Il y a cinq ans – en juillet 2017 – l’IETF (International Internet Engineering Task Force) décrétait l’adoption du «nouveau» protocole Internet IPv6 comme norme dans le RFC 8200. L’histoire remonte toutefois nettement plus loin: l’ébauche de la norme IPv6 (RFC 2460) date de 1998. La principale motivation était déjà à l’époque de résoudre le problème de l’espace d’adressage Internet limité de son prédécesseur, l’IPv4.
En effet, les quelque 4 milliards d’adresses IP de l’IPv4 étaient bien insuffisants pour faire face à l’explosion du nombre d’appareils connectés à Internet, déjà pressentie à l’époque, soit neuf ans avant le lancement du premier iPhone. Aujourd’hui, près d’un quart de siècle plus tard, la migration vers IPv6 est loin d’être achevée: une grande partie de l’Internet continue de fonctionner avec IPv4 – et les adresses ne suffisent plus depuis longtemps. Un mécanisme (Network Address Translation, NAT), conçu à l’origine comme solution transitoire, permet de répartir une adresse IP entre de nombreux appareils. Tant que l’on souhaite simplement «surfer sur Internet» avec ces appareils, cela fonctionne bien. Mais des problèmes surviennent dès lors que chaque appareil doit pouvoir communiquer avec tous les autres de manière décentralisée, une exigence courante dans l’«Internet des objets» ou la «numérisation» en général.
IPv6 est souvent non géré dans le réseau de l'entreprise
Dans le réseau IPv4 «NATifié», il est ainsi nécessaire d’inventer des solutions de contournement complexes. Les applications de numérisation doivent alors être conçues en contournant les restrictions existantes, au lieu de pouvoir être développées sur la base d’un réseau moderne configuré de bout en bout. Parallèlement à cela, IPv6 est bien entendu utilisé sur les réseaux. Selon Google, environ 36% des utilisateurs d’Internet dans le monde ont une connectivité IPv6 (Suisse: 32%), contre 17% il y a 5 ans. Malgré cela, de nombreux responsables informatiques restent attachés à IPv4 – et doivent aujourd’hui débourser environ 50 USD par adresse IP (contre 15 USD il y a 5 ans). Les raisons à cela sont multiples. Mais qu’implique la situation actuelle pour la sécurité informatique ?
Là où la question de l’IPv6 n’est pas systématiquement abordée, il règne souvent l’idée que l’on ne doit pas non plus se préoccuper de la sécurité de l’IPv6. Ce raisonnement est erroné pour plusieurs raisons. En effet, de nombreuses organisations utilisent ’IPv6 de manière latente et non gérée sur leurs réseaux – et sont donc vulnérables à cet égard. Les systèmes d’exploitation intègrent IPv6 depuis longtemps et peuvent être activés de l’extérieur par autoconfiguration (SLAAC). Les appareils qui ne disposent pas de la connectivité IPv6 sur le réseau peuvent l’établir eux-mêmes via des mécanismes de tunnel et contourner ainsi potentiellement les pare-feux et la surveillance de la sécurité, par exemple pour exfiltrer des données ou établir une porte dérobée (backdoor) sur le réseau d’entreprise.
1,4 million de serveurs SQL ouverts
De nouveaux services peuvent être fournis, délibérément ou non, via les deux protocoles, par exemple dans le cloud, mais sans avoir implémenté les mêmes fonctions de sécurité pour les deux: les listes de contrôle d’accès et les listes noires, qui sont bien gérées pour IPv4, peuvent être contournées par IPv6. Les dispositifs de sécurité, tels que la protection DDoS, ne sont parfois activés que pour IPv4. L’analyse des ressources propres se fait exclusivement via IPv4 et la vulnérabilité via IPv6 est souvent négligée. Ainsi, la Shadowserver Foundation a récemment identifié 1,4 million de serveurs SQL ouverts en IPv6.
Les exemples cités montrent que les opérateurs informatiques sont aujourd’hui bel et bien aux prises avec un environnement multiprotocole. Se cantonner à cette approche obsolète exclusivement fondée sur IPv4 expose les entreprises à des risques croissants d’année en année. Face à la hausse constante de la part d’utilisateurs d’IPv6, aux exigences actuelles et futures en matière de numérisation et aux problèmes de sécurité inhérents, le fait de négliger le protocole IPv6 expose votre entreprise à des risques croissants. Quelle est alors la marche à suivre?
