Alain Fiocco (Cisco) "Le Bring Your Own Device amène l'IPv6 dans l'entreprise"

Quels risquent encourent les acteurs du Web qui ne basculent pas vers IPv6 ? Pourquoi toutes les entreprises sont-elles concernées par l'adoption du nouveau protocole ? L'expert de Cisco répond, en précisant tout l'enjeu de World IPv6 Launch qui se déroule ce 6 juin.

JDNSolutions. Ce 6 juin veut être lancement mondial d'IPv6, un an après le "IPv6 Day". Les acteurs impliqués dans l'opération expliquent qu'ils vont, à partir de cette date, basculer définitivement vers IPv6. Est-ce la seule différence par rapport à l'année dernière ? Et pourquoi ne pas avoir définitivement basculé l'année dernière, d'autant que l'opération a visiblement été un succès ?

Alain Fiocco (Cisco). L'année dernière, des géants comme Google ou Facebook, et d'autres fournisseurs de contenu avaient rendu leur site web accessible en IPv6. L'opération, qui avait nécessité beaucoup de travail, a été un succès puisque la plupart des utilisateurs ne se sont rendu compte de rien. Le trafic, vital pour certains fournisseurs de contenus impliqués dans l'opération, comme Facebook ou Google, n'a pas été négativement impacté non plus.

Ce test, dont l'échelle planétaire était jusqu'à lors inédite, a aussi permis aux acteurs impliqués dans l'opération de mesurer l'adoption d'IPv6 par les utilisateurs finaux. Selon les chiffres du trafic de Google ou Facebook pour ce jour-là, cette adoption est encore faible : 0.4% au niveau mondial. Même si, pour de tels géants du Web, cela représente déjà un nombre impressionnant de connexions... A noter que le pays avec la plus forte pénétration, côté client, n'est autre que la France. C'est notamment grâce aux abonnés de la dernière box de Free, qui se base sur IPv6 par défaut.

A la suite de ces tests, concluants, l'idée de renouveler l'expérience sur une durée plus longue, sur une semaine, a été évoquée puis abandonnée. Il a été finalement décidé que ce 6 juin, pour les acteurs impliqués, le protocole sera définitivement mis en production. Cela n'était pas possible l'année dernière tout simplement car la plupart des solutions techniques utilisées lors de l'IPv6 Day étaient provisoires. C'était d'ailleurs le cas pour Cisco : le réseau utilisé n'en était qu'à sa phase bêta, il n'était donc pas pensé et en état pour supporter continuellement la charge.

Et si l'année dernière, l'opération avait impliqué les serveurs web de quelques entreprises et de grands fournisseurs de contenu sur Internet, cette année la liste s'allonge notamment avec des fournisseurs d'accès au niveau mondial. En France, à part Free, assez en avance sur l'IPv6, SFR devrait bientôt participer à la dynamique, en attendant les autres, qui devraient aussi bientôt rejoindre le mouvement.

"Les technologies de traduction IPv4-iPv6 ne sont pas viables à moyen-long terme"

Pourquoi les sites et acteurs du Web ne peuvent-ils continuer à se reposer sur des technologies de traduction IPv6-IPv4 déjà utilisées ? Elles sont assez transparentes, et ne demandent presque rien côté serveur et côté client...

Les sites Web mais aussi l'e-commerce, qu'il soit BtoB ou BtoC ont intérêt à rendre leur contenu accessible en IPv6 dès maintenant. Comme aujourd'hui, il y a encore peu d'utilisateurs en IPv6, la montée en charge sera plus facile. Car les technologies de traduction IPv4 vers IPv6 et vice versa, vont devoir affronter des problèmes de surcharge quand les utilisateurs IPv6 seront plus nombreux. Elles ne constituent donc pas une solution viable. 

Et en plus, ces technologies ne fournissent pas d'informations aussi précises sur l'origine du trafic. Avec ces technologies de traduction, les fournisseurs de contenu maîtrisent donc moins bien leur service, ce qui n'est pas non plus viable à moyen-long terme pour beaucoup.

En outre, pour rappel, en février dernier, le stock central d'adresse IPv4 s'est épuisé. Les Registrars ont encore des adresses IPv4, mais ils ne pourront donc plus remplir leur réservoir. C'est d'ailleurs déjà le cas pour certains stocks régionaux. La loupiote réservoir s'est clairement allumée : l'épuisement d'adresse IPv4 est pour dans quelques mois. Le marché gris de la vente d'adresse IPv4 a certes déjà commencé, mais le stock disponible étant très limité et très fragmenté, le prix de l'adresse ne va pas arrêter de monter. Il est passé de 11 dollars, lors de l'acquisition des adresses de Nortel par Microsoft, à 14 dollars aujourd'hui, un an plus tard.

Pourquoi la transition vers IPv6 a-t-elle pris autant de temps, laissant croire qu'elle n'est pas plus urgente aujourd'hui qu'hier...

C'est le problème de l'oeuf et de la poule. Les fournisseurs de contenu n'en proposaient pas via IPv6, expliquant que les internautes n'utilisaient pas le nouveau protocole. Les fournisseurs d'accès, eux, pointaient du doigt l'insuffisance de contenu accessible en IPv6, ce qui ne justifiait pas de le déployer pour leurs clients... D'où l'intérêt de telles opérations collectives et initiées par des géants, comme l'IPv6 Day l'année dernière ou ce lancement mondial ce 6 juin : tous les acteurs se jettent à l'eau en même temps. Cela a d'ailleurs un autre mérite: si cela fonctionne mal, la responsabilité est plus diluée, mais surtout, il est plus rapide et plus simple de diagnostiquer les problèmes.

Cisco veut tirer la sonnette d'alarme sur la menace que représente IPv6 pour les entreprises avec la tendance du Bring Your Own Device. Quel est le rapport ?

Il ne s'agit pas d'affoler les managers de réseaux. Mais d'être lucide sur le fait que les employés, les prestataires de services, ou les clients peuvent désormais de plus en plus ramener leur smartphone, tablette ou PC, d'ou le nom Anglais : "Bring Your Own Device". Ce mouvement amène en fait l'IPv6 en entreprise car ces terminaux sont nombreux à supporter cette nouvelle version du protocole IP par défaut. Et ils vont l'être de plus en plus.

Or, sans rentrer dans les détails, lorsque le smartphone ou la tablette IPv6 se connecte au réseau Wifi de l'entreprise, et même si celui ci n'a pas activé IPv6, il est techniquement assez simple d'attirer le trafic venant de ces devices IPv6 vers un autre PC ou serveur connecté sur le même réseau. En d'autre terme : de réaliser une attaque de type "man in the middle", qui permet de détourner du trafic ou d'usurper l'identité du propriétaire du terminal.

Ces problèmes de sécurité ne sont pas spécifiques a IPv6. Ils existent également en IPv4, mais les process et les services de sécurité sont déjà opérationnels pour les contrôler. La difficulté spécifique liée à IPv6 vient du fait que la plupart des entreprises pensent ne pas supporter IPv6 ...et donc ne se protègent pas contre ces failles de sécurité, par ignorance, la plupart du temps.

La première raison pour déployer IPv6 sur l'infrastructure WiFi dans l'entreprise est de contrôler le trafic et les devices qui, eux, le supportent par défaut. Pour éviter cette menace, les paramètres doivent êtres réglés pour pouvoir mieux supporter l'IPv6. Compte tenu de ce contexte, nous n'avons pas été surpris qu'un sondage que nous avons réalisé auprès de nos clients nous ait révélé que le Bring Your Own Device constitue l'un des facteurs les plus importants d'adoption d'IPv6 en entreprise.

Alain Fiocco, Senior Director, Head of IPv6 High Impact Program, est à ce titre, en charge de tout le programme IPv6 chez Cisco. Certifié CCIE depuis 1992, il travaille chez Cisco depuis 1995. Il a mené de nombreux projets de réseau d'envergure dans la zone EMEA avant d'élaborer la feuille de route d'IOS de 2006 à 2011, date à laquelle il est parti travailler au siège de Cisco, à San Francisco. Il a réaménagé en France il y a peu.