La programmation est comme le sexe. Une erreur et vous devrez le supporter pour le reste de votre vie.
Qu'un client FTP encrypte les mots de passe utilisés au moment de sauvegarder localement une session, ça me semblait logique et évident. Pourtant, un des logiciels gratuits que nous utilisons souvent dans notre travail quotidien, Filezilla, semble s'entêter à les conserver en texte clair, sans même les obfusquer au préalable.
C'est ce que j'ai découvert récemment lorsqu'un employé fût absent à long terme et que j'ai eu à reprendre son projet là où il l'avait laissé. Comme personne ne connaissait le mot de passe du FTP pour récupérer les fichiers, j'ai eu comme réflexe d'aller voir sur le poste de mon collègue comment Filezilla conservait sa configuration.
Dans Windows, le fichier se trouve à ce dossier :
Menu Windows / Démarrer (Run)
%APPDATA%/filezilla
Toutes les configurations des sites FTP sont enregistrées dans le fichier sitemanager.xml. Comme on peut le voir en l'ouvrant avec un éditeur texte, le mot de passe se cache sous le node XML "pass". Et j'ai beau avoir cherché, il ne semble pas exister de moyen pour l'encrypter! Donc une vulnérabilité peu enviable puisque quiconque ayant accès à votre poste, légalement ou non, peut récupérer vos mots de passe. Remarquez que dans la situation dans laquelle j'étais, ça s'est avéré utile et j'ai pu amener le projet à terme.
Si vous travaillez sur Linux, comme c'est le cas pour moi présentement (distribution Ubuntu), vous pourrez jeter un coup d'oeil au fichier en y accédant comme suit (il se trouve dans un sous-dossier de votre répertoire personnel)
cat ~/.filezilla/sitemanager.xml
Pour l'instant, Filezilla me suffit mais je songe à chercher une alternative. Parfois quand c'est gratuit, ça vaut ce que ça vaut. J'attends vos suggestions.
Contrairement à mon habitude, j'ai été inactif pendant trop longtemps sur mon blogue. Rassurez-vous, il n'est pas à l'abandon et j'avais intérêt à avoir une bonne raison pour me justifier. D'abord, j'avais pensé utiliser l'excuse que des ravisseurs m'avaient kidnappé et qu'ils m'interdiraient d'écrire tant et aussi longtemps qu'une rançon onéreuse n'avait pas été payée. Les rumeurs circulent que les représentants de la police des Internets n'auraient pas répondu à leur demande.
Ça manquait de crédibilité, j'en conviens. Coincé dans l'univers de Tron ? Du déjà vu dans le domaine de la science-fiction. Pour lorgner du côté du folklore, j'auras pu raconter que j'avais pilé sur de la tourmentine, cette plante légendaire qui est réputée pour provoquer l'égarement et l'emprisonnement de toute personne qui marche dessus avec ses chaussures. Selon ce qu'on en dit, la victime pourrait tourner en rond pendant des heures, incapable de retrouver son chemin (merci au livre Un loup est un loup de Michel Folco pour la source d'inspiration). Une raison parfaite pour justifier la boucle infinie dans laquelle je me trouve. D'ailleurs, vous pouvez citer ce stratagème à vos enfants pour leur interdire de s'aventurer à un endroit que vous jugez dangereux... À utiliser à vos risques et périls puisque comme pour le bonhomme 7 heures et la fée des dents, ils vous en voudront à mort lorsqu'ils découvriront l'imposture.
Toujours est-il que je ne suis pas mort. Du moins pas encore (référence à la scène Bring out your dead de Monty Python and the Holy Grail) et que je recommencerai prochainement à écrire sur une base régulière. Juré craché.