Je ne sais pas si vous utilisez FileZilla, mais sachez qu’il enregistre vos mots de passe en clair dans un fichier /home/xxx/.filezilla/sitemanager.xml pour Linux par exemple :

Ma question est simple : est-ce que c’est dangereux ? La réponse me parait évidente que oui, mais vu que le logiciel le fait, je me dis que peut être je me trompe. Sous Windows, c’est clair et net que oui, n’importe quel virus ira lire le fichier, je suis sûr que beaucoup de sites piratés le sont ainsi. Mais sous Linux ? C’est possible ? Un virus peut aller lire un fichier dans notre home ?

Si la réponse est oui également, pourquoi FileZilla procède-t-il ainsi ? Pourquoi aucun message n’avertit l’utilisateur qu’il y a un risque potentiel de vol de mots de passe ?

Je comprends aisément que crypter le fichier ne changerait rien, si FileZilla peut le décrypter, le pirate le peut aussi, car cela revient à avoir le fichier en clair. Mais pourquoi ne pas proposer un master password demandé à chaque ouverture de FileZilla, mot de passe qui crypterait nos mots de passe enregistrés ?

J’ai une sacrée liste de FTP de sites que je gère plus ou moins, je ne peux pas m’en souvenir.

J’ai essayé d’autres clients FTP non libres, comme CrossOver ou FlashFXP. Les deux proposent l’enregistrement d’un master password, seulement les deux ont un problème de lib concernant les sites en SFTP over SSH, les deux brident à environ 500Ko/s la vitesse de transmission, quand FileZilla plafonne à plusieurs Mo. Je suis donc obligé de garder FileZilla.

Bref, si quelqu’un pouvait éclairer ma lanterne concernant ce potentiel risque de sécurité, ça serait sympa !