


Publier un commentaire

Message plus récent Messages plus anciens Accueil
S'abonner à : Publier des commentaires (Atom)
    Suivre @code18 sur Twitter

    Catégories

    • Apache (21)
    • Citations (167)
    • Club Vidéo (24)
    • Coffre à outils (56)
    • CSS (8)
    • Curiosités (117)
    • Design Pattern (2)
    • Drupal (8)
    • Easter Eggs (22)
    • Extensions Firefox (20)
    • GIMP (7)
    • Histoire (21)
    • HTML (32)
    • Humour (57)
    • Intégration (34)
    • iPod (12)
    • JavaScript (110)
    • Jeu de combat (6)
    • Le coin du geek (128)
    • Liens (12)
    • Linux (56)
    • Livres (78)
    • Lois et principes (46)
    • Marché des saveurs (26)
    • Mathématique (18)
    • Mobile (5)
    • Montréal (32)
    • Musique (112)
    • Pancartes et écriteaux (16)
    • Perl (8)
    • Pérou (1)
    • PHP (130)
    • PostgreSQL (44)
    • Programmation (105)
    • Saviez-vous que (55)
    • Sécurité (22)
    • SEO (5)
    • SQL Server (22)
    • Vieilles publicités (6)
    • Virtualisation (8)
    • Voyages (1)
    • Zend Framework (26)

    Divers

    Archives

    • ►  2015 (6)
      • ►  août 2015 (1)
      • ►  juillet 2015 (1)
      • ►  février 2015 (3)
      • ►  janvier 2015 (1)
    • ►  2014 (8)
      • ►  décembre 2014 (1)
      • ►  novembre 2014 (1)
      • ►  octobre 2014 (1)
      • ►  août 2014 (2)
      • ►  juillet 2014 (2)
      • ►  janvier 2014 (1)
    • ►  2013 (53)
      • ►  décembre 2013 (2)
      • ►  novembre 2013 (1)
      • ►  octobre 2013 (3)
      • ►  septembre 2013 (2)
      • ►  août 2013 (5)
      • ►  juillet 2013 (3)
      • ►  juin 2013 (5)
      • ►  mai 2013 (3)
      • ►  avril 2013 (7)
      • ►  mars 2013 (7)
      • ►  février 2013 (11)
      • ►  janvier 2013 (4)
    • ►  2012 (105)
      • ►  décembre 2012 (8)
      • ►  novembre 2012 (5)
      • ►  octobre 2012 (4)
      • ►  septembre 2012 (1)
      • ►  août 2012 (8)
      • ►  juillet 2012 (7)
      • ►  juin 2012 (7)
      • ►  mai 2012 (10)
      • ►  avril 2012 (13)
      • ►  mars 2012 (15)
      • ►  février 2012 (15)
      • ►  janvier 2012 (12)
    • ▼  2011 (146)
      • ►  décembre 2011 (14)
      • ►  novembre 2011 (11)
      • ►  octobre 2011 (12)
      • ►  septembre 2011 (13)
      • ►  août 2011 (15)
      • ►  juillet 2011 (17)
      • ►  juin 2011 (18)
      • ►  mai 2011 (15)
      • ►  avril 2011 (9)
      • ►  mars 2011 (7)
      • ▼  février 2011 (3)
        • Citation no. 117 sur la programmation
        • Récupérer un mot de passe de Filezilla
        • Par mégarde, j'ai pilé sur de la tourmantine
      • ►  janvier 2011 (12)
    • ►  2010 (398)
      • ►  décembre 2010 (29)
      • ►  novembre 2010 (28)
      • ►  octobre 2010 (32)
      • ►  septembre 2010 (34)
      • ►  août 2010 (22)
      • ►  juillet 2010 (35)
      • ►  juin 2010 (42)
      • ►  mai 2010 (36)
      • ►  avril 2010 (37)
      • ►  mars 2010 (34)
      • ►  février 2010 (32)
      • ►  janvier 2010 (37)
    • ►  2009 (430)
      • ►  décembre 2009 (32)
      • ►  novembre 2009 (34)
      • ►  octobre 2009 (33)
      • ►  septembre 2009 (37)
      • ►  août 2009 (37)
      • ►  juillet 2009 (39)
      • ►  juin 2009 (38)
      • ►  mai 2009 (37)
      • ►  avril 2009 (35)
      • ►  mars 2009 (37)
      • ►  février 2009 (32)
      • ►  janvier 2009 (39)
    • ►  2008 (84)
      • ►  décembre 2008 (34)
      • ►  novembre 2008 (39)
      • ►  octobre 2008 (11)

    Abonnés

Copyright © All Rights Reserved. Code 18 | Converted into Blogger Templates by Theme Craft