Pendant des années, les éditeurs de navigateurs, notamment ceux de Chrome et Firefox, ont plaidé en faveur de l’élimination pure et simple du support du protocole de transfert de fichier (FTP en anglais) dans leur navigateur respectif. Utilisé par les internautes, le protocole FTP est généralement sollicité sur la toile pour récupérer ou partager des fichiers à distance. En principe, de nombreux logiciels sont disponibles en tant que clients FTP et permettent d’effectuer les mêmes actions comme envoyer ou récupérer des fichiers via ce protocole. Toutefois, certains utilisateurs qui ne souhaitent pas s’embarrasser de l’installation d’un client autonome FTP préfèrent continuer à recourir au navigateur pour récupérer des données sur un serveur FTP. Pour ce faire, une simple saisie de la syntaxe « FTP://adresse_du_serveur » permettait d’afficher dans la page du navigateur l’arborescence des fichiers contenus sur le serveur FTP si l’adresse saisie est correcte.
Mais pour les mainteneurs de Chrome, ce protocole pose des problèmes de sécurité, car les fichiers sont envoyés en clair sur le réseau. Raison pour laquelle Google s'est engagé dans une politique de délestage des fonctionnalités de l’implémentation FTP dans Chrome. Avec Chrome 74, un bogue a conduit Google à supprimer le support de l’accès aux URL FTP via des serveurs proxy HTTP. Avec Chrome 76, la prise en charge du proxy pour FTP a été entièrement supprimée. Dans des versions qui ont été publiées après, le navigateur ne prenait en charge ni les connexions chiffrées ni les proxys. Google avait déjà procédé à la suppression de la prise en charge du rendu des ressources et de la récupération de sous-ressources via FTP. Les fonctionnalités restantes de la mise en œuvre FTP dans Google Chrome étaient limitées à l’affichage d’une liste de répertoires ou au téléchargement d’une ressource via des connexions non chiffrées.
Avec Chrome 78, le support FTP a été désactivé dans les préversions et des contrôles de stratégie ainsi qu’un indicateur pour le contrôle du protocole FTP ont été ajoutés. Dans Chrome 80, la désactivation progressive du support FTP a commencé. Avec Chrome 82, tout le code et les ressources liées à FTP ont été supprimés. Depuis cette étape, Chrome ne parvient plus à traiter ou à reconnaitre les URL ftp://.
Suppression de la base de code
Cette fois-ci, l'équipe Chromium est passé à une autre étape : la prise en charge du protocole de transfert de fichiers (FTP) n'est pas seulement obsolète, mais supprimée de la base de code dans la dernière version stable du navigateur Chrome, la version 95.
Un manque de prise en charge des connexions chiffrées dans l'implémentation FTP de Chrome, associé à un désintérêt général de la majorité des utilisateurs du navigateur et à l'existence d'alternatives tierces plus performantes a provoqué cette situation.
Dans la version 88, il était désactivé pour tous les utilisateurs, mais pouvait toujours être réactivé. Maintenant, le code pour le supporter a enfin été supprimé une fois pour toutes, un peu plus tard que prévu.
« Les capacités restantes de la mise en œuvre FTP de Google Chrome sont limitées à l'affichage d'une liste de répertoires ou au téléchargement d'une ressource via des connexions non chiffrées. Nous aimerions déprécier et supprimer cette fonctionnalité restante plutôt que de maintenir une implémentation FTP non sécurisée », ont expliqué.
Mozilla a définitivement mis fin au support du protocole FTP avec la sortie de Firefox 90
Selon Mozilla, bien que ce protocole standard était pris en charge par tous les principaux navigateurs depuis sa création, il est aujourd'hui l'un des plus anciens protocoles encore utilisés et souffre par la même occasion d'un certain nombre de graves problèmes de sécurité. Dans un billet de blogue publié en juillet, la société a expliqué qu'il s'agit de l'une des raisons soutenant sa suppression de Firefox.
Le plus grand risque pour la sécurité est que le protocole FTP transfère les données en clair, ce qui permet aux cybercriminels de voler, d'usurper et même de modifier les données transmises. À ce jour, de nombreuses campagnes de distribution de logiciels malveillants lancent leurs attaques en compromettant des serveurs FTP et en téléchargeant des logiciels malveillants sur l'appareil d'un utilisateur final à l'aide du protocole FTP. En outre, la position de Mozilla est appuyée par plusieurs noms de l'industrie qui s'accordent à dire qu'à l'origine, le protocole FTP n'a pas été conçu pour être sécurisé.
Il est généralement considéré comme un protocole non sécurisé, car il repose sur des noms d'utilisateur et des mots de passe en clair pour l'authentification et n'utilise pas le chiffrement. Les données envoyées par FTP sont vulnérables aux attaques par reniflage, par usurpation et par force brute, entre autres méthodes d'attaque de base. Dans la pratique, il existe plusieurs approches communes pour relever ces défis et sécuriser l'utilisation de FTP. À titre d'exemple, le protocole FTPS (File Transfer Protocol Secure) est une extension/variante du protocole FTP qui permet de chiffrer les connexions à la demande du client.
Transport Layer Security (TLS), Secure Socket Layer (SSL) et SSH File Transfer Protocol (également connu sous le nom de Secure File Transfer Protocol ou SFTP) sont souvent utilisés comme des alternatives plus sûres à FTP, car ils utilisent des connexions chiffrées. Ainsi, le risque de sécurité élevé, la vieillesse du protocole et les alternatives existantes ont encouragé les fournisseurs de navigateurs tels que Google et Mozilla à abandonner sa prise en charge. Mozilla a confirmé son intention en mars 2020, environ un an après que Google a déclaré qu'il supprimera l'implémentation du protocole FTP de Chrome 82.
De son côté, Mozilla a désactivé en avril le protocole FTP par défaut dans Firefox 88 et Firefox 90, publié en juillet, ne prend plus en charge le protocole FTP. Mozilla explique si vous êtes un utilisateur de Firefox, vous n'avez rien à faire pour bénéficier de cette « avancée » en matière de sécurité. D'après le billet de blogue de Mozilla, lorsque Firefox effectuera automatiquement la mise à jour vers la version 90, les utilisateurs seront protégés contre toute attaque reposant sur le protocole non sécurisé FTP. Ces attaques sont désormais rendues inutiles puisque le protocole FTP n'est plus pris en charge.
« Conformément à notre intention de supprimer le protocole HTTP non sécurisé et d'augmenter le pourcentage de connexions sécurisées, nous avons décidé, comme d'autres grands navigateurs Web, de ne plus prendre en charge le protocole FTP. La suppression de FTP nous rapproche d'un Web plus sécurisé qui est en passe de devenir exclusivement HTTPS. Les mécanismes modernes de mise à niveau automatique tels que HSTS ou le mode HTTPS-Only de Firefox, mettant automatiquement à niveau toute connexion pour qu'elle devienne sécurisée et chiffrée, ne s'appliquent pas à FTP », explique Mozilla.
Par ailleurs, si certains ont bien accueilli la nouvelle, le geste de Mozilla semble n'avoir pas séduit tous les utilisateurs de Firefox. Un commentaire sur le sujet explique que les navigateurs équipés d'un support FTP sont plus utiles et conviviaux que les clients FTP. « Le FTP est lié à la navigation sur le Web depuis le début du Web, il y a 31 ans. Pendant peut-être une décennie, la majeure partie du Web se trouvait sur des serveurs FTP – pas seulement la plupart des téléchargements de logiciels, mais aussi la plupart des pages HTML », a écrit une personne qui n'est pas totalement ravie de la suppression.
« Les navigateurs Web constituent une bien meilleure interface avec les serveurs FTP que les clients FTP dédiés, car vous pouvez cliquer sur un lien dans une page HTML (soit un répertoire généré statiquement, éventuellement sur le serveur FTP lui-même, soit une page de résultats de recherche générée dynamiquement) et obtenir le fichier à partir du serveur FTP », a-t-il ajouté. Selon lui, le client FTP de votre choix est absolument inutile s'il ne peut pas rendre le HTML et que le lien ftp:// renvoie à un fichier HTML. Pour lui, plutôt que de supprimer le support FTP, il fallait envisager des moyens de le sécuriser.
« L'idée fondamentale du Web était en fait de fournir une interface universelle et uniforme à toutes les informations sur Internet, quel que soit le protocole. L'abandon de Gopher était peut-être raisonnable, il n'y a tout simplement pas beaucoup de serveurs Gopher, mais FTP est toujours un protocole largement utilisé. En d'autres termes, il s'agit d'un compromis entre la vision traditionnelle du Web comme une vaste bibliothèque, dans laquelle les connaissances humaines s'accumulent au fil du temps et deviennent accessibles à tous, et la vision du Web comme un moyen de vendre aux gens des choses dont ils n'ont pas besoin ».
Et les autres ?
Quant à Microsoft, bien que son navigateur Edge puisse être basé sur Chromium, il y a toujours Internet Explorer, qui devrait toujours faire l'affaire si vous avez besoin d'un peu d'action de transfert de fichiers rétro basée sur le navigateur.
Des options plus sécurisées existent désormais (comme FTPS et SFTP). Mais il semble que les principaux navigateurs préfèrent que les utilisateurs optent pour une application de transfert dédiée plutôt que de s'embêter à maintenir le code dans le navigateur.
Il reste un bon nombre de sites FTP, bien que beaucoup aient maintenant des alternatives pour le transfert de fichiers. L'éjection finale du code de Chrome, qui revendique une énorme base d'utilisateurs, signifie qu'il est peut-être temps de passer à autre chose
Source : feuille de route
Et vous ?
Qu'en pensez-vous ?
Et vous ?
Google a-t-il bien fait de supprimer de son code la prise en charge du protocole FTP ?
Utilisiez-vous Chrome pour les connexions FTP avant la suppression du support ?
Si oui, avez-vous une objection par rapport à la suppression du support FTP de Chrome ?
Pensez-vous aussi que les navigateurs permettent une meilleure connexion FTP que les clients dédiés ?
Quelles retombées potentielles y voyez-vous ?
Google supprime le code du protocole de transfert de fichiers FTP du navigateur Chrome dans Chrome 95
Après avoir évoqué des problèmes de sécurité
Google supprime le code du protocole de transfert de fichiers FTP du navigateur Chrome dans Chrome 95
Après avoir évoqué des problèmes de sécurité
Le , par Stéphane le calme
Une erreur dans cette actualité ? Signalez-nous-la !