sftp au lieu de ftp
Attention : SFTP =
SSH File Transfer Protocol, schéma d'URL en
sftp:. C'est une partie du protocole SSH qui permet de manipuler des fichiers et non d'ouvrir un shell. (Ce n'est
pas une surcouche de SSH, c'est bien une fonction intégrée du protocole. (Les premières versions de
scp implèmentaient le protocole SCP qui est une surcouche de SSH (en fait ils lançaient un processus SCP via le shell distant) mais maintenant scp utilise le protocole de transfert de fichiers de SSH, qui ne lance aucun processus en plus du processus serveur ssh acceptant.))
C'est un protocole mono-TCP qui ne pose pas de problème particulier avec les pare-feux et les NAT.
Tu voulais sans doute parler de
FTP/SSL qui correspond aux schémas d'URL
ftps://,
ftpes://, et
ftp://. Ce protocole hérite bien sûr de toutes les tares originelles de FTP, protocole bâtard, à la conception simpliste, dont une flopée d'amélioration ont tenté de palier les défauts. (Donc quand on dit que FTP est supporté, il faudrait toujours préciser quel dialecte est supporté.)
FTP est un protocole multi-TCP (séparant le TCP de contrôle et les TCP pour les charges utiles), ce qui fait qu'il ne passe pas les pare-feux bloquant les connexions entrantes dans le mode originel (mode actif), ni les NAT (quelle qu'en soit la forme : 1-à-1 sans état, 1-à-n avec état...), sauf présence d'un composant logiciel spécialisé (présent dans la plupart (toutes?) les box),
ce qui est exclus par la sécurisation de la connexion de données.
SSH n'a aucun lien avec SSL/TLS. Le format des paquets, l'organisation en couches, tout est différent. SSH propose aussi un multiplexage (
Channel Mechanism, permettant de gérer de façon automatique le forwarding X/Windows par exemple) qui n'a aucun équivalent en SSL/TLS : pour avoir plusieurs tunnels sécurisés, on doit ouvrir plusieurs connexions TCP.
Les garanties de sécurité implèmentées par SSH et SSL/TLS sont les mêmes :
- authentification du serveur
- (en option) authentification du client (par clef)
- secret des données
- intégrité
- perfect forward secrecy (en option pour SSL/TLS)
Le protocole SSL n'intègre pas une PKI donnée, mais les outils utilisant SSL, si. SSL est utilisable avec un système de vérification des clefs publiques quelconque, ou même aucune vérification si ce n'est pas jugé pertinent (p.ex. le GoogleBot).