Quelles modifications l’adoption d’IPv6 induira-t-elle ? Quel challenge pour les entreprises, les
particuliers ?

Le premier résultat d’IPv6 sera l’interconnexion globale, à savoir un Internet vraiment mondial
 : en 2015, nos frigos seront interconnectés et twitteront lorsque l’on n’aura plus de bière au
frais. En découlera un champ d’exploration É-NOR-ME pour les crackers et les script kiddies de
tout poil.

Et la seule force d’IPv6 contre cette accès direct sera sa taille. Un attaquant scannant 100
machines par seconde mettra environ... 10 puissance 20 milliards d’années à trouver votre frigidaire. Le
coté rassurant de cette statistique est que même si plus d’un milliard d’ordinateurs lancent un
scan concerté et simultané, nous sommes encore dans un délai raisonnable de 10 puissance 10 milliards
d’années : on est bien caché au milieu d’un cloud IPv6.

Hormis une attaque ciblée, l’ouverture depuis l’extérieur n’est donc pas un véritable problème
pour la nouvelle génération d’adresses IP.

Le NAT, ou Network Adress Translation était utilisé par certains pour empêcher les connexions
directes vers l’extérieur et notamment vers un autre réseau NATé. Les attaques de type
« prédictions de port », utilisées notamment par Skype, permettaient déjà d’établir des
connexions directes entre machines de réseau NATé. IPv6 octroiera un nombre quasi illimité
d’adresse IP, rendant l’utilisation du NAT inutile.

D’un point de vue purement entreprise, les principales difficultés se situeront au niveau des
politiques de sécurité.

Une politique de sécurité à reconstruire

Fournir IPv6 sur un réseau est relativement aisé. Le protocole propose de nombreux modes de
configuration automatique et l’utilisation d’IPv6 peut se résumer sur les systèmes
d’exploitation évolués à une simple activation du pilote dédié.

Les choses se compliquent pour l’entreprise lorsqu’elle décide de mettre en oeuvre une
politique de sécurité adaptée aux évolutions réseau : mes pare-feu gèrent-ils correctement
IPv6 ? Comment puis-je déterminer l’adresse de mes serveurs et m’en souvenir ? Mes outils de
journalisation supportent-ils IPv6 ? C’est tout un pan de l’administration système et réseau qui
est donc à revoir.

Des extensions à s’arracher les cheveux !

IPv6 facilite l’anonymisation des adresses. Même si le DHCP (Dynamic Host Configuration
Protocol) sur IPv6 a récemment connu un regain d’intérêt, il ne s’agit là que d’une solution de contournement d’une problématique opérationnelle liée au système d’attribution directe des
adresses IP.

Une nouvelle fonctionnalité des systèmes d’exploitation est le changement régulier des
adresses du poste, ceci dans le but de protéger la vie privée de l’utilisateur, ou plus
globalement les échanges de données des entreprises. Il est donc complètement impossible de
prévoir l’adresse du poste. Toute politique de sécurité basée sur une IP source donnée est
donc à proscrire, et il faut envisager de systématiser l’utilisation de l’identification.

IPv6 Mobile est l’une des extensions les plus controversées si on la considère d’un point de vue
sécuritaire. Le principe d’IPv6 Mobile est de fournir une connectivité à une machine sur une
même adresse IP et ce, quelle que soit sa position géographique. Deux types de techniques
sont utilisées pour parvenir à ce résultat. D’une part, l’établissement d’un tunnel IPsec entre le
routeur d’origine (dit Home) et la machine déplacée derrière un routeur distant.
D’autre part, un système de collaboration entre les routeurs assurant le transfert des flux
entre les adresses de la machine (la locale et la distante). Ce dernier mécanisme repose sur
une encapsulation des paquets d’origine qui ont alors deux couples d’adresses source et
destination. Faut-il alors filtrer l’adresse Home ou l’adresse locale ? Ou prendre en compte les
deux adresses, Home, codant l’emplacement fonctionnel, et l’adresse locale, codant
l’emplacement géographique. Le déploiement IPv6 Mobile reste hypothétique car les
recherches sur le sujet sont encore très actives mais son intérêt pratique fera peut-être son
succès.

Après de longues années d’hésitation, l’adoption rapide d’IPv6 semble se profiler. Einstein disait que « L’homme et sa sécurité doivent constituer la première
préoccupation de toute aventure technologique. » Mais comme il est de coutume, les
enjeux de sécurité ne seront pas traités en premier... Ce qui ouvrira la porte à une
nouvelle phase dans les attaques.