Alertes de sécurité en cours Discussion Discussion
Faire un lien Lien
Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée


FTP (File Transfer Protocol) - Protocole de transfert de fichiers

Dernière mise à jour : 2016-12-03T00:00 - 03.12.2016 - 00h00
01.04.2012 - 00h00 - Paris - (Assiste - Pierre Pinard) - Mise à jour de notre article antérieur (versions 1997-2007)

FTP (File Transfer Protocol ) Protocole de transfert de fichiers.

Assiste.com : FTP (File Transfer Protocol - protocole de transfert de fichiers)

FTP (File Transfer Protocol)FTP (File Transfer Protocol)FTP (File Transfer Protocol)

FTP (File Transfer Protocol - protocole de transfert de fichiers) est un protocole de communication orienté spécifiquement vers le transfert de fichiers, d'ordinateur à ordinateur, dans un échange informatisé de fichiers entre ordinateurs connectés à un réseau informatique utilisant les modèles de protocoles TCP/IP (FTP n'étant que l'un des protocoles basés sur les modèles TCP et IP).

  1. Avril 1971
    La première note à propos d'un protocole de transfert de fichiers remonte à la RFC 114, intitulée " Bhushan, A., "File Transfer Protocol".
  2. Avril 1971
    La RFC 114 est commentée par E. F. Harslem, J. F. Haefner et Rand dans la RFC 141. Ils suggèrent que le protocole FTP inclue des commandes permettant une plus grande granularité, passant du fichier aux enregistrements à l'intérieur du fichier.

    Avril 1974
    TCT/IP est inventé en mai 1974.

  3. Juin 1980
    La RFC 114 est complétée par la RFC 765 de J. Poste, intitule File Transfer Protocol.

    1er janvier 1983
    TCT/IP est officiellement mis en oeuvre sur le réseau ArpaNet. qui prend le nom d'Internet.

  4. Octobre 1985
    La RFC 765 est remplacée par la RFC 959, fixant le standard Internet et intitulée File Transfer Protocol (FTP), de J. Postel, J. Reunolds et ISI. FTP s'appuie désormais sur TCP et IP.

    13 mars 1989
    Au CERN , Tim Berners-Lee a une idée, sur le papier : celle du WEB.

    Octobre 1989
    Les RFC 1122 et RFC 1123 fixent les protocoles TCP et IP.

  5. Octobre 1997
    Une proposition de standard étendant de la RFC 959 aux transferts sécurisés fait l'objet de la RFC 2228, par M. Horowitz, Cygnus Solutions, S. Lunt et Bellcore.
  6. Juillet 1999
    Une proposition de standard étendant FTP à l'internationalisation fait l'objet de la RFC 2640, par B. Curtin et la Defense Information Systems Agency.
  7. Février 2000
    Une proposition d'expérimentation du chiffrement (cryptage) des données, intitulé "Encryption using KEA and SKIPJACK", fait l'objet de la RFC 2773, par R. Housley, P. Yee, SPYRUS, W. Nace et la NSA.

    Indépendemment de l'oeuvre de Dan Brown (Digital Fortress), il est admis que tous les standards informatiques dans lesquels la NSA à mis les mains contiennent un backdoor.

    Espionnage : pour casser les clefs de chiffrement, la NSA a dû “tricher”

    La NSA est connue pour avoir été impliquée dans la qualification ou la création de certains standards de sécurité conjointement avec le NIST [Institut national des standards et technologies], un des plus grands éditeurs de standards américain. L'exemple le plus connu est le FIPS, le standard de sécurité utilisé par les agences gouvernementales américaines. C'est aussi le travail de la NSA de sécuriser leurs propres systèmes, ils ont donc intérêt – tout à fait légitimement – à contribuer à leurs standards.

    Les révélations d'Edward Snowden sur les capacités de déchiffrement de la NSA sont significatives, car elles confirment que la NSA a mis en place un système lui permettant de maintenir le contrôle sur l'établissement des standards cryptographiques que nous connaissons aujourd'hui. Un tel contrôle permettrait d'y installer des moyens de contournement connus uniquement de la NSA, surtout pour les implémentations des standards propriétaires (ils ne sont pas "ouverts", leur code source n'est pas rendu public).

    Heureusement, certaines implémentations sont plus populaires que d'autres. OpenSSL est un exemple d'implémentation libre des protocoles SSL/TLS. Microsoft possède sa propre implémentation de SSL et TLS, dont le code source n'est pas accessible publiquement. Une règle de base en cryptographie est de ne jamais implémenter un protocole soi-même. C'est là que sont commises les erreurs ! De très nombreux informaticiens ont planché des heures sur OpenSSL, et des failles sont encore régulièrement découvertes.

    On peut dire que la NSA "triche" : elle ne s'attaque pas (officiellement) aux mathématiques fondamentales des algorithmes, mais plutôt à leurs standards d'implémentation, en y insérant des "erreurs" intentionnelles qu'elle seule est capable d'exploiter. Par ailleurs, il existe beaucoup d'autres erreurs non intentionnelles, fréquemment découvertes par des chercheurs en sécurité informatique, qui se font une joie de rendre publiques leurs découvertes. Les erreurs d'implémentation sont la voie principale par laquelle les protocoles et algorithmes sont "cassés".

    Le Monde - 06.09.2013 (extraits)

  8. Mars 2007
    Une proposition de standard étendant FTP fait l'objet de la RFC 3659, par P. Hethmon et Hethmon Software.
  9. Mars 2010
    Une proposition de standard étendant FTP, intitulé FTP Command and Extension Registry, fait l'objet de la RFC 5797, par J. Klensin, A. Hoenes et TR-Sys.

TCP/IP

TCP/IPTransmission Control Protocol » et « Internet Protocol ») sont deux modèles de protocoles de communications à utiliser pour transférer des données sur un réseau Internet. Selon le besoin (la nature du transfert), l'implémentation de ces deux modèles donne naissance à des protocoles comme HTTP, HTTPS, SMTP, SNMP, FTP, FTPS, Telnet, NFS, etc. ...

La première utilisation large du modèle TCP/IP remonte à son adoption par le premier réseau ayant jamais existé, Arpanet (lancé en octobre 1972), qui adopte officiellement TCP/IP le 1er janvier 1983, ce qui permettra, par la suite, l'interconnexion de divers autres réseaux hétérogènes, adoptant également TCP/IP, permettant l'interconnexion de divers réseaux sous le nom d'Internet). Jusque-là, des résistances, voire des hostilités franches, de la part des constructeurs d'ordinateurs, qui défendaient leur clientèle et leur sphère d'influence, empêchaient le développement d'un réseau homogène des réseaux hétérogènes.

Un peu plus tard, en 1989, alors qu'il est consultant au CERN (le plus grand centre de physique des particules du monde, dont les anneaux des accélérateurs s'étendent, notamment, sous les communes françaises de Saint-Genis-Pouilly et Ferney-Voltaire (département de l'Ain)), Tim Berners-Lee invente le WWW qui n'est qu'une part, une manière d'utiliser l'Internet.

FTP (File Transfer Protocol) permet, depuis un ordinateur, d'envoyer ou recevoir des fichiers depuis / vers un autre ordinateur (et d'autres opérations comme renommer les fichiers se trouvant sur l'ordinateur distant, les supprimer, les déplacer, créer et supprimer des répertoires, etc. ...), dans une relation appelée " client/serveur" où l'un des ordinateurs est considéré comme le " client " (celui qui initie les commandes FTP) et l'autre le " serveur " (celui qui les exécute). Il y a donc, sur un serveur FTP (l'ordinateur), un dispositif logiciel fonctionnant en permanence, également appelé " serveur FTP ".

Un site WEB, par exemple, est développé localement, par un webmaster, qui, ensuite, envoie le contenu du site sur un serveur, chez un hébergeur, d'où les internautes pourront le consulter. Le protocole utilisé est FTP, l'ordinateur du webmaster est le client et l'ordinateur de l'hébergeur est le serveur.

Sécurisation et confidentialité des transferts :

Comme il existe une version protégée des transferts HTTP sous le nom de protocole sécurisé HTTPS, il existe une version protégée des transferts FTP sous le nom de protocole sécurisé FTPS. La méthode de protection utilisée est SSL ou TLS (SSL étant le prédécesseur de TLS).

Le protocole FTP (File Transfer Protocol) fonctionne sous les deux système d'adressage IPv4 et IPv6.

Logiciels clients FTPLes ports FTP et FTPSLogiciels clients FTP

Deux ports de communication sont attribués pour les connexions FTP (File Transfer Protocol). Par convention, on utilise le port 21 pour les négociations de commandes et le port 20 pour les données.

Les connexions en mode sécurisé peuvent se faire de manière " explicite " et utilisent les mêmes ports 20 et 21 que le protocole FTP. Elles peuvent se faire de manière " implicite " et ce sont les ports 990 pour les commandes et 989 pour les données qui sont utilisés par convention.

FTP sécuriséFTP sécuriséFTP sécurisé

Les transferts de fichiers en mode sécurisé doivent utiliser le protocole FTPS, qui se fait avec chiffrement SSL et nécessite l'obtention d'un certificat (payant) auprès d'un organisme de certification aux fins d'authentification. FTPS est explicite sur les ports 20 et 21 (le logiciel client envoie, à un moment donné, une commande déclanchant le chiffrement (cryptage)). FTPS est implicite sur les ports 990 et 989.

Notons que, le plus souvent, les proxy (simples intermédiaires utilisés pour anonymiser/masquer les headers, au milieu d'une relation client/serveur) ne supportent pas FTPS et l'utilisation d'un proxy lors de transferts en FTPS devient cauchemardesque (impossible).

Une alternative à FTPS est le protocole SFTP (transfert par tunelisation SSH). Ce n'est pas réellement du FTP.

Un article sur la mise en oeuvre FTPS et SFTP dans FileZilla et dans Dreamweaver.

Logiciels clients FTPLogiciels clients FTPLogiciels clients FTP

Pour accéder à un serveur FTP, il faut utiliser un logiciel " client FTP ". Le plus connu dans le monde Windows, utilisant une interface graphique, est le logiciel gratuit et Open Source FileZilla. Il en est d'autres comme CuteFTP, CoffeeCup, WinSCP, Go FTP, SmartFTP Client, etc. ...

Les auteurs de sites Web utilisent des éditeurs de sites Web WYSIWYG pour développer, localement, leurs sites. Ces éditeurs contiennent une fonction essentielle permettant d'envoyer / rapatrier, sur/depuis le serveur du site, les développements. Ainsi en est-il des éditeurs comme Adobe Dreamweaver, Adobe GoLive, Microsoft Expression Web (anciennement Microsoft FrontPage), Nvu, KompoZer, RapidWeaver, TopStyle, Aptana Studio, etc. ...

RéférencesRéférences" Références "


RessourcesRessources" Ressources "


 Requêtes similairesRequêtes similaires" Requêtes similaires "