Basculement vers IPv6: comment les entreprises doivent-elles s’y préparer ?

Il n’y a bientôt plus d’adresses IPv4 disponibles. Les dernières ont été attribuées par l’IANA aux registres Internet régionaux (RIR) en février 2011 et un basculement vers le protocole (IPv6) est nécessaire pour permettre l’affectation d’adresses aux nouveaux équipements connectés à Internet.

Un avant-goût de l’avenir a été donné en juin 2011 lors de la journée mondiale IPv6 quand des entreprises telles que Microsoft, Google, Facebook, Colt et Orange Business Services ont participé au premier test planétaire « grandeur nature » d’IPv6. L’objectif était de motiver les différents acteurs du secteur – FAI, fabricants, éditeurs de systèmes d’exploitation, sites Web… – à préparer leurs services en vue de réussir la transition vers IPv6 une fois les adresses IPv4 épuisées.
Après des années de mise en place par les fournisseurs d’infrastructures et des mois de préparation par les fournisseurs de contenus et de services pour la constitution des environnements de routage et de ‘namespace’, la journée IPv6 s’est déroulée avec succès mais a également révélé que la route vers la pleine adoption d’IPv6 allait être longue.

Quelles menaces sont-elles à craindre avec l’arrivée d’IPV6 pour la sécurité des entreprises ?
De nombreux routeurs et autres éléments des réseaux n’offrent pas encore le même degré de prise en charge d’IPv6 que pour IPv4. Même s’ils reconnaissent IPv6, ils n’ont pas fait l’objet de tests poussés, par conséquent le risque de problèmes imprévus est déjà élevé même si on ne prend pas en compte les risques d’attaques.  Tant que la proportion d’utilisateurs d’IPv6 restera très faible comme c’est le cas aujourd’hui, des attaques sont peu probables : les pirates n’ont en effet guère d’intérêt à viser un nombre réduit de cibles. Cependant, à mesure que le nombre d’entreprises utilisant IPv6 augmentera, il en ira rapidement de même pour les risques d’attaques.

Quelles sont les types d’attaques prévisibles ?
Les premières attaques sur IPv6 seront très similaires à celles dirigées contre IPv4 car le plus facile sera vraisemblablement de transposer ces dernières. Ensuite viendront sans doute des attaques employant des en-têtes d’extension destinés à susciter une réponse d’un nœud intermédiaire (routeur) ou d’un terminal. Les attaques empruntant des tunnels devraient être les plus courantes en raison de la capacité des tunnels à masquer le contenu du trafic qui les traverse. Certains experts IPV6 font d’ailleurs remarquer que bittorrent est l’une des applications les plus courantes faisant usage des tunnels IPv6.
En outre, lorsque les utilisateurs peuvent obtenir un accès physique à un réseau local (LAN), il existe d’importants risques d’annonces de routeurs « pirates », qu’elles soient intentionnelles ou non. Cela peut se produire si un utilisateur connecte par inadvertance un routeur à un réseau local et attribue une adresse IPv6 à l’interface reliée au LAN. Certains routeurs vont se mettre à envoyer des annonces et à répondre aux sollicitations de routeur par défaut, même si le routeur n’a aucun accès à Internet. En conséquence, les utilisateurs IPv6 du LAN peuvent être amenés à penser que ce routeur fournit une voie d’accès valide à Internet, alors qu’en fait le trafic passant par celui-ci sera intercepté.
Ou bien un « pirate » pourrait connecter au LAN un équipement se comportant comme un routeur IPv6 et reproduire le cas de figure décrit ci-dessus. Tous les nœuds du réseau « leurrés » faisant transiter les paquets par l’équipement pirate verront leur trafic intercepté et potentiellement espionné. Ou encore, le pirate pourrait connecter au LAN un équipement se comportant comme un routeur IPv6 et transmettant effectivement les paquets sur Internet, mais après avoir les avoir examinés et/ou manipulés dans ce qui pourrait ressembler à une attaque de type « man in the middle ».
Comment les entreprises peuvent-elles s’assurer qu’elles sont prêtes pour le basculement vers IPv6 sans risques ?

A la lumière de ce qui a été dit précédemment certaines précautions sont à prendre. Il existe deux solutions possibles pour contrer ces attaques. Les entreprises peuvent mettre en œuvre le protocole sécurisé SEND (Secure Neighbour Discovery) si la menace est jugée suffisante pour justifier l’investissement nécessaire. Hélas la prise en charge de SEND par les fabricants est encore très limitée. Une autre solution pourrait consister à filtrer les annonces et sollicitations de routeurs au niveau de la couche 2 (commutateur Ethernet).
Pour un réseau à serveurs fixes (dans un centre de données, par exemple), il est possible de configurer manuellement l’adressage IPv6 sur ces serveurs et d’interdire à leur système d’exploitation de configurer l’accès réseau par SLAAC (
Stateless Address Auto-Configuration). Il ne faut pas sous-estimer le risque de ‘black holing‘ du trafic qui pourrait se produire si un ordinateur destinataire apparaissait aux serveurs et autres hôtes du réseau comme accessible via IPv6 alors qu’il ne l’est pas. Les ingénieurs réseau doivent s’assurer que leurs serveurs ne sont pas mal configurés avec des routes IPv6 par défaut et que des adresses IPv6 de serveurs non ‘routables’ ne sont pas fournies par le DNS.
Les ingénieurs réseau doivent comprendre les problématiques entourant la configuration automatique ou manuelle des tunnels. Si les versions les plus récentes des systèmes d’exploitation gèrent correctement le ‘tunneling’ IPv6, ce n’est peut être pas le cas des plus anciennes. Les ingénieurs réseau doivent donc vérifier que leurs systèmes gèrent correctement l’ajustement du MTU (Maximum Transmission Unit) pour la prise en charge des tunnels et que leurs ‘firewalls’ ne bloquent pas les messages ICMPv6 ‘paquet trop volumineux‘.
Ils doivent également veiller à ce que leurs outils, routeurs et équipements de sécurité offrent le même niveau de capacité pour le trafic IPv6 que pour IPv4. Aujourd’hui, plus que jamais, il est essentiel pour les entreprises de vérifier que le matériel et les logiciels dont elles s’équipent sont compatibles avec IPv6. Il leur faut évaluer la prise en charge d’IPV6 par leur parc actuel d’équipements réseaux et prévoir des plans de mise à niveau si nécessaire. Certains équipements peuvent en effet nécessiter une mise à jour logicielle ou matérielle spécifique pour se conformer à la configuration minimale requise pour IPv6.
Les entreprises doivent enfin vérifier les capacités IPv6 de leurs fournisseurs d’accès Internet. Tout comme pour IPv4, les grandes entreprises de même que les entreprises ‘multi-homed’ doivent prévoir l’acquisition de blocs d’adresses IPv6 auprès de leur RIR. Les entreprises plus petites peuvent quant à elles se contenter de la plage d’adresses fournie par leur FAI.
Il y a encore quelques années, il pouvait être intéressant mais pas indispensable de demander à un fabricant si son matériel était compatible avec IPv6.
Aujourd’hui, cette question est devenue une première étape essentielle pour déterminer si le produit répondra aux besoins à mesure que l’univers Internet commencera à déployer IPv6.