J'en profite d'avoir subi une mauvaise expérience pour prévenir d'autres utilisateurs de filezilla, notamment des webmasters.
Un trojan sévit depuis peu et vole le fichier contenant les mots de passe en clair issu de filezilla.
Je me suis fait piraté tous mes serveurs, vol de fichiers contenant des mots de passe, injection de fichiers .htaccess visant a récupérer des infos personnelles et faisant ramer le site forcement..

Voici un petit témoignage qui résume exactement la même situation.



Voila, j'espère que ca aidera certains avant que le pire n'arrive.
Et pour ceux qui pensent que se chopper des trojans ca n'arrive jamais, changez de mentalité ! Même moi qui suis calé en informatique (sans vouloir me vanter) j'ignore encore comment ce trojan est arrivé chez moi.
Windows est une passoire aveugle qui ne laisse pas de trace, soyez prudent.

La tournure des phrases de la plupart des témoignages, de certains articles sur le sujet, et indirectement de cette news laisse sous-entendre que Filezilla n'est pas sécurisé et que c'est un peu sa faute si on se retrouve dans la merde.
Je n'ai envie d'accorder que la moitié de la vérité à cette idée. On doit en effet s'attendre à ce que dans un usage courant, un logiciel soit suffisamment sécurisé pour ne pas poser de problème grave. Pour autant, il est assez maladroit de pointer du doigt Filezilla comme étant directement à l'origine de nos mésaventures. Notamment, les développeurs du beau projet qu'est Filezilla ont un minimum de jugeotte en informatique et en matière de sécurité. Ainsi quand on lit dans un article de Tech-Evangelist, un site au nom pourtant assez évocateur "The long term fix would be for FileZilla to encrypt all FTP passwords in the XML files using a strong encryption method. It was pretty foolish to NOT encrypt this information.", il se trompe complètement.
Comme l'un des développeurs de filezilla le précise sur son forum, il serait inutile de crypter ce fichier de mots de passe. En effet, il suffirait alors au vers responsable de l'attaque d'attendre que l'utilisateur accède à sa liste de sites, pour intercepter la clé servant au décryptage, et donc disposer d'un accès en clair au fichier. Au final cette mesure ne ferait que repousser le moment où le vers accède aux données que l'on pensait sécurisées. Cette mesure aurait même l'inconvénient de donner une illusion de sécurité. Il est préférable que l'utilisateur ait conscience du danger, toute frappe au clavier peut être compromise une fois à la merci du vers.

De même que d'enregistrer ses mots de passe dans son navigateur.. Suffit qu'un vers copie les bons fichiers et zou... messagerie, compte bancaire etc...
Bref, mon intention n'était pas de pourrir filezilla, mais vu l'étendu des dégats et la vitesse à laquelle se propage le trojan, j'aime mieux prévenir...

Ouaip, retenir ou noter les informations banquaires c'est chaud chaud... je l'ai jamais fait ... mais bon, même sans les noter, le vers a juste à attendre qu'on se connecte sur un site de e-commerce et qu'on entre les infos pour les récupérer. En conclusion c'est de windows même dont il faut se méfier, ainsi que des logiciels contenant des failles (logiciels Adobe, Microsoft ...) qui permettent aux vers de s'installer, donc en gros ça veut dire passer sous Linux et être au taquet sur les mises à jour...

Alors, je vais poser la question que beaucoup doivent se poser : quel client FTP utiliser ?!

- Filezilla, en ne conservant pas la liste de ses sites, ou plutôt, Filezilla ainsi qu'un OS décent qui n'ait pas de trou de sécurité béant.
- Un autre client FTP Windows, qui crypterait ce fichier, ce qui serait inutile contre un vers qui scruterait la clé de décryptage.