FTP vs. SFTP : un com­pa­ra­tif des deux pro­to­coles

FTP et SFTP sont tous deux des pro­to­coles de transfert de données. Il se dif­fé­ren­cient néanmoins par leur niveau de transfert et les mesures de sécurité intégrées. Voici comment ces deux pro­to­coles réseau fonc­tion­nent en détail et dans quel cas il vaut mieux utiliser FTP ou SFTP.

FTP, c’est quoi ?

FTP signifie File Transfer Protocol. C’est un protocole réseau qui sert à échanger des fichiers entre serveurs et clients. Il contient des règles de com­mu­ni­ca­tion au sein d’un réseau IP et permet de trans­fé­rer des données vers un serveur à l’aide d’un na­vi­ga­teur ou d’un client FTP.

Le dé­ve­lop­pe­ment du protocole FTP date de 1971. À cette époque, les dangers d’Internet n’étaient pas encore reconnus. Les nom­breuses failles de sécurité de FTP, vé­ri­tables portes ouvertes pour les pirates in­for­ma­tiques, ne furent re­mar­quées et comblées que plus tard. Toutefois, le FTP présente toujours certains risques.

Et SFTP, alors ?

SFTP signifie SSH File Transfer Protocol et constitue une extension du protocole FTP. Publié en 2001 par l’Internet En­gi­nee­ring Task Force (IETF), il est aussi connu sous le nom de Secure Transfer Protocol. À l’inverse de son pré­dé­ces­seur, SFTP utilise en plus une connexion chiffrée Secure Shell.

SSH est un protocole de tun­ne­li­sa­tion qui transmet des fichiers de manière sécurisée via le port TCP 22. Les données ne sont pas trans­mises au format texte, mais chiffrées à l’aide d’al­go­rithmes de chiffrage. Il est ainsi plus compliqué pour les pirates d’accéder aux mots de passe ou autres données con­fi­den­tielles. SFTP utilise la version 2 du protocole SSH, qui permet de « tun­nel­li­ser » n’importe quelle ap­pli­ca­tion TCP/IP.

FTP vs. SFTP : quelle est la dif­fé­rence ?

FTP comme SFTP per­met­tent tous deux de té­lé­char­ger et d’ajouter des fichiers depuis et sur un serveur. La plupart des clients FTP, comme FileZilla, prennent en charge les deux pro­to­coles.

FTP utilise deux canaux : un canal de commande et un canal de données. Cela cor­res­pond aux ports TCP 20 et 21, sans connexion chiffrée. De son côté, SFTP utilise un seul canal pour la trans­mis­sion des données, soit le port TCP 22. Ce canal est cependant chiffré par SSH.

Les deux pro­to­coles se dif­fé­ren­cient aussi par la taille des fichiers autorisée pour les trans­ferts : 4 Go pour FTP et 16 Go pour SFTP.

FTP ou SFTP, lequel choisir ?

Glo­ba­le­ment, SFTP reste le protocole sécurisé de choix pour les trans­ferts de données entre client et serveur. Il permet aussi de trans­fé­rer de manière chiffrée des in­for­ma­tions sensibles comme les fichiers de con­fi­gu­ra­tion. En revanche, FTP laisse la pos­si­bi­lité aux cy­ber­cri­mi­nels d’in­ter­cep­ter des données au format texte.

SFTP prend aussi en charge l’au­then­ti­fi­ca­tion par clé publique, de quoi assurer un niveau de pro­tec­tion plus élevé que le simple mot de passe. De plus, le dépannage ainsi que la con­fi­gu­ra­tion du client et du serveur sont plus faciles avec SFTP.

Dans quels cas vaut-il mieux utiliser FTP ou SFTP ?

Le choix entre FTP vs. SFTP dépend des exigences en matière de transfert de données : FTP convient pour les trans­ferts de données qui ne demandent pas de pro­tec­tion contre un accès non autorisé. Il peut s’agir, par exemple, de documents ac­ces­sibles au public ou de pro­gi­ciels validés. De plus, FTP suffit pour les trans­ferts dans des réseaux locaux privés, du moment que ceux-ci sont suf­fi­sam­ment sécurisés.

En revanche, à partir du moment où des in­for­ma­tions con­fi­den­tielles doivent être échangées entre le serveur et le client, mieux vaut utiliser le protocole SFTP. Il permet de trans­mettre des données sensibles de manière sécurisée et chiffrée, même sur des réseaux publics. Il s’agit par exemple de données per­son­nelles du type in­for­ma­tions fi­nan­cières, relatives à la santé ou à l’état civil. Il est aussi re­com­mandé d’utiliser SFTP entre les dif­fé­rents éta­blis­se­ments d’une même en­tre­prise.