Le protocole FTP (File Transfer Protocol) est un moyen de connecter deux ordinateurs pour faciliter le transfert de fichiers entre deux ou plusieurs points. Pour faire simple, c'est le moyen par lequel les fichiers sont partagés entre les parties. Selon Mozilla, bien que ce protocole standard soit pris en charge par tous les principaux navigateurs depuis sa création, il est aujourd'hui l'un des plus anciens protocoles encore utilisés et souffre par la même occasion d'un certain nombre de graves problèmes de sécurité. Dans un billet de blogue mardi, la société a expliqué qu'il s'agit de l'une des raisons soutenant sa suppression de Firefox.
Elle a expliqué que le plus grand risque pour la sécurité est que le protocole FTP transfère les données en clair, ce qui permet aux cybercriminels de voler, d'usurper et même de modifier les données transmises. À ce jour, de nombreuses campagnes de distribution de logiciels malveillants lancent leurs attaques en compromettant des serveurs FTP et en téléchargeant des logiciels malveillants sur l'appareil d'un utilisateur final à l'aide du protocole FTP. En outre, la position de Mozilla est appuyée par plusieurs noms de l'industrie qui s'accordent à dire qu'à l'origine, le protocole FTP n'a pas été conçu pour être sécurisé.
Il est généralement considéré comme un protocole non sécurisé, car il repose sur des noms d'utilisateur et des mots de passe en clair pour l'authentification et n'utilise pas le chiffrement. Les données envoyées par FTP sont vulnérables aux attaques par reniflage, par usurpation et par force brute, entre autres méthodes d'attaque de base. Dans la pratique, il existe plusieurs approches communes pour relever ces défis et sécuriser l'utilisation de FTP. À titre d'exemple, le protocole FTPS (File Transfer Protocol Secure) est une extension/variante du protocole FTP qui permet de chiffrer les connexions à la demande du client.
Transport Layer Security (TLS), Secure Socket Layer (SSL) et SSH File Transfer Protocol (également connu sous le nom de Secure File Transfer Protocol ou SFTP) sont souvent utilisés comme des alternatives plus sûres à FTP, car ils utilisent des connexions chiffrées. Ainsi, le risque de sécurité élevé, la vieillesse du protocole et les alternatives existantes ont encouragé les fournisseurs de navigateurs tels que Google et Mozilla à abandonner sa prise en charge. Mozilla a confirmé son intention en mars 2020, environ un an après que Google a déclaré qu'il supprimera l'implémentation du protocole FTP de Chrome 82.
De son côté, Mozilla a désactivé en avril le protocole FTP par défaut dans Firefox 88 et Firefox 90, publié la semaine dernière, ne prend plus en charge le protocole FTP. Mozilla explique si vous êtes un utilisateur de Firefox, vous n'avez rien à faire pour bénéficier de cette "avancée" en matière de sécurité. D'après le billet de blogue de Mozilla, lorsque Firefox effectuera automatiquement la mise à jour vers la version 90, les utilisateurs seront protégés contre toute attaque reposant sur le protocole non sécurisé FTP. Ces attaques sont désormais rendues inutiles puisque le protocole FTP n'est plus pris en charge.
« Conformément à notre intention de supprimer le protocole HTTP non sécurisé et d'augmenter le pourcentage de connexions sécurisées, nous avons décidé, comme d'autres grands navigateurs Web, de ne plus prendre en charge le protocole FTP. La suppression de FTP nous rapproche d'un Web plus sécurisé qui est en passe de devenir exclusivement HTTPS. Les mécanismes modernes de mise à niveau automatique tels que HSTS ou le mode HTTPS-Only de Firefox, mettant automatiquement à niveau toute connexion pour qu'elle devienne sécurisée et chiffrée, ne s'appliquent pas à FTP », explique Mozilla.
Par ailleurs, si certains ont bien accueilli la nouvelle, le geste de Mozilla semble n'avoir pas séduit tous les utilisateurs de Firefox. Un commentaire sur le sujet explique que les navigateurs équipés d'un support FTP sont plus utiles et conviviaux que les clients FPT. « Le FTP est lié à la navigation sur le Web depuis le début du Web, il y a 31 ans. Pendant peut-être une décennie, la majeure partie du Web se trouvait sur des serveurs FTP – pas seulement la plupart des téléchargements de logiciels, mais aussi la plupart des pages HTML », a écrit une personne qui n'est pas totalement ravie de la suppression.
« Les navigateurs Web constituent une bien meilleure interface avec les serveurs FTP que les clients FTP dédiés, car vous pouvez cliquer sur un lien dans une page HTML (soit un répertoire généré statiquement, éventuellement sur le serveur FTP lui-même, soit une page de résultats de recherche générée dynamiquement) et obtenir le fichier à partir du serveur FTP », a-t-il ajouté. Selon lui, le client FTP de votre choix est absolument inutile s'il ne peut pas rendre le HTML et que le lien ftp:// renvoie à un fichier HTML. Pour lui, plutôt que de supprimer le support FTP, il fallait envisager des moyens de le sécuriser.
« L'idée fondamentale du Web était en fait de fournir une interface universelle et uniforme à toutes les informations sur Internet, quel que soit le protocole. L'abandon de Gopher était peut-être raisonnable, il n'y a tout simplement pas beaucoup de serveurs Gopher, mais FTP est toujours un protocole largement utilisé. En d'autres termes, il s'agit d'un compromis entre la vision traditionnelle du Web comme une vaste bibliothèque, dans laquelle les connaissances humaines s'accumulent au fil du temps et deviennent accessibles à tous, et la vision du Web comme un moyen de vendre aux gens des choses dont ils n'ont pas besoin ».
« Cette démarche revient à brûler une aile de la bibliothèque (ou, du moins, son catalogue sur fiches) parce qu'elle n'était pas assez rentable. Ou parce que les gens continuent à s'y faire agresser, je suppose. Ce genre de régression intentionnelle des fonctionnalités est précisément le genre de choses que j'utilise le logiciel libre pour éviter », a-t-il ajouté. Il est épaulé par un autre qui s'exprime en ces termes : « Je voudrais juste ajouter à cela que FTP est un protocole relativement simple, pas particulièrement compliqué à mettre en œuvre ». Selon lui, la suppression du support FTP de Firefox était également une "mauvaise" idée.
« Il ne s'agit pas d'une norme en constante fluctuation qui nécessite une équipe de 50 développeurs pour suivre le rythme. La prise en charge de FTP n'est pas un grand défi technique. Le code est présent dans la base de code de Firefox depuis près de 20 ans et fonctionne parfaitement. Tout ce que vous devez faire pour continuer à supporter le FTP, ce n’est rien du tout. Si le fait d'avoir la petite quantité de code pour le support FTP rend votre travail vraiment difficile, cela me semble indiquer que vous n'êtes pas très bon dans votre travail », a déclaré ce dernier.
« Je trouve aussi que le langage alarmiste incroyablement vague et non spécifique "mais la sécurité !" est assez hyperbolique, une répétition des mensonges à la limite du mensonge que Mozilla a colporté quand ils ont décidé de laisser tomber XUL pour les extensions Web », a-t-il ajouté. Une personne qui pense que le geste de Mozilla est tout à fait justifié a répondu au comment précédent en déclarant : « Certaines parties le sont, bien sûr, mais d'autres sont un spectacle absolument horrible (le client ouvre un port, puis le serveur s'y reconnecte), la conversion de texte et les modes binaires qui sont basés sur l'ASCII, les différents formats de liste, etc. ».
« Ce n'est pas génial. Pire, il ne supporte pas les bonnes choses comme les extensions TLS implicites. Continuer à supporter le protocole FTP signifie continuer à défendre une surface d'attaque qui est implémentée dans un code vieux de 20 ans, pour fournir une fonctionnalité qui ne sera pas utilisée par la majorité des gens en 2021. C'est une analyse coût-bénéfice. Je veux que Mozilla fasse plus. S'ils pensent que supprimer le support FTP leur permet d'en faire plus, je suis tout à fait d'accord », a -t-il ajouté.
Source : Mozilla
Et vous ?
Quel est votre avis sur le sujet ?
Mozilla a-t-il bien fait de supprimer la prise en charge du protocole FTP ?
Utilisiez-vous Firefox pour les connexions FTP avant la suppression du support ?
Si oui, avez-vous une objection par rapport à la suppression du support FTP de Firefox ?
Pensez-vous aussi que les navigateurs permettent une meilleure connexion FTP que les clients dédiés ?
Voir aussi
Firefox 90 est disponible et marque la fin de la prise en charge du protocole FTP, l'arrivée de SmartBlock 2.0 pour la navigation privée et la possibilité de faire des MàJ en arrière-plan
Google annonce qu'il rendra le support FTP dans Chrome obsolète et procédera à sa suppression définitive, à partir de Chrome 82 qui sera disponible en 2020
Mozilla va désactiver la prise en charge de FTP dans Firefox à partir de la version 88, qui sera publiée le 19 avril 2021, et supprimera complètement l'implémentation de FTP dans Firefox 90
Les développeurs de Chrome et Firefox envisagent de supprimer le support de FTP sur leur navigateur respectif pour des raisons de sécurité