IPv6 – un sujet IT impopulaire fête son anniversaire

La version 6 du protocole Internet (IPv6) a été établie comme norme il y a 5 ans et va ainsi servir de base à la numérisation. Un enjeu clé pour les opérateurs IT et les responsables de la sécurité.

Texte: Frank Herberg, publié le 04.07.2022

Il y a cinq ans – en juillet 2017 – l’IETF (International Internet Engineering Task Force) décrétait l’adoption du «nouveau» protocole Internet IPv6 comme norme dans le RFC 8200. L’histoire remonte toutefois nettement plus loin: l’ébauche de la norme IPv6 (RFC 2460) date de 1998. La principale motivation était déjà à l’époque de résoudre le problème de l’espace d’adressage Internet limité de son prédécesseur, l’IPv4.

En effet, les quelque 4 milliards d’adresses IP de l’IPv4 étaient bien insuffisants pour faire face à l’explosion du nombre d’appareils connectés à Internet, déjà pressentie à l’époque, soit neuf ans avant le lancement du premier iPhone. Aujourd’hui, près d’un quart de siècle plus tard, la migration vers IPv6 est loin d’être achevée: une grande partie de l’Internet continue de fonctionner avec IPv4 – et les adresses ne suffisent plus depuis longtemps. Un mécanisme (Network Address Translation, NAT), conçu à l’origine comme solution transitoire, permet de répartir une adresse IP entre de nombreux appareils. Tant que l’on souhaite simplement «surfer sur Internet» avec ces appareils, cela fonctionne bien. Mais des problèmes surviennent dès lors que chaque appareil doit pouvoir communiquer avec tous les autres de manière décentralisée, une exigence courante dans l’«Internet des objets» ou la «numérisation» en général.

IPv6 est souvent non géré dans le réseau de l'entreprise

Dans le réseau IPv4 «NATifié», il est ainsi nécessaire d’inventer des solutions de contournement complexes. Les applications de numérisation doivent alors être conçues en contournant les restrictions existantes, au lieu de pouvoir être développées sur la base d’un réseau moderne configuré de bout en bout. Parallèlement à cela, IPv6 est bien entendu utilisé sur les réseaux. Selon Google, environ 36% des utilisateurs d’Internet dans le monde ont une connectivité IPv6 (Suisse: 32%), contre 17% il y a 5 ans. Malgré cela, de nombreux responsables informatiques restent attachés à IPv4 – et doivent aujourd’hui débourser environ 50 USD par adresse IP (contre 15 USD il y a 5 ans). Les raisons à cela sont multiples. Mais qu’implique la situation actuelle pour la sécurité informatique ?

Là où la question de l’IPv6 n’est pas systématiquement abordée, il règne souvent l’idée que l’on ne doit pas non plus se préoccuper de la sécurité de l’IPv6. Ce raisonnement est erroné pour plusieurs raisons. En effet, de nombreuses organisations utilisent ’IPv6 de manière latente et non gérée sur leurs réseaux – et sont donc vulnérables à cet égard. Les systèmes d’exploitation intègrent IPv6 depuis longtemps et peuvent être activés de l’extérieur par autoconfiguration (SLAAC). Les appareils qui ne disposent pas de la connectivité IPv6 sur le réseau peuvent l’établir eux-mêmes via des mécanismes de tunnel et contourner ainsi potentiellement les pare-feux et la surveillance de la sécurité, par exemple pour exfiltrer des données ou établir une porte dérobée (backdoor) sur le réseau d’entreprise.

1,4 million de serveurs SQL ouverts

De nouveaux services peuvent être fournis, délibérément ou non, via les deux protocoles, par exemple dans le cloud, mais sans avoir implémenté les mêmes fonctions de sécurité pour les deux: les listes de contrôle d’accès et les listes noires, qui sont bien gérées pour IPv4, peuvent être contournées par IPv6. Les dispositifs de sécurité, tels que la protection DDoS, ne sont parfois activés que pour IPv4. L’analyse des ressources propres se fait exclusivement via IPv4 et la vulnérabilité via IPv6 est souvent négligée. Ainsi, la Shadowserver Foundation a récemment identifié 1,4 million de serveurs SQL ouverts en IPv6.

Les exemples cités montrent que les opérateurs informatiques sont aujourd’hui bel et bien aux prises avec un environnement multiprotocole. Se cantonner à cette approche obsolète exclusivement fondée sur IPv4 expose les entreprises à des risques croissants d’année en année. Face à la hausse constante de la part d’utilisateurs d’IPv6, aux exigences actuelles et futures en matière de numérisation et aux problèmes de sécurité inhérents, le fait de négliger le protocole IPv6 expose votre entreprise à des risques croissants. Quelle est alors la marche à suivre?

 

Traitement correct d'IPv6

Nous l’avons vu, IPv6 est loin d’être une simple question de réseau, mais un enjeu qui relève de la responsabilité globale des services informatiques et de la sécurité informatique pour mettre en place une informatique tournée vers l’avenir, sûre et efficace. Il peut donc s’avérer judicieux de nommer un «IPv6 Officer» qui supervise les aspects IPv6 de tous les projets informatiques, qu’il s’agisse de la création d’un nouveau centre de données, d’un fournisseur de cloud, de l’externalisation d’un SOC, d’un projet de pare-feu ou d’exigences en matière d’outils.

Qui, au sein de votre organisation, a besoin de quel niveau d’expertise Ipv6? La réponse à cette question n’est pas simple, la mise en place d’un plan de formation est judicieuse et les connaissances sont surtout acquises dans le cadre de projets de mise en œuvre à petite échelle. De même, travailler en réseau avec d’autres personnes et échanger des expériences est vivement conseillé. Soyez actifs! Le Swiss IPv6 Council est notamment un bon point de contact à cet égard.

En ce qui concerne les différents risques de sécurité spécifiques à IPv6, il est recommandé d’analyser si et où des possibilités d’attaque ont pu vous échapper et d’y remédier. 

Utilisez le cycle de vie des nouvelles applications et des nouveaux produits pour les rendre compatibles avec IPv6. Sans cela, vous risquez de vous retrouver avec un nouvel héritage qui vous gênera de plus en plus pendant des années et qui rendra vos opérations beaucoup plus coûteuses.

Tous les points mentionnés ci-dessus nécessitent le concours de la direction. Il est essentiel de sensibiliser les parties prenantes (voir point 1), de les impliquer dans le processus et de prendre des décisions de principe solides, qui peuvent ensuite être intégrées dans une politique d’entreprise et servir de base à toutes les décisions détaillées.

L'auteur
Frank   Herberg

Frank Herberg

Frank Herberg travaille chez SWITCH depuis 2012 et, en tant que Head of SWITCH-CERT (Commercial Sectors), il est responsable des secteurs clients Banques, Industrie & Logistique et Énergie.

E-mail

#Security

Cet article a été publié pour la première fois sur inside-it.ch et inside-channels.ch (en allemand) dans le cadre de la rubrique #Security de SWITCH. Cette rubrique paraît six fois par an. Les experts en sécurité de SWITCH s'expriment de manière indépendante sur des sujets liés à la politique, à la technique et à la sensibilisation de la sécurité informatique.

Autres articles