P U B |
|
|
J'en profite d'avoir subi une mauvaise expérience pour prévenir d'autres utilisateurs de filezilla, notamment des webmasters.
Un trojan sévit depuis peu et vole le fichier contenant les mots de passe en clair issu de filezilla.
Je me suis fait piraté tous mes serveurs, vol de fichiers contenant des mots de passe, injection de fichiers .htaccess visant a récupérer des infos personnelles et faisant ramer le site forcement..
Voici un petit témoignage qui résume exactement la même situation.
citation : |
---|
Bonjour à tous . J’utilise filezilla , tres bon logiciel je gère plusieurs dizaines de sites + 100, tous allaient très bien, jusqu’au jour ou j’ai eu la surprise de taille , après avoir visité par hasard un site web avec un nouveau virus ( j’ai un antivir premium qui avait stoppé l’attaque, mais il semble que la seule exécution du code suffise à voler le fichier xml de filezilla stoqué dans application data ) de voir TOUS mes sites piratés, avec inclusion de code viral ou parfois le site effacé... Alors filezilla est un très bon logiciel …mais coté sécurité, il est TRES mauvais et victime de son succès, vu qu’il est utilisé en majorité par les webmasters du monde entier, les pirates ont écrit des virus spécifiques pour lui ! Ne pas stocker les mots de passe est vraiment fatigant et de toute façon le dernier site est aussi noté dans un autre fichier xml avec le mot de passe, meme s'il n’est pas conservé… Le concepteur ne semble pas motivé pour crypter les mots de passe et protéger son logiciel ! Moralité, je cherche un autre client ftp ! |
La tournure des phrases de la plupart des témoignages, de certains articles sur le sujet, et indirectement de cette news laisse sous-entendre que Filezilla n'est pas sécurisé et que c'est un peu sa faute si on se retrouve dans la merde.
Je n'ai envie d'accorder que la moitié de la vérité à cette idée. On doit en effet s'attendre à ce que dans un usage courant, un logiciel soit suffisamment sécurisé pour ne pas poser de problème grave. Pour autant, il est assez maladroit de pointer du doigt Filezilla comme étant directement à l'origine de nos mésaventures. Notamment, les développeurs du beau projet qu'est Filezilla ont un minimum de jugeotte en informatique et en matière de sécurité. Ainsi quand on lit dans un article de Tech-Evangelist, un site au nom pourtant assez évocateur "The long term fix would be for FileZilla to encrypt all FTP passwords in the XML files using a strong encryption method. It was pretty foolish to NOT encrypt this information.", il se trompe complètement.
Comme l'un des développeurs de filezilla le précise sur son forum, il serait inutile de crypter ce fichier de mots de passe. En effet, il suffirait alors au vers responsable de l'attaque d'attendre que l'utilisateur accède à sa liste de sites, pour intercepter la clé servant au décryptage, et donc disposer d'un accès en clair au fichier. Au final cette mesure ne ferait que repousser le moment où le vers accède aux données que l'on pensait sécurisées. Cette mesure aurait même l'inconvénient de donner une illusion de sécurité. Il est préférable que l'utilisateur ait conscience du danger, toute frappe au clavier peut être compromise une fois à la merci du vers.
De même que d'enregistrer ses mots de passe dans son navigateur.. Suffit qu'un vers copie les bons fichiers et zou... messagerie, compte bancaire etc...
Bref, mon intention n'était pas de pourrir filezilla, mais vu l'étendu des dégats et la vitesse à laquelle se propage le trojan, j'aime mieux prévenir...
Ouaip, retenir ou noter les informations banquaires c'est chaud chaud... je l'ai jamais fait ... mais bon, même sans les noter, le vers a juste à attendre qu'on se connecte sur un site de e-commerce et qu'on entre les infos pour les récupérer. En conclusion c'est de windows même dont il faut se méfier, ainsi que des logiciels contenant des failles (logiciels Adobe, Microsoft ...) qui permettent aux vers de s'installer, donc en gros ça veut dire passer sous Linux et être au taquet sur les mises à jour...
Alors, je vais poser la question que beaucoup doivent se poser : quel client FTP utiliser ?!
- Filezilla, en ne conservant pas la liste de ses sites, ou plutôt, Filezilla ainsi qu'un OS décent qui n'ait pas de trou de sécurité béant.
- Un autre client FTP Windows, qui crypterait ce fichier, ce qui serait inutile contre un vers qui scruterait la clé de décryptage.