FTP, FTPS ou SFTP : lequel choisir pour sécuriser vos transferts ?

Le transfert de fichiers constitue une opération quotidienne dans les environnements informatiques, qu’il s’agisse de partager des documents avec des collègues ou de déployer des applications sur un serveur distant. Trois protocoles dominent ce domaine depuis plusieurs décennies : FTP, FTPS et SFTP, chacun offrant des capacités et des niveaux de sécurité distincts. Comprendre leurs différences, leurs avantages respectifs et leurs limites s’avère essentiel pour quiconque souhaite maîtriser l’infrastructure réseau moderne et sécuriser ses échanges de données.

Fondamentaux du protocole FTP : le pionnier du transfert de fichiers

FTP utilise deux canaux distincts : un canal de contrôle sur le port 21 pour les commandes et l’authentification, et un canal de données généralement sur le port 20 pour le transfert de fichiers, sans aucun chiffrement, exposant ainsi toutes les informations en clair sur le réseau.

Le File Transfer Protocol (FTP) représente l’un des protocoles réseau les plus anciens encore en usage. Apparu dans les années 1970, sa version finale standardisée date de 1985 et correspond à la RFC 959. À l’époque, les préoccupations de sécurité différaient radicalement de celles d’aujourd’hui, ce qui explique certaines de ses caractéristiques structurelles. FTP fonctionne selon un modèle client-serveur où un client établit une connexion TCP avec un serveur FTP afin d’échanger des fichiers, tant en envoi qu’en réception.

Le mécanisme fondamental de FTP repose sur deux canaux de communication distincts : un canal de contrôle et un canal de données. Le premier gère l’authentification, les commandes FTP et la navigation dans l’arborescence du serveur, tandis que le second assure effectivement le transfert des fichiers. Cette séparation présente des avantages en termes d’organisation du flux, mais introduit aussi une complexité opérationnelle que d’autres protocoles ont résolue différemment.

L’inconvénient majeur du FTP réside dans son absence totale de chiffrement. Identifiants, mots de passe et commandes transitent en clair sur le réseau, exposant l’utilisateur à des risques de capture de données et d’interception. Pour une organisation moderne souhaisant respecter les standards de sécurité informatique, FTP ne satisfait plus aux exigences minimales de protection des données sensibles.

Architecture en mode actif et mode passif

Lors de la configuration d’un serveur FTP, deux approches s’offrent à l’administrateur : le mode actif et le mode passif. Ces deux modes impactent directement la manière dont les canaux de communication s’établissent et leur capacité à traverser des pare-feu.

En mode actif, le canal de contrôle s’établit sur le port 21 du serveur FTP, tandis que le serveur initie le canal de données sur le port 20 à destination du client. Cette approche pose une problématique majeure : lorsqu’un pare-feu protège le poste client, il bloque généralement les connexions entrantes non sollicitées. Le serveur FTP tentant d’établir une connexion vers le client sur le port 20 se verra donc refuser l’accès, rendant le transfert impossible.

Le mode passif inverse cette logique. Le canal de contrôle fonctionne toujours sur le port 21, mais pour le canal de données, le client et le serveur négocient d’un commun accord un port supérieur à 1024. C’est le client qui initie cette connexion vers le serveur, contournant ainsi les restrictions imposées par les pare-feu traditionnels. Cette approche s’avère nettement plus compatible avec les infrastructures réseau contemporaines, où les pare-feu appliquent des règles restrictives par défaut.

Le choix entre ces deux modes dépend largement de la topologie réseau et de la politique de sécurité en vigueur. Les environnements modernes favorisent écrasamment le mode passif, qui offre une meilleure compatibilité avec les systèmes de sécurité périphérique actuels.

Commandes essentielles et outils clients FTP

Bien que FTP propose une trentaine de commandes différentes, certaines constituent l’essentiel des opérations quotidiennes. Les commandes GET ou RETR permettent de récupérer un fichier depuis le serveur, tandis que PUT envoie un fichier vers le serveur. D’autres commandes comme MKD créent des dossiers, et CLOSE ferme la session en cours. Ces commandes s’exécutent généralement via une interface en ligne de commande ou, plus couramment, par l’intermédiaire d’un client graphique.

Plusieurs outils facilitent l’utilisation du FTP. Sur Windows, FileZilla et WinSCP offrent des interfaces intuitives permettant aux utilisateurs sans connaissances techniques approfondies de gérer les transferts. Sur Linux, l’outil en ligne de commande ftp natif suffit à la plupart des cas, tandis que PowerShell peut également jouer le rôle de client FTP sur les systèmes Microsoft modernes.

Côté serveur, les solutions varient également. Windows propose FileZilla Server ou le module FTP intégré à Microsoft IIS, tandis que Linux dispose de serveurs robustes comme ProFTPd et PureFTPd. Le choix dépend de l’infrastructure existante et du niveau de fonctionnalités requis.

📘 Définition

Le port est un numéro logique attribué à chaque service réseau pour permettre aux ordinateurs de distinguer différentes communications sur le même appareil. Par exemple, le port 21 pour FTP et le port 22 pour SSH.

FTPS : sécuriser FTP avec le chiffrement SSL/TLS

FTPS ajoute une couche de chiffrement SSL/TLS au protocole FTP, protégeant ainsi l’intégralité des données échangées, dont les identifiants et les fichiers, contre toute interception ou modification lors du transfert sur le réseau.

Le protocole FTPS (FTP Secure) représente une évolution directe du FTP traditionnel. Son principe demeure similaire, mais un chiffrement SSL/TLS s’ajoute à la couche de communication pour protéger l’intégrité et la confidentialité des données échangées. Identifiants, mots de passe et flux de fichiers deviennent ainsi indéchiffrables pour un observateur non autorisé interceptant le trafic réseau.

FTPS fonctionne selon deux modes distincts, chacun offrant une approche différente au chiffrement. Comprendre ces modes s’avère crucial pour déployer correctement le protocole dans un environnement donné.

FTPS explicite et FTPS implicite : deux approches du chiffrement

Le mode FTPS explicite (également appelé AUTH TLS) établit d’abord une connexion non chiffrée sur le port 21, puis négocie le chiffrement via les commandes FTP AUTH TLS ou AUTH SSL, suivies de PROT P pour protéger le canal de données. Cette approche offre une compatibilité rétroactive intéressante : les serveurs FTPS explicites peuvent accepter les connexions FTP ordinaires et les mettre à niveau vers FTPS si le client le souhaite.

Le mode FTPS implicite adopte une philosophie radicalement différente. La connexion commence directement avec le chiffrement SSL/TLS, sans phase de négociation préalable. Le serveur écoute sur le port 990 plutôt que le port 21, et le canal de données utilise le port 989. Ce mode offre une sécurité d’emblée, éliminant la fenêtre temporelle où les données transitent en clair, même si cette durée demeure très courte en mode explicite.

En pratique, le mode explicite s’avère plus flexible et plus largement supporté par les infrastructures existantes, tandis que le mode implicite fournit une garantie de sécurité supérieure dès la première connexion. Le choix entre ces deux modes dépend des exigences spécifiques de sécurité et de la nécessité de maintenir la compatibilité avec d’anciens systèmes.

Comparaison des avantages et limitations de FTPS

FTPS conserve l’architecture familière du FTP original, ce qui facilite la migration des environnements existants vers une solution sécurisée. Les outils clients graphiques comme FileZilla et WinSCP supportent nativement FTPS, rendant la transition transparente pour les utilisateurs non-techniques.

Cependant, FTPS présente des complications inhérentes à son architecture en deux canaux. La négociation du canal de données sur un port dynamique rend la configuration des pare-feu plus délicate que d’autres protocoles modernes. De plus, le certificat SSL/TLS doit couvrir entièrement le serveur, et sa gestion devient un élément critique de l’infrastructure sécuritaire.

Une autre considération importante : bien que FTPS chiffre les données en transit, il ne crée qu’un seul tunnel de sécurité global. Contrairement à une approche plus intégrée, FTPS demeure un protocole historique auquel on a ajouté une couche de sécurité plutôt qu’un protocole pensé d’emblée avec la sécurité comme fondation.

🛠️ Astuce

Pour renforcer la sécurité lors d’un transfert FTPS, veillez à renouveler régulièrement votre certificat SSL/TLS et à vérifier sa validité pour éviter toute interruption de service ou faille de sécurité.

SFTP : le protocole moderne de transfert sécurisé

SFTP repose entièrement sur le protocole SSH, établissant un tunnel chiffré unique sur le port 22, ce qui simplifie la configuration réseau, renforce la sécurité et permet une authentification flexible par clés ou certificats.

Le protocole SFTP (SSH File Transfer Protocol), également appelé Secure File Transfer Protocol, représente une philosophie radicalement différente. Plutôt que d’ajouter du chiffrement à un protocole ancien, SFTP se construit sur le socle robuste et éprouvé du protocole SSH (Secure Shell). Le client établit un tunnel SSH avec le serveur distant, et l’intégralité du flux FTP transite à travers ce tunnel chiffré, garantissant une sécurité de bout en bout.

Contrairement aux approches FTP et FTPS, SFTP ne nécessite pas un serveur FTP dédié. Un serveur SSH standard suffit amplement. La connexion s’établit sur le port 22, port SSH par défaut, ce qui simplifie considérablement les configurations réseau et l’architecture de sécurité. Un seul tunnel, une seule négociation, un chiffrement unique couvrant l’ensemble de la session.

Architecture et fonctionnement du tunnel SSH

Le mécanisme de SFTP repose entièrement sur l’établissement d’un tunnel SSH préalable. Une fois ce tunnel établi et authentifié, le client peut envoyer des commandes FTP standards (GET, PUT, etc.) qui s’exécutent à travers le tunnel, de manière complètement transparente pour l’utilisateur. Cette architecture offre plusieurs avantages décisifs par rapport à FTPS.

Premièrement, une seule négociation de sécurité suffit au lieu de deux. Le client FTP et le serveur FTP n’ont besoin de négocier que le tunnel SSH unique, éliminant la complexité liée à la gestion de canaux multiples avec leurs propres paramètres de sécurité.

Deuxièmement, SSH propose des mécanismes d’authentification bien plus flexibles que FTPS. Au-delà des simples identifiants et mots de passe, SSH supporte les clés publique-privée, les certificats, et d’autres méthodes cryptographiques avancées. Cette richesse d’options offre une sécurité supérieure et une gestion des accès plus fine.

Troisièmement, la configuration des pare-feu devient triviale. Seul le port 22 doit rester ouvert, alors que FTPS require l’ouverture du port 21 et l’autorisation des connexions entrantes sur une plage de ports dynamiques. Pour les administrateurs réseau, SFTP présente un profil de sécurité nettement plus clair et plus facile à valider.

Outils et clients SFTP pour les environnements variés

FileZilla et WinSCP, les mêmes outils populaires utilisés pour FTP et FTPS, supportent pleinement SFTP. Les utilisateurs bénéficient donc d’une expérience unifiée, capable de traiter indifféremment les trois protocoles via la même interface. Sur Linux, en plus de l’outil en ligne de commande sftp, des options graphiques modernes existent pour les utilisateurs préférant une approche visuelle.

L’absence de dépendance envers un serveur FTP dédié ouvre des possibilités intéressantes. Tout système Linux ou Unix disposant d’un serveur SSH (OpenSSH par exemple) peut immédiatement servir de serveur SFTP. Cette ubiquité rend SFTP particulièrement attrayant pour les environnements cloud et les déploiements distribués, où installer et maintenir un service FTP additionnel représente une surcharge administrative non négligeable.

💡 Explication

SFTP n’est pas simplement une version sécurisée de FTP : il repose sur le protocole SSH et fonctionne différemment dans sa structure technique, ce qui lui confère une sécurité intrinsèque supérieure.

Comparaison détaillée : FTP vs FTPS vs SFTP

FTP ne chiffre pas les données, FTPS utilise SSL/TLS pour le chiffrement sur des ports multiples et SFTP s’appuie sur SSH avec un seul port, offrant ainsi le meilleur niveau de sécurité et la configuration la plus simple pour les pare-feu.

Chacun de ces trois protocoles occupe une place dans le paysage informatique moderne, mais leurs caractéristiques diffèrent substantiellement. Une analyse comparative systématique aide à déterminer celui qui correspond le mieux à une situation donnée.

🔍 Caractéristique	FTP	FTPS	SFTP
Chiffrement	❌ Aucun	✅ SSL/TLS	✅ SSH
Ports utilisés	21 (contrôle), 20 (données)	21/990 (contrôle), 989+ (données)	22 (unique)
Serveur requis	Serveur FTP dédié	Serveur FTP dédié	Serveur SSH standard
Authentification	Identifiants seuls	Identifiants ou certificats	Identifiants, clés SSH, certificats
Firewall	⚠️ Complexe (plage dynamique)	⚠️ Complexe (plage dynamique)	✅ Simplifié (port 22 uniquement)
Sécurité	❌ Critique	✅ Bonne	✅ Excellente
Performance	🚀 Rapide	⚡ Modérée	⚡ Modérée

Sécurité : le critère prédominant

En matière de sécurité, l’écart s’avère caverneux. FTP transitant en clair, une interception de trafic révèle instantanément identifiants et données. FTPS et SFTP offrent tous deux le chiffrement, mais par des mécanismes différents. FTPS s’appuie sur des certificats SSL/TLS, tandis que SFTP bénéficie de la maturité éprouvée du protocole SSH, déployé massivement depuis deux décennies dans des environnements critiques mondiaux.

Une nuance importante : le chiffrement ne suffit pas à garantir la sécurité. La gestion des certificats dans FTPS exige une infrastructure PKI appropriée, tandis que SSH offre des alternatives flexibles. Pour un administrateur gérant une infrastructure mixte, SFTP réduit la complexité cryptographique globale.

Configuration réseau et contraintes pare-feu

La contrainte pare-feu constitue un élément pratique décisif. FTP et FTPS requièrent tous deux l’ouverture de plusieurs ports : le port 21 pour le contrôle, et une plage de ports dynamiques pour les données. Cette plage varie selon le serveur et sa configuration, compliquant les règles de pare-feu et exposant l’infrastructure à des risques de misconfiguration.

SFTP simplifie radicalement cette équation : seul le port 22 doit rester ouvert. Cette approche minimaliste rend la validation de sécurité plus facile, le monitoring plus simple et la configuration des équipements réseau moins sujette à erreur. Pour les organisations avec des milliers de serveurs, cette différence d’architecture réseau génère des économies substantielles en coûts opérationnels.

Compatibilité matérielle et logicielle

FTP, en tant que protocole très ancien, jouit d’une compatibilité universelle. Quasiment tout périphérique ou logiciel réseau le supporte, une considération non négligeable dans les environnements hétérogènes comportant du matériel legacy. Cependant, cette ubiquité s’accompagne du risque que certains appareils anciens ne supportent pas FTPS ou SFTP, forçant à maintenir un serveur FTP non sécurisé en parallèle.

FTPS et SFTP jouissent d’une support excellent dans les outils contemporains. FileZilla, WinSCP, et les clients en ligne de commande modernes gèrent indifféremment les trois protocoles. Pour toute infrastructure datant de moins de dix ans, la compatibilité ne pose généralement pas de problème significatif.

Scénarios de déploiement et recommandations pratiques

SFTP est recommandé pour les environnements modernes grâce à sa sécurité native, sa simplicité de déploiement via SSH et sa gestion facilitée des accès, tandis que FTPS reste pertinent pour les infrastructures Windows existantes ou les exigences de compatibilité.

Le choix du protocole approprié dépend intrinsèquement du contexte de déploiement, des exigences de sécurité et de la charge de travail envisagée. Plusieurs scénarios représentatifs illustrent les préférences rationnelles.

Quand privilégier SFTP dans les environnements modernes

SFTP s’impose comme la solution par défaut pour toute organisation disposant d’une infrastructure SSH existante. Les serveurs Linux et Unix, omniprésents dans les data centers et le cloud, fonctionnent nativement avec SSH. Ajouter SFTP ne demande aucune installation supplémentaire, aucune licence additionnelle, et aucune surcharge opérationnelle.

Les scénarios privilégiant SFTP incluent :

🔐 Transfert de données sensibles entre partenaires (données financières, dossiers médicaux, secrets commerciaux)
☁️ Déploiements cloud où les instances Linux constituent la majorité de l’infrastructure
🔑 Authentification fine requise, où les clés SSH offrent un contrôle d’accès granulaire
🏢 Organisations décentralisées où SSH est déjà déployé uniformément
📊 Transferts programmés via scripts d’automatisation (Ansible, Terraform, etc.) utilisant nativement SSH

Cas d’usage de FTPS : compatibilité et situations intermédiaires

FTPS reste pertinent dans des contextes bien définis. Certaines organisations héritières possèdent des serveurs FTP Windows ancrés profondément dans leur infrastructure (souvent IIS avec le module FTP). Migrer ces systèmes vers SFTP demande d’installer un serveur SSH supplémentaire ou de basculer vers une solution Linux entièrement nouvelle, un investissement significatif si le serveur assume d’autres responsabilités.

FTPS convient particulièrement aux situations suivantes :

🪟 Serveurs Windows sans infrastructure SSH existante
🔗 Intégration EDI/B2B où les partenaires attendent FTPS spécifiquement
📝 Conformité réglementaire mentionnant explicitement FTPS (certaines normes plus anciennes)
🛠️ Systèmes embarqués ou matériel legacy ne supportant que FTP/FTPS

FTP : uniquement en contextes internes non sensibles

FTP ne devrait jamais transporter de données sensibles ou traverser des réseaux publics. Son unique justification réside dans les environnements internes hautement contrôlés où aucun risque d’interception n’existe (réseau physiquement isolé, administrateurs de confiance, données publiques). Même dans ces cas, la tendance actuelle recommande de le remplacer par l’une de ses alternatives sécurisées, ne serait-ce que pour homogénéiser l’infrastructure et éliminer une surface d’attaque archaïque.

L’évolution de la technologie depuis la fondation du FTP en 1985 a profondément modifié le paysage des besoins en sécurité informatique. Aujourd’hui, FTPS et surtout SFTP constituent les choix rationnels pour tout déploiement en 2026. SFTP émmerge comme la solution privilégiée grâce à son architecture épurée, son intégration triviale avec les infrastructures modernes et son profil de sécurité supérieur. FTPS demeure valide pour les héritages Windows ou les contraintes de compatibilité spécifiques. Quant à FTP, il persiste uniquement comme vestige historique, à utiliser en dernier recours dans des circonstances exceptionnelles où aucune alternative sécurisée n’existe.

Comprendre et maîtriser le transfert de fichiers avec les protocoles FTP, FTPS et SFTP est essentiel pour garantir la sécurité des données

Questions / Réponses sur ce sujet (FAQ)

Quelles sont les principales différences entre FTP, FTPS et SFTP ?

FTP est un protocole de transfert de fichiers non sécurisé, FTPS ajoute une couche de chiffrement SSL/TLS au FTP pour sécuriser les échanges, tandis que SFTP est un protocole entièrement distinct basé sur SSH, offrant un tunnel sécurisé et une gestion simplifiée via un seul port (22). SFTP se distingue par sa sécurité supérieure, sa simplicité de configuration réseau et sa prise en charge des clés SSH pour l’authentification.

Pourquoi ne faut-il plus utiliser FTP pour transférer des données sensibles ?

FTP transmet toutes les informations, y compris les identifiants et mots de passe, en clair sur le réseau. Cela expose les utilisateurs à des risques majeurs d’interception et de vol de données. Les standards actuels de sécurité informatique exigent un chiffrement, ce que ne propose pas FTP.

Dans quels cas privilégier SFTP plutôt que FTPS ?

SFTP est à privilégier dès que l’infrastructure dispose d’un serveur SSH, notamment sur les systèmes Linux ou dans les environnements cloud. Il est recommandé pour les transferts de données sensibles, les automatisations via scripts, l’authentification avancée par clés SSH et les réseaux nécessitant une configuration de pare-feu simplifiée.

Quels sont les avantages de FTPS par rapport à FTP ?

FTPS apporte le chiffrement SSL/TLS, protégeant ainsi la confidentialité et l’intégrité des données, des identifiants et des mots de passe. Il est compatible avec la plupart des clients FTP modernes et s’intègre bien dans des environnements Windows existants sans nécessiter de changement d’architecture majeur.

Quels ports doivent être ouverts pour chaque protocole ?

FTP nécessite l’ouverture du port 21 pour le contrôle et d’une plage dynamique pour les données (en mode passif ou actif). FTPS utilise généralement le port 21 (explicite) ou le port 990 (implicite) pour le contrôle, et des ports dynamiques pour les données. SFTP fonctionne uniquement sur le port 22, ce qui simplifie grandement la gestion des pare-feu.

Quels outils gratuits permettent de se connecter à FTP, FTPS ou SFTP ?

Des outils comme FileZilla et WinSCP sont gratuits et compatibles avec FTP, FTPS et SFTP. Sous Linux, les commandes ftp et sftp sont disponibles en ligne de commande, et il existe aussi des interfaces graphiques dédiées.

Quels sont les risques à utiliser FTPS ou SFTP avec une mauvaise gestion des certificats ou des clés ?

Un certificat mal configuré ou expiré sur FTPS peut empêcher les connexions sécurisées et ouvrir des failles potentielles. Sur SFTP, une mauvaise gestion des clés SSH peut permettre des accès non autorisés ou bloquer des utilisateurs légitimes. Il est donc crucial de gérer correctement l’infrastructure de certificats et de clés.

FTP, FTPS et SFTP sont-ils compatibles avec tous les systèmes d’exploitation ?

FTP est universellement compatible à cause de son ancienneté. FTPS et SFTP sont aussi largement supportés par les systèmes d’exploitation modernes et les principaux clients de transfert de fichiers. Cependant, certains anciens équipements ou logiciels ne prennent en charge que FTP ou FTPS.

Dans quelles situations FTP peut-il encore être utilisé sans risque majeur ?

FTP peut être utilisé dans des réseaux internes très sécurisés, complètement isolés physiquement d’Internet, pour des transferts de données non sensibles et sous le contrôle exclusif d’administrateurs de confiance. Toutefois, même dans ces cas, il est recommandé de migrer vers une alternative sécurisée dès que possible.

Comment choisir entre FTP, FTPS et SFTP pour un nouveau projet ?

Pour un nouveau projet, privilégiez SFTP pour sa sécurité, sa simplicité de configuration réseau et son intégration native avec SSH. Utilisez FTPS uniquement si vous devez assurer la compatibilité avec des systèmes existants qui ne supportent pas SFTP ou si vous êtes contraint par des exigences réglementaires. FTP ne doit être choisi qu’en dernier recours, pour des usages internes non critiques.