Après toute une campagne pour l’adoption du HTTPS sur les sites, Google et Mozilla pourront bientôt s’intéresser au FTP (File Transfer Protocol) : les développeurs de Chrome et de Firefox envisagent de faire en sorte que les navigateurs ne supportent plus cet ancien protocole, tout cela au nom de la sécurité.
Le FTP est vraiment vieux. Le protocole a été développé en 1971 – bien avant l’Internet tel que nous le connaissons aujourd’hui – et sert essentiellement à recevoir ou à envoyer des fichiers aux serveurs. Le problème est que, parce qu’il est ancien, le FTP est loin de correspondre aux paramètres de sécurité actuels, du moins pour l’utilisation dans les navigateurs.
Pas pour moins, Google signale le contenu rendu par FTP comme “non sécurisé” depuis Chrome 63, une version sortie il y a plus d’un an. La crainte est que la facilité avec laquelle il est possible de transférer des fichiers non protégés des connexions FTP soit d’une certaine manière utilisée à des fins malveillantes.
Cette préoccupation ne vient pas d’aujourd’hui. Selon une enquête de Bleeping Computer, qui a fait état de discussions sur la suppression du FTP dans Chrome et Firefox, les développeurs de navigateurs de Google tentent de mettre en lumière cette proposition depuis au moins quatre ans.
La première discussion sur le sujet remonte à janvier 2014. À l’époque, un développeur a proposé, sur l’une des listes de diffusion de Chromium, la suppression du support natif de Chrome pour le FTP en raison de la faible utilisation du protocole dans le navigateur : “sur une période de sept jours, seuls 0,1 à 0,2 % des utilisateurs ont accédé à un lien FTP”.
Plusieurs discussions sur le sujet ont eu lieu depuis lors, principalement en 2018. Le dernier en date propose une désactivation partielle du protocole dans Chrome, pour ainsi dire. Malgré le nombre proportionnellement faible d’accès aux connexions FTP dans le navigateur, une suppression immédiate peut nuire aux utilisateurs. L’idée est donc, dans un premier temps, d’adopter des mesures pour diminuer les risques d’actions malveillantes exploitant le protocole.
Aujourd’hui, il fonctionne de la manière suivante : Chrome rend automatiquement certains types de fichiers (comme les images) à partir d’une connexion FTP et, pour d’autres formats, le contenu est téléchargé. Vous pouvez vérifier vous-même en cliquant sur le lien ftp://ftp.hp.com/pub/extaccel/landing.jpg. Notez que l’adresse pointe vers un serveur FTP, mais la photo disponible à cet endroit est généralement rendue par le navigateur.
La proposition est de faire en sorte que Chrome arrête de rendre les fichiers provenant du FTP et les télécharge à la place. Lorsque c’est le cas, les listes de l’annuaire s’affichent toujours normalement. L’élimination éventuelle du soutien au protocole serait alors laissée pour une autre phase.
En ce qui concerne Firefox, les discussions sur le sujet sont moins intenses, mais elles existent. Dans des réponses données il y a cinq mois à un sujet ouvert dans Bugzilla il y a 18 ans ( !!!), des développeurs liés à Mozilla défendent également l’idée de mettre fin au support FTP dans Firefox.
On ne peut pas dire quand et si ces décisions seront vraiment prises. Mais tout indique que suivre cette voie sera inévitable. L’alternative serait d’utiliser des clients comme les traditionnels FileZilla ou, vraisemblablement, des extensions FTP pour les navigateurs. Selon l’application, l’adoption de normes comme FTPS(FTP avec SSL) peut également être une option.
