Le protocole FTP est utilisé depuis de nombreuses années pour échanger des fichiers. Ce moyen de communication a peu évolué mais la réglementation européenne RGPD / GDPR peut changer les choses. En effet, les entreprises sont tenues d’assurer la protection et la confidentialité des informations personnelles sur leurs clients et fournisseurs, cela peut donc aussi concerner les échanges par FTP. Pour se conformer à la loi, il faut chiffrer les transferts FTP avec TLS ou SSL. Avec le FTPS, pour FTP over TLS ou over SSL, est sécurisé de manière explicite ou implicite. Le FTPS peut aussi s’écrire FTPES.
Ce tutoriel explique comment configurer le FTPS (FTP over TLS) sur un serveur FTP FileZilla Server. Ce logiciel open source et gratuit est très populaire comme serveur FTP sur système d’exploitation Microsoft Windows.
Activer le FTP over TLS (FTPS) sur FileZilla Server
1. Ouvrir la console d’administration de FileZilla Server.
2. Aller dans le menu Edit, Settings.
3. Cliquer sur le menu « FTP over TLS settings » .
4. Cocher la ligne « Enable FTP over TLS support (FTPS) » .
5. Définir un port de connexion, par défaut le 990.
6. Cliquer sur le bouton « Generate new certificate » et remplir les informations demandées :
- Key size : 4096 bits
- 2-Digit country code : FR pour France, CA pour Canada, BE pour Belgique, CH pour la Suisse, DZ pour Algérie…
- Full State or Province : nom de l’Etat ou de la région
- Locality (City) : ville
- Organization : nom de l’entreprise
- Organization unit : nom du service, par exemple
- Contact E-mail : adresse mail de contact
- Common name : adresse du serveur
- Save key and certificate to this file : où enregistrer le fichier de certificat
Cliquer sur « Generate certificate » pour créer le certificat avec la clé privée RSA.
7. Par défaut, le simple FTP (port 21) sera encore activé : cocher la ligne « Disallow plain unencrypted FTP » pour refuser les futures connexions par ftp:// :
Les autres informations de configuration sur FTPS sur FileZilla Server se trouvent sur le wiki du logiciel open source.
8. Valider par OK. Le serveur FTP se relance et devient FTPS uniquement. Les prochaines connexions de clients FTP devront se faire par FTPS (ftps://) et non plus par FTP (ftp://). Le client FTP FileZilla gère ce protocole.
Connexion à un serveur FTPS
1. Ouvrir un client FTP et demander une connexion au serveur distant.
2. Accepter le certificat proposé.
3. La connexion et les transferts FTP sont sécurisés.
Techniquement, la session FTPS utilise le protocole TLS 1.2, l’échange de clé ECDHE-RSA, le chiffrement AES-256-GCM et le MAC : AEAD.
Connexion en FTP à un serveur uniquement FTPS
Si le serveur FileZilla est configuré pour n’accepter que les connexions sécurisées FTPS, une tentative de connexion par FTP sur port 21 sera soldée par un échec :
