IPv6 – Sécurité

Laisser un commentaire

Un petit article pour vous mettre en garde contre le danger de l’IPv6 tel qu’il est proposé par les FAI.

Mon objectif n’est pas de critiquer l’IPv6, ce protocole offre de grandes perspectives pour l’avenir, je souhaite simplement que son adoption ne se fasse pas au détriment de votre sécurité à cause du manque de communication de la part des FAI.

L’IPv6 c’est bien car :

En théorie :

  1. c’est pratique : tous nos équipements peuvent avoir une adresse publique sur Internet
  2. c’est sécurisé : l’IPsec est directement intégré dans la norme
  3. c’est plus simple : la configuration est automatique (pas de dhcp, …)

Passons à la vraie vie :

  1. c’est pratique : tous nos équipements peuvent être accédés depuis Internet
  2. c’est sécurisé : intégré à la norme ne veut pas dire obligatoire ni utilisable
  3. c’est plus simple : on passe d’adresses du type 192.168.123.18 à des adresses du type fc00:a1bc:d852:358f:85ac:d35f:cd18:e561

Sans compter les problèmes de configuration en entreprise (filtrage des RA, configuration DNS, routes statiques, …).

Mais ne vous arrêtez pas là, l’IPv6 c’est aussi l’avenir, ça serait dommage de s’en passer.

Avec un peu de bonne volonté (de la part des FAI et des équipementiers), l’IPv6 peut très bien être déployé massivement sans créer de nouveaux problèmes.

Nous pourrons ainsi profiter de nouveaux services, comme :

  • la diffusion multicast : plus besoin d’avoir une bande passante proportionnelle au nombre de visiteurs pour diffuser une vidéo,
  • le VPN natif : sans avoir à passer des heures de configuration,
  • de meilleures performances : le protocole dispose de nombreuses optimisations,

Le problème

Actuellement de ce que j’ai pu constater, il n’y a qu’un problème majeur avec l’IPv6, c’est la sécurité. Il touche essentiellement les particuliers ou les petites entreprises car ils n’ont que rarement les connaissances, le temps ou les moyens de s’occuper de la sécurité de leurs données. C’est une erreur, mais c’est un fait !

En version courte :

  • Les systèmes récents ont presque tous la couche IPv6 activée par défaut (y compris les tablettes et les smartphones)
  • Les trucBOX sont rarement pourvues d’un vrai pare feu, en général elles proposent au mieux de faire un peu de translation (pour que vous ayez accès à Internet) et de filtrage (contrôle parental).
  • En IPv4, votre réseau local est « protégé » (à prendre avec les guillemets) des attaques directes depuis Internet, non pas grâce à votre trucBOX, mais grâce aux normes qui imposent qu’une adresse de type privé (un 192.168.x.x par exemple) ne doit pas circuler sur Internet.
  • Comme les adresses IPv4 sont une denrée de plus en plus rare, votre FAI vous en distribue une seule (sauf exceptions), voir aucune (si si ça existe, y compris en France)
  • En IPv6, la norme dit la même chose qu’en IPv4, ce qui est privé doit rester privé, mais comme il n’y a pas de pénurie d’adresse, votre FAI vous octroie une plage d’adresse public (souvent un simple /64), vos machines sont donc directement exposées à Internet.
  • Les trucBOX deviennent alors de simples commutateurs (switch) qui relient vos machines à Internet.
  • Dès que vous connectez un équipement compatible IPv6 (ils le sont presque tous maintenant) à votre box, cet équipement devient directement accessible depuis Internet.

Concrètement ça veut dire que tous les équipements branchés à une, par exemple, Freebox révolution (qui a l’IPv6 activé par défaut) sont directement accessible depuis Internet.

Le second problème de sécurité nous vient tout droit de Microsoft. Par défaut Windows  tente de monter un tunnel Teredo entre votre machine et Microsoft (teredo.ipv6.microsoft.com) afin de vous faire profiter de l’IPv6 au travers d’une connexion IPv4, que l’IPV6 soit activé ou non sur votre poste (c’est une interface « cachée »).

En pratique, quand vous voyez une adresse qui commence par 2001:0000:, c’est probablement une adresse qui sort de chez Microsoft.

Si l’idée est louable, permettre à de nombreuse personnes de disposer d’une adresse IPv6, il faut tout de même se poser une question : est il normal qu’une partie de notre trafic Internet passe par des serveurs étrangers sans notre consentement ?

2 grands axes s’offrent à vous :

  • ne pas utiliser l’IPv6 – ça serait dommage, mais ça ne devrait pas poser de problèmes pour encore quelques années, vous pouvez alors :
    • désactiver l’IPv6 sur tous vos équipements : ce n’est pas toujours possible et cela reste risqué
    • désactiver l’IPv6 sur votre connexion : c’est la solution la plus simple si votre FAI le permet
    • mettre un équipement (typiquement un routeur wifi) qui bloque l’IPv6 entre votre box et votre réseau : c’est souvent déjà le cas pour d’autres raisons que de bloquer l’IPv6
  • utiliser l’IPv6 – vous pouvez alors :
    • ne rien faire et laisser n’importe qui accéder et utilisez directement vos équipements : je ne pense pas que beaucoup de personnes choisissent cette possibilité
    • installer un pare feu sur tous vos équipements : sur un ordinateur c’est assez simple à faire, sur votre imprimante, votre TV connecté, …, bon courage
    • investir (du temps et/ou de l’argent) dans un système vous permettant de profiter de l’IPv6 sans devoir intervenir sur tous vos équipements et sans les mettre en danger

Je recommande ce dernier choix à celles et ceux qui souhaite profiter pleinement des possibilités d’Internet. C’est aussi l’occasion d’apprendre (un article est disponible ici).

Quel que soit votre choix, passez le mot à vos proches : sans action de leur part, leurs équipements seront très vite la proie des pirates.

Laisser un commentaire