Désinstallez FileZilla

Par défaut

Ce client FTP est très populaire, et c’était ma référence en la matière depuis de nombreuses années. Mais au boulot, j’ai dû m’en passer, après avoir tenté de me connecter au FTP d’un partenaire.

Mais récemment, en voulant bidouiller le thème du blog, l’upload de CSS cassait tout. Je pensais avoir fait une coquille, mais non. Je retélécharge le fichier d’origine et l’upload sans modification et là, stupeur : c’est tout pété quand même. Je fouille les réglages de FileZilla, et je me dis après 1h de recherches infructueuses que je vais tester un autre client.

Je me tourne donc vers Alternative.net pour trouver un concurrent et je vois ça :

« Application not safe » que je lis… je creuse rapidement la question et découvre un fork, FileZilla Secure qui annonce la couleur sur son site dans un TL ; DR :

FileZilla does not encrypt your saved FTP passwords and I got hacked. FileZilla Secure will encrypt your saved FTP passwords with a master password.

Traduction rapide :

FileZilla ne chiffre pas vos mots de passe FTP sauvegardés et j’ai été piraté. FileZilla Secure chiffrera vos mots de passe avec un mot de passe maître.

J’ai regardé ce que j’avais sur mon disque, et en effet, le mot de passe est sauvé en base64, un truc qui se décode en 2 secondes. Le soucis avec ça, c’est que si vous chopez un malware qui a pour objectif d’aller lire les fichiers de configuration de FileZilla, qui se trouvent toujours au même endroit, il peut choper vos mots de passe sauvegardés et les envoyer sur le Net.

Ajoutons à ce fait déjà grave que l’installeur de FileZilla tente de vous faire installer un produit sponsorisé même temps (ce qu’on appelle un « bundleware ») je n’ai pas cherché plus loin, j’ai dégagé ce caca puant.

Si vous êtes vraiment trop habitué à l’interface de FileZilla, le fork sécurisé est une bonne idée. Seule une version Windows est disponible actuellement, mais les version Mac et Linux arrivent, a priori.

Personnellement, j’ai opté pour WinSCP (Windows seulement), qui a l’avantage de pouvoir utiliser les sessions Pageant de PuTTY (un truc qui permet de se connecter sans mot de passe).

C’est vraiment triste de voir à quel point ce soft qui était excellent est devenu mauvais avec le temps.