Transfert à l’aide d’un FTP sécurisé

Vous pouvez transférer des fichiers cryptés à l’aide de FTPS en mode Explicit (FTPES) pour la connexion avec le serveur de destination de transfert de fichiers.

Réglage d’un transfert FTP sécurisé

Pour un transfert FTP sécurisé, réglez [Using Secure Protocol] sur [On] dans le serveur de destination de transfert de fichiers puis importez un certificat.

Précautions relatives à la fonction FTP

Avec le FTP, le contenu, le nom d’utilisateur et le mot de passe ne sont pas chiffrés. Pour un transfert de données sécurisé, utilisez FTPES (FTPS).

À propos de la fonction FTPS

La fonction FTPS prend en charge divers algorithmes de chiffrement pour garantir un transfert de fichiers sécurisé. Plusieurs algorithmes de chiffrement, dont certains ne sont pas conformes aux meilleures pratiques de sécurité actuelles, sont pris en charge pour la compatibilité avec une large gamme de serveurs.

Algorithmes de chiffrement pris en charge par la fonction FTPS

Les algorithmes de chiffrement suivants sont pris en charge.

  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

Algorithmes de chiffrement recommandés

Les algorithmes de chiffrement suivants sont recommandés conformément aux recommandations du NIST (NIST SP 800-57 Part 1 Revision 5) et aux normes de sécurité associées.

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

À propos des algorithmes obsolètes

La fonction FTPS prend également en charge les algorithmes suivants à des fins de compatibilité. Cependant, selon les recommandations du NIST (NIST SP 800-57 Part 1 Revision 5) et les normes de sécurité associées, ces algorithmes sont considérés comme obsolètes et pourraient être supprimés dans une version future.

  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

À propos de la compatibilité des connexions

La fonction FTPS est conçue pour offrir un équilibre entre sécurité et compatibilité. Actuellement, les algorithmes obsolètes sont pris en charge pour les raisons suivantes, mais ils peuvent être supprimés dans une version ultérieure afin d’améliorer la sécurité.

  • Les photographes et vidéastes indépendants doivent se connecter à des serveurs fonctionnant sur divers systèmes clients.
  • La compatibilité avec les anciens systèmes et les serveurs existants doit être maintenue.
  • Tous les utilisateurs ne sont pas en mesure de passer à des réglages plus sécurisés, car modifier les réglages de chiffrement côté serveur peut s’avérer complexe.
  • Les réglages FTPS sont fréquemment liés aux réglages d’autres services sécurisés. Tout changement doit être considéré avec précaution, car il peut avoir un impact sur d’autres services du serveur.
  • Un large éventail d’algorithmes de chiffrement doit être pris en charge pour garantir l’interopérabilité dans différents environnements.

L’algorithme de chiffrement utilisé lors d’une connexion FTPS est déterminé automatiquement par négociation avec le serveur de destination ; il dépend donc des réglages du serveur. Bien que les risques en matière de sécurité soient connus, la priorité est actuellement donnée à la compatibilité, afin de répondre aux besoins hétérogènes des utilisateurs.

Risques de sécurité

L’utilisation d’algorithmes obsolètes, tels que CBC/DHE/RSA/SHA-1, augmente le risque que les données chiffrées soient déchiffrées ou altérées par un attaquant, exposant ainsi les données durant leur transfert.

Recommandation pour une connexion sécurisée

Avant d’utiliser la fonction FTPS, vérifiez que le serveur de destination de la connexion prend en charge l’algorithme de chiffrement recommandé. Activez uniquement les algorithmes recommandés côté serveur et désactivez les algorithmes obsolètes.

Références

  • Recommendation for Key Management, Special Publication 800-57 Part 1 Revision 5, NIST, 2020.
  • Transitioning the Use of Cryptographic Algorithms and Key Lengths, Special Publication 800-131A Revision 2, NIST, 2019.
  • Recommendation for Block Cipher Modes of Operation: The CMAC Mode for Authentication, Special Publication 800-38B, NIST, 2005 (y compris les mises à jour à partir de 10/06/2016).
TP1002101125