Elle prie le ciel pour lui demander de bien nous inspirer

LE COCHON  SIDÉRAL

Les arbres ne montent pas jusqu'au Ciel...

Les taupes ne creusent pas jusqu'en Australie...
Ajoutez ce site à vos favoris

Vous souhaitez accéder rapidement aux pages vous détaillant comment il faut configurer Filezilla Server pour réaliser des connexions sécurisées et cryptées, c'est par là. (votre navigateur doit accepter les cookies). Le cryptage est réalisé entre 1024 et 4096 bits alors que les banques utilisent du 128 ou 256 bits.

Attention : les connexions sécurisées et cryptées ne fonctionnent pas toujours parfaitement avec Windows Vista. Ou pour nous exprimer différemment : il nous est impossible de vous garantir que cela fonctionnera si votre serveur est installé sur une machine utilisant Windows Vista ; par contre avec Windows 2000 ou Windows Xp, çà fonctionne nickel chrome.

PREAMBULE :

Objet de cette page : Vous présenter brièvement l'utilité d'utiliser des liaisons sécurisées et cryptées lors des échanges ftp, puis vous permettre d'accéder aux documents qui expliquent le paramétrage de Filezilla Server afin que les échanges soient sécurisés et cryptés.

D'abord, il est inutile que vous mettiez en œuvre toute la procédure qui sera ultérieurement décrite si votre serveur n'est pas correctement configuré en mode passif. Il ne s'agit pas de vous inciter à la dépense mais à l'économie. Vous viendrait-il à l'idée de refaire les peintures ou les tapisseries si votre toit était percé ? non bien sûr.

Si vous avez eu l'occasion de lire les autres pages de présentation consacrées à Filezilla Serveur vous avez pu constater que ce sujet avait été évoqué. Mais à l'époque, comme nous estimions ne pas dominer correctement la matière, nous avions préféré ne pas l'aborder. Nous estimons aujourd'hui pouvoir vous proposer quelques propos utiles, fiables et constructifs.

A ce stade, il nous semble bon de vous avancer quelques explications qui vous éclaireront sur l'utilité et le bien fondé des connexions sécurisées. Si vous n'êtes pas déjà sensibilisé par la matière : attachez vos ceintures car vous risquez d'être surpris.

1°) Les échanges FTP :

En anglais çà veut dire "File Transfer Protocol" et dans la langue de Molière : Protocole de Transfert de Fichiers. C'est donc un standard qui a été mis au point pour transférer des données car les données sont toujours constituées de fichiers plus ou moins volumineux.

Ce système était déjà utilisé avec les accès bas débit où existaient divers protocoles pour échanger des fichiers : xmodem, ymodem, zmodem etc.... L'échange Ftp est donc la continuation de ces protocoles avec quelques différences :

- Au lieu que l'échange se réalise entre deux modems qui peuvent s'authentifier lors de la connexion, l'on est ici en présence d'un serveur et d'un client.

- Au lieu que l'appel téléphonique soit réalisé vers une ligne bien précise avec peu de risques que le trafic ne soit dévié ou intercepté, l'on appelle maintenant un serveur et rien ne nous prouve que l'on atterrisse au bon endroit alors que tout sera fait pour nous laisser supposer le contraire.

- Alors qu'autrefois une ligne ne véhiculait qu'une connexion, aujourd'hui la même ligne peut véhiculer des centaines de connexions. Tout le monde est avec tout le monde, il n'y a plus de confidentialité.

2°) Autre présentation :

Ces prémices posés, il nous semble bon de vous exposer une autre présentation des échanges en Ftp.

Lorsque vous vous connectez à un serveur pour y charger des données personnelles vous vous dites : on me demande un nom d'utilisateur (6 ou 7 caractères, parfois plus), plus un mot de passe à x caractères. Tout cet ensemble comporte des chiffres et des lettres. Les lettres utilisées lors de cette fonction, sont d'après certains écrits qui utilisent un terme barbare que je n'ai toujours pas compris, "sensibles à la casse".
Bref, exprimons nous simplement : le système différencie les lettres majuscules des lettres minuscules ce qui permet de multiplier par deux le nombre utilisable des lettres de l'alphabet.

a) Conclusion logique : vu le nombre de combinaisons possibles, il est impossible à un tiers de percer cet ensemble. Et pourtant, dans un autre domaine, des coffres bancaires ont bien été percés !!!. on attendait les voleurs par la porte, ils sont passés par la cave. N'en serait-il pas de même avec les échanges Ftp ?.

Oui, cela est possible tout simplement parce que lorsque vous êtes sur internet et quelque soit le protocole utilisé, par défaut tout est en clair. Ceci s'applique aussi bien au protocole Ftp qu'à vos envois et réceptions de courrier et à tous vos échanges et liaisons.
Oui, ces propos concernent également votre courrier qui en plus se trouve stocké obligatoirement sur les serveurs de votre fournisseur d'accès et sur tous les serveurs par où il transite ; et comme tout courrier transite au minimum par deux serveurs de messagerie, on peut vous suivre à la trace comme un troupeau d'éléphants et lire sans problème toute votre correspondance en plusieurs endroits ou sur plusieurs continents de la planète.

b) En deux mots : Vous avez installé votre bureau sur la place du marché, et cela n'est qu'un détail, car en plus :

- Vous y avez mis un haut-parleur afin que tout le monde puisse écouter les conversations qui vous sont destinées (ce que vous recevez) ;
- Vous disposez d'un micro lorsque vous vous adressez à votre correspondant afin que tout le monde puisse vous écouter (lorsque vous tapez votre login et votre mot de passe) etc.
- Vous ne vous exprimez pas en Chinois (Mandarin ou Cantonais), mais dans un langage international que tous les passants et les voisins peuvent parfaitement assimiler (le langage informatique).

Il en résulte donc :

Que lorsque vous tapez votre nom d'utilisateur et mot de passe, tout le monde peut vous entendre, donc les intercepter ;
Que toutes les données que vous envoyez ou que vous recevez peuvent être parfaitement entendues et comprises par les voisins qui se trouvent sur la place du marché c'est à dire la communauté internet. Cà fait du monde et les nouvelles vont vite !!!.

Et comme il existe du matériel et des programmes spécialement conçus à cette fin, certains ne s'en privent pas. Ce n'est plus "les murs ont des oreilles", mais les câbles et les tuyaux ont des oreilles.

Voilà brièvement exposées, peut-être de façon un peu imagée les raisons pour lesquelles il a été prévu d'instaurer des liaisons sécurisées et cryptées.

Penchons nous rapidement sur la cryptographie : certes c'est chiffré, donc c'est du "Chinois", mais en y mettant le temps et les moyens, l'on arrivera toujours à déchiffrer. Donc si vous projetez de faire sauter Saint Pierre de Rome ou Buckingham Palace vos échanges ne resteront pas indéchiffrables.

Penchons nous rapidement sur la sécurité : l'échange est protégé, à priori personne de peut venir intercepter le canal de liaison établi. Mais, comme pour tout, rien n'étant absolu, il n'y a pas besoin d'être un grand devin pour avancer que, malheureusement, au cours des vingt prochaines années il y aura bien un chef d'état de part le monde qui sera victime d'un attentat... et pourtant il y a des mesures de sécurité !!!.

Soyez cependant rassurés, vous êtes également sur la place du marché lorsque vous envoyez ou recevez du courrier électronique. Mais il y a une telle quantité de littérature à parcourir journellement que tout ne peut pas être matériellement lu par un tiers. Alors si vous ne dites que du bien de votre "ordure de voisin", sachez que çà n'intéresse que les gens sans importance !!!. Mais une personne avisée en valant deux... maintenant vous savez clairement.

3°) Limites et contraintes des connexions sécurisées et cryptées qui vous sont offertes dans le cadre de Filezilla Serveur et Filezilla Ftp.

Ces prémices posés, il nous semble bon d'essayer de cerner les limites et les contraintes qui devront être respectées afin que vos échanges soient protégés au maximum :

Le développement qui figurait ici, n'est plus disponible, il est réservé aux lecteurs qui accèdent aux pages par le lien prévu.

 



Nous avons jusqu'ici raisonné comme sur le marché des changes. Nous avons coté l'incertain, nous allons nous pencher maintenant sur le certain.

Le Certain :

- Le serveur doit obligatoirement être correctement configuré en mode passif. Si tel n'est pas le cas, inutile d'utiliser une connexion sécurisée car en mode actif, la boite de pandore est ouverte. Inutile de mettre la charrue avant les bœufs. Si vous ne dominez pas parfaitement ce mode, il est dans votre intérêt de vous pencher d'abord sur ce mode de configuration qui est parfaitement détaillé sur ce site par ce lien afin de bien le maîtriser. Nous insistons sur ce point, non par intérêt (si vous voulez taper 10 pages au format word pour 1,80 euros, nous sommes preneurs), mais pour la simple raison que les trois quarts, si ce n'est plus, des serveurs Ftp ne sont pas correctement configurés en mode passif : c'est l'histoire de la toiture qui est percée alors que l'on refait les peintures.

- Lorsque vous vous connectez au serveur, vous êtes certain sous réserve de ce qui a été avancé précédemment d'être au bon endroit et lors de votre connexion votre identifiant et votre mot de passe n'ont pu être déchiffrés.
- Les informations que vous enverrez atterriront donc au bon endroit.
- Les informations qui vous seront transmises pourront être sûres quant à leur origine.
- Aucun tiers, sous réserve de ce qui a été avancé précédemment, ne pourra avoir accès aux données transmises celles-ci étant chiffrées en fonction d'une clé générée par un utilitaire spécifique.
- Le chiffrement se réalise d'ailleurs avant que vous ne transmettiez votre identifiant et votre mot de passe, et avec Filezilla Server si vous n'acceptez pas la connexion sécurisée lorsqu'elle est obligatoire, vous êtes éjecté !!! : le serveur vous met dehors.

4°) C'est la carotte qui fait avancer l'âne :

Il y a peu de temps, nous partagions l'opinion exposée précédemment, à savoir que compte tenu de la complexité des noms d'utilisateurs et des mots de passe, ceux-ci étaient quasiment impossible à percer. Que nenni.
Dernièrement en l'espace d'une quinzaine de jours nous avons pu constater que certains sites avaient par enchantement été visités en toute tranquillité. Jusqu'ici nous avions l'habitude de les charger en Ftp, considérant que nom d'utilisateur et mot de passe étaient plus que suffisants. Mauvais raisonnement, car des "pirates des temps modernes" avaient déposé sur ces sites des fichiers chargés d'infecter la planète. Pratiquement, des correspondants inconnus, disséminés sur tous les continents recevaient des courriers électroniques ou cliquaient sur des liens attractifs positionnés sur des blogs. Ces liens leur permettaient de télécharger le fichier déposé sur le site, lequel contenait un virus qui leur détruisait toutes leurs données. En 24 heures un site qui est lu en moyenne par 10 personnes les bonnes semaines, a reçu plus de 2000 visiteurs ; çà va vite, et il y a du monde comme je vous l'ai écrit plus haut.
Extérieurement en consultant le site, tout apparaissait normal : ceux qui parcouraient les pages du site n'étaient pas touchés par cette "peste extérieure". Ce n'est qu'en consultant les fichiers présents à la suite d'une alerte générée par les services de sécurité de la Barclays'Bank qui ont eu la gentillesse de nous aviser, que les anomalies ont été découvertes. Dans un premier temps, nous avons déplacés les fichiers pervers : insuffisant. Le lendemain matin, tout était revenu et la peste continuait de se propager. La solution : il a fallu passer en Ftp sécurisé, et pour l'instant, nous attendons la prochaine attaque.

Ce petit intermède me permet de vous avancer un détail : pour que vous puissiez bénéficier d'une connexion parfaitement sécurisée, vous devez recevoir votre identifiant et votre mot de passe soit par téléphone ou par courrier postal. Si vous recevez ces informations par courrier électronique, une brèche est déjà ouverte.

Que faut-il faire face à une telle situation ? :

1°) Si vous administrez votre serveur localement, il vous faut changer tous les identifiant et mots de passe de tous les correspondants, puis leur transmettre ces nouvelles données par voie postale ou orale.

2°) Si votre serveur est distant, cas de la majorité des sites internet, il vous faut vous y connecter au moyen d'une liaison sécurisée, puis procéder au changement de l'identifiant et du mot de passe. L'idéal serait bien sûr que l'hébergeur procède localement à ce changement avec vous-mêmes.

Certes les esprits critiques constructifs pourront toujours nous avancer que cela n'est pas suffisant, mais :

- Une porte fermée est plus difficile à franchir qu'une porte ouverte,
- Une porte fermée à clef est plus difficile à franchir qu'une porte non verrouillée,
- Une porte comportant un simple blindage est plus difficile à percer qu'une porte simple etc...

5°) Ce qui vous est proposé :

Maintenant que vous y voyez sans doute un peu plus clair, il est bon que vous sachiez ce qui va vous être proposé, car une petite obole (le prix de deux cafés noirs au comptoir) vous sera demandée.

Nous allons vous expliquer comment configurer votre serveur afin de pouvoir le sécuriser en fonction des connectés. Exprimons nous plus simplement.
- Vous souhaitez que les liaisons avec certains correspondants soient sécurisées : elles le seront.
- Vous souhaitez qu'avec d'autres correspondants les liaisons ne soient pas sécurisées : elles ne le seront pas.

Filezilla Server permet en effet cette gesticulation, car il est des échanges qui n'ont pas besoin d'être sécurisés et cryptés (à notre point de vue) :
- Si vous mettez en ligne votre dernière vidéo de vacances sur votre serveur Ftp pour vos amis ou votre famille, il n'est d'aucune utilité de sécuriser la liaison car le cryptage et la sécurisation pèsent un peu sur la performance.
- Si vous vous bornez à mettre uniquement à disposition des fichiers : c'est le cas des grands sites des constructeurs d'informatique sur lesquels il est possible de venir télécharger des pilotes.

Pratiquement les liaisons sécurisées et cryptées se justifient surtout dans deux hypothèses :

a) Certains tiers disposent d'un droit d'accès leur permettant de déposer des fichiers ;
- cas des sites internet notamment, à partir d'un tel accès, tout est possible ; ou
- cas des serveurs vers lesquels des correspondants envoient des données.


b) Les informations accessibles possèdent un caractère de confidentialité telle, que leur divulgation aux tiers pourrait être préjudiciable.

Bref, il nous semble vous avoir exposé sur cette page une certaine philosophie ou méthode à respecter et c'est à vous maintenant de "faire travailler vos méninges" et de savoir ce qu'il vous reste à faire : configurer votre serveur.

Enfin, avant que vous ne procédiez vers l'étape suivante, si ultérieurement un terme, une expression, une explication ne vous pas apparaît pas limpide ou cristalline, n'hésitez pas à nous contacter et nous vous répondrons très rapidement.

L'établissement de connexions sécurisées constitue à priori la fin de cette trilogie. Pour les détails concernant les paramétrages à réaliser afin de sécuriser votre serveur Ftp, c'est par là.

Enfin si vous trouvez une erreur (lien brisé, faute d'orthographe etc...) ou même une erreur de principe, merci de bien vouloir nous le signaler.

Haut de page








Valid HTML 4.01 Transitional

Valid CSS!