Qu'un client FTP encrypte les mots de passe utilisés au moment de sauvegarder localement une session, ça me semblait logique et évident. Pourtant, un des logiciels gratuits que nous utilisons souvent dans notre travail quotidien, Filezilla, semble s'entêter à les conserver en texte clair, sans même les obfusquer au préalable.
C'est ce que j'ai découvert récemment lorsqu'un employé fût absent à long terme et que j'ai eu à reprendre son projet là où il l'avait laissé. Comme personne ne connaissait le mot de passe du FTP pour récupérer les fichiers, j'ai eu comme réflexe d'aller voir sur le poste de mon collègue comment Filezilla conservait sa configuration.
Dans Windows, le fichier se trouve à ce dossier :
Menu Windows / Démarrer (Run)
%APPDATA%/filezilla
Toutes les configurations des sites FTP sont enregistrées dans le fichier sitemanager.xml. Comme on peut le voir en l'ouvrant avec un éditeur texte, le mot de passe se cache sous le node XML "pass". Et j'ai beau avoir cherché, il ne semble pas exister de moyen pour l'encrypter! Donc une vulnérabilité peu enviable puisque quiconque ayant accès à votre poste, légalement ou non, peut récupérer vos mots de passe. Remarquez que dans la situation dans laquelle j'étais, ça s'est avéré utile et j'ai pu amener le projet à terme.
Si vous travaillez sur Linux, comme c'est le cas pour moi présentement (distribution Ubuntu), vous pourrez jeter un coup d'oeil au fichier en y accédant comme suit (il se trouve dans un sous-dossier de votre répertoire personnel)
cat ~/.filezilla/sitemanager.xml
Pour l'instant, Filezilla me suffit mais je songe à chercher une alternative. Parfois quand c'est gratuit, ça vaut ce que ça vaut. J'attends vos suggestions.
dimanche 27 février 2011
5 réponses à "Récupérer un mot de passe de Filezilla"
S'abonner à :
Publier des commentaires (Atom)
J'ai remarqué ca il y a quelques années et tu serais bien surpris de voir tous les logiciels qui stockent en clair les "passes". Ceci dit, rien a voir avec les logiciels libres ou pas. Personnellement j'utilise Filezilla ainsi que d'autre logiciels qui stockent ce genre de données en clair cependant je les utilise sur une partition chiffrée donc plus de problème ! (voir truecrypt ou E4M)
+++
Je viens de vérifier et c'est la même chose pour la version Mac OSX. Je n'ai même pas eu à faire de recherche dans les fichiers de configurations. En effet, Filezilla offre une option "export" dans son gestionnaire de site qui génère un fichier XML. Le mot de passe y était en clair.
A ce propos, cet article ainsi que ses commentaires sont particulièrement intéressants : Des mots de passe en clair dans un logiciel FTP comme Filezilla, c’est très dangereux.
FileZilla encodait les mdp à un moment donné, mais vu la faible sécurité du système... ils ont fait machine arrière.
recentservers.xml est plus détaillé après avoir tapé %APPDATA%/filezilla dans le menu exécuter... tout est clair !