Si vous transférez des fichiers via FTP, voici ce que vous devez savoir : le FTP standard envoie votre nom d'utilisateur, votre mot de passe et chaque fichier complètement non chiffré. N'importe qui sur le même réseau peut tout voir avec des outils basiques de capture de paquets. Ce n'est pas un risque théorique. Les vulnérabilités de transfert de fichiers ont causé certaines des plus grandes fuites de données de ces dernières années.
La bonne nouvelle : sécuriser vos transferts n'est pas compliqué. Il suffit d'utiliser le bon protocole et de suivre quelques pratiques.
Pourquoi le FTP simple est un problème
Le FTP a été conçu en 1971, bien avant que la sécurité sur internet ne soit une préoccupation. Il transmet tout en clair, y compris les identifiants de connexion. Sur un Wi-Fi de café, un routeur compromis, ou même un réseau d'entreprise avec un acteur malveillant, vos fichiers et mots de passe sont entièrement exposés.
Il ne s'agit pas que de fichiers personnels. En 2023, une vulnérabilité dans la plateforme de transfert de fichiers MOVEit a affecté plus de 3 000 organisations et environ 100 millions d'utilisateurs. En 2024, la société de services financiers Finastra a vu sa plateforme SFTP compromise, exposant potentiellement les données de banques du monde entier. En 2025, des vulnérabilités critiques dans Wing FTP Server et CrushFTP ont été activement exploitées.
Le schéma est clair : le transfert de fichiers est une cible de haute valeur, et l'utilisation de protocoles non chiffrés rend l'exploitation triviale.
SFTP vs FTPS vs FTP : lequel utiliser
SFTP (SSH File Transfer Protocol) est le meilleur choix pour la plupart des utilisateurs. Il chiffre tout sur une seule connexion SSH sur le port 22. Il supporte l'authentification par clé (aucun mot de passe envoyé sur le réseau), et son architecture à port unique simplifie la configuration du pare-feu. Si vous avez le choix, utilisez SFTP.
FTPS (FTP over TLS) ajoute le chiffrement SSL/TLS au protocole FTP original. Il est sûr quand il est correctement configuré, mais il hérite de l'architecture à double canal du FTP (connexions de contrôle et de données séparées), ce qui complique les règles de pare-feu et le NAT traversal. Il nécessite aussi la gestion des certificats SSL. Utilisez FTPS quand votre serveur ne propose pas SFTP.
Le FTP simple ne devrait être utilisé que sur des réseaux internes isolés où le trafic ne touche jamais internet. Même dans ce cas, demandez-vous si SFTP ne serait pas tout aussi facile à mettre en place.
Utilisez l'authentification par clé SSH
Les mots de passe peuvent être devinés, volés par phishing ou interceptés. Les clés SSH sont cryptographiquement robustes et pratiquement impossibles à forcer par force brute. Une clé RSA de 4096 bits ou une clé Ed25519 offre une sécurité qu'aucun mot de passe ne peut égaler.
Pour générer une clé sur votre Mac, ouvrez Terminal et exécutez :
ssh-keygen -t ed25519 -C "votre-email@example.com"
Cela crée une paire de clés dans ~/.ssh/. Ajoutez la clé publique aux clés autorisées de votre serveur. Puis configurez votre client FTP (ou FTPull/FTPush) pour utiliser la clé privée au lieu d'un mot de passe.
Pour stocker la phrase de passe de la clé dans le Trousseau macOS afin de ne pas avoir à la taper à chaque fois :
ssh-add --apple-use-keychain ~/.ssh/id_ed25519
Stockage des identifiants sur Mac
L'endroit où vos identifiants FTP sont stockés est important. Certaines apps stockent les mots de passe dans des fichiers de configuration en texte clair ou des plists de préférences sur le disque. Si un malware ou un utilisateur non autorisé accède à votre Mac, ces identifiants sont immédiatement compromis.
L'approche sécurisée est d'utiliser le Trousseau macOS, qui chiffre les identifiants et les protège avec le mot de passe de connexion de votre Mac. FTPSuite stocke tous les identifiants de connexion dans le Trousseau plutôt que dans des fichiers propres à l'app. Cela tire parti du chiffrement intégré d'Apple et des contrôles d'accès.
Sachez que les infostealers Mac (comme Atomic Stealer et Banshee) ciblent spécifiquement les données du Trousseau. Pour vous protéger : maintenez macOS à jour, activez le chiffrement FileVault, utilisez un mot de passe de connexion fort, et soyez prudent avec les téléchargements de sources inconnues.
Checklist de bonnes pratiques
- N'utilisez jamais le FTP simple pour quoi que ce soit de sensible ou sur internet.
- Préférez SFTP à FTPS quand les deux sont disponibles.
- Utilisez l'authentification par clé SSH au lieu de mots de passe quand c'est possible.
- Si vous utilisez des mots de passe, faites-les longs (16+ caractères), uniques et stockés dans un gestionnaire de mots de passe ou le Trousseau.
- Utilisez uniquement TLS 1.2 ou 1.3 pour les connexions FTPS. Désactivez les anciennes versions SSL/TLS.
- Vérifiez les certificats serveur pour FTPS. Ne sautez pas la validation des certificats.
- Restreignez l'accès au serveur par adresse IP quand c'est possible.
- Surveillez les logs de transfert pour détecter des heures de connexion inhabituelles, des tentatives d'authentification échouées ou des adresses IP inattendues.
- Gardez vos logiciels à jour. Les vulnérabilités zero-day dans les serveurs FTP sont exploitées rapidement.
- Activez FileVault sur votre Mac pour chiffrer tout le disque, protégeant les fichiers téléchargés au repos.
Comment FTPSuite gère la sécurité
FTPSuite (FTPull et FTPush) est conçu avec ces pratiques en tête :
- Supporte FTP, SFTP et FTPS (Explicite et Implicite).
- Stocke tous les identifiants dans le Trousseau macOS.
- Supporte l'authentification par clé SSH pour les connexions SFTP.
- S'exécute comme app native macOS sans dépendances externes ni démons en arrière-plan.
La sécurité de vos transferts de fichiers dépend du protocole que vous choisissez et de la façon dont vous gérez vos identifiants. Les outils existent. Utilisez-les.