SFTP - Mettre en place un canal sécurisé

Objectifs d'apprentissage

• Comprendre les principes fondamentaux du protocole SFTP et ses avantages par rapport à d'autres méthodes de transfert.
• Apprendre à sélectionner et configurer un certificat numérique qualifié pour sécuriser les échanges.
• Maîtriser la création et la gestion d'une paire de clés SSH pour l'authentification.
• Configurer un client SFTP compatible et établir une connexion sécurisée vers un serveur distant.
• Connaître les bonnes pratiques pour structurer et transférer des fichiers via SFTP, y compris les fichiers de déclaration, signature et autres types spécifiques.

Public cible

Ce cours s'adresse aux professionnels de l'informatique, administrateurs systèmes, développeurs et toute personne responsable du transfert sécurisé de données sensibles. Les participants doivent avoir des connaissances de base en réseaux et une familiarité avec les concepts de sécurité informatique. Une expérience préalable avec les protocoles FTP ou SSH est un plus, mais n'est pas obligatoire.

Qu’est-ce que SFTP?

SFTP (SSH File Transfer Protocol) est un protocole sécurisé permettant le transfert de fichiers sur un réseau. Contrairement au FTP traditionnel, SFTP chiffre l'intégralité des données et des commandes, offrant une protection contre les interceptions et les attaques. Il utilise généralement le port 22 et s'appuie sur SSH (Secure Shell) pour authentifier les utilisateurs et crypter les communications.

Choisir votre certificat digital qualifié

Un certificat numérique qualifié est essentiel pour garantir l'authenticité et l'intégrité des échanges. Optez pour un certificat émis par une autorité de certification reconnue, compatible avec SFTP. Vérifiez sa période de validité et ses fonctionnalités (signature numérique, chiffrement). Certains fournisseurs proposent des certificats spécifiques pour les transferts sécurisés.

Votre connexion internet

Une connexion stable et sécurisée est cruciale. Évitez les réseaux publics non fiables. Utilisez une connexion filaire ou un VPN si vous travaillez à distance. Vérifiez que votre pare-feu autorise le trafic SFTP (port 22 par défaut) et que votre bande passante est adaptée à la taille des fichiers transférés.

Choisir votre client SFTP

Plusieurs clients SFTP existent, comme FileZilla Pro, WinSCP ou Cyberduck. Sélectionnez un outil avec une interface intuitive, supportant les clés SSH et les certificats. Vérifiez la compatibilité avec votre système d'exploitation et privilégiez les logiciels régulièrement mis à jour pour éviter les vulnérabilités.

Créer votre paire de clés

Générez une paire de clés SSH (publique/privée) via des outils comme ssh-keygen. Stockez la clé privée dans un endroit sécurisé, protégée par un mot de passe fort. Partagez la clé publique avec le serveur SFTP pour permettre l'authentification sans mot de passe. Cette méthode renforce la sécurité en évitant l'échange de credentials.

Créer votre canal SFTP sur le portail

Accédez au portail de gestion SFTP (ex : plateforme d'entreprise ou service cloud). Configurez un nouveau canal en spécifiant les paramètres : nom d'utilisateur, clé publique, répertoire cible, et permissions (lecture/écriture). Certains portails permettent de limiter l'accès par adresse IP ou de définir des quotas de transfert.

Paramétrer votre client SFTP

Dans votre client SFTP, saisissez l'adresse du serveur, le port, et vos identifiants. Importez votre clé privée et sélectionnez le protocole SFTP (évitez FTP ou FTPS). Testez la connexion pour vérifier que tout fonctionne. Enregistrez la session pour éviter de ressaisir les paramètres à chaque utilisation.

Fichiers

Structure du nom des fichiers

Respectez les conventions de nommage définies par votre organisation. Par exemple : TYPE_DATE_IDENTIFIANT_EXTENSION. Cela facilite le tri et le traitement automatisé. Évitez les espaces et caractères spéciaux pouvant causer des erreurs.

Le fichier de déclaration (FI)

Ce fichier contient les métadonnées des données transférées (format XML ou CSV). Il décrit le type, la source, et la date de création. Vérifiez sa conformité au schéma exigé avant envoi.

Le fichier de signature (FS)

Généré via OpenSSL ou un outil similaire, il valide l'intégrité du fichier de déclaration. La signature est souvent encodée en base64. L'annexe du cours détaille sa création pas à pas.

Le fichier GO

Fichier déclencheur indiquant que tous les fichiers sont prêts pour traitement. Son envoi lance automatiquement le processus côté serveur. Son nom doit être standardisé (ex : GO_YYYYMMDD.txt).

Le fichier TD

Fichier de suivi (Ticket de Dépôt) confirmant la réception des données par le serveur. Conservez-le comme preuve de transfert. Il peut contenir un horodatage et un identifiant unique.

Transférer vos fichiers

Glissez-déposez les fichiers dans l'interface du client SFTP ou utilisez des commandes en ligne. Vérifiez les logs pour détecter les erreurs. Pour les gros volumes, compressez les fichiers (ZIP, GZIP) et utilisez la résume de transfert en cas d'interruption.

Annexe: Générer un fichier de signature avec OpenSSL

Ouvrez un terminal et exécutez : openssl dgst -sha256 -sign private_key.pem -out signature.sha256 fichier_declaration.xml. Cette commande crée une signature cryptographique du fichier XML avec votre clé privée. Validez-la côté serveur avec la clé publique correspondante.

Questions

Pour toute question technique, consultez la FAQ du portail SFTP ou contactez le support. Des forums spécialisés et documentations en ligne (comme la RFC 4253 pour SFTP) peuvent également vous aider.