Des défis de sécurité apparaissent avec le lancement de l’IPv6
Il ne fait aucun doute que le lancement mondial imminent du protocole IPv6 le 6 Juin 2012 annonce une nouvelle ère de l’infrastructure Internet dans le monde entier, à la fois en termes d’évolution et d’adoption généralisée.
Le
monde a déjà eu un avant-goût
du nouveau protocole en Juin 2011, lors de la Journée
Mondiale IPv6. Menés
par l’Internet Society,
plus de 1 000
sites Internet, entreprises high-tech et FAI ont été encouragés
à passer
collectivement à l’IPv6 durant une période de 24 heures pour
“tester” le
protocole et essayer d’anticiper les problèmes techniques qui
pourraient se
produire lors du lancement officiel.
Le 6 Juin 2012,
les principales
organisations high-tech et leaders du Web tels que Google,
Facebook et Yahoo!,
entre autres, basculeront vers le nouveau protocole Internet
lors du lancement
mondial officiel.
Et la
transition devient de
plus en plus nécessaire. Le protocole actuel IPv4, qui supporte
environ 3,7
milliards d’adresses, a simplement épuisé le stock d’adresses
disponibles, en
partie du fait de l’explosion des appareils mobiles. Mais
l’IPv6, de son côté,
a une capacité illimitée d’adresses ce qui lui permet de
s’adapter à une
infrastructure mobile et Internet mondiale en pleine croissance.
Cependant,
avec le lancement
imminent du protocole mondial IPv6, les chercheurs et
professionnels de l’IT
anticipent certains défis, en particulier en matière de
sécurité.
L’aspect
novateur et le manque
de connaissances relatifs au protocole IPv6 feront qu’il y aura
forcément des
erreurs de configuration, des problèmes de compatibilité et
autres maladresses
d’implémentation. Il n’existe pas les connaissances
institutionnelles sur
l’IPv6 que l’on a sur l’IPv4, qui a été utilisé depuis des
décennies et offre
une vaste base de connaissances.
Mais
peut être que le plus important
défi en matière de sécurité est que de nombreux appareils de
sécurité réseau
sont capables de transférer le trafic IPv6, mais pas de
l’inspecter. Et, comme
l’IPv6 est activé par défaut sur de nombreuses plateformes
réseaux actuelles –
tel que Windows 7 – ces systèmes sont déjà installés sur le
réseau.
La
plupart des systèmes qui n’ont
pas l’IPv6 activé ont la capacité de contourner ce problème en
encapsulant les
paquets IPv6 d’en-têtes IPv4. Ils lisent l’en-tête, mais ne
peuvent pas lire le
contenu du paquet en lui-même. Ils ne peuvent donc pas faire
l’inspection
approfondie habituelle des paquets, et transfèrent donc juste
les paquets. C’est
seulement quand ils ont une implémentation dual
stack, qu’ils peuvent autoriser les fonctions de sécurité
réseau à
simultanément traiter et inspecter les paquets provenant à la
fois des
protocoles IPv4 et IPv6.
Plusieurs
constructeurs de
sécurité offrent cette fonctionnalité – mais pas tous − et c’est
justement l’un
des risques auxquels sont confrontés les professionnels de la
sécurité réseau
aujourd’hui. Ils doivent s’assurer que leurs produits de
sécurité peuvent
inspecter le trafic IPv6. S’ils peuvent seulement transférer le
trafic IPv6, ces
produits pourraient également transférer le contenu malveillant.
Même
avec une implémentation dual
stack, les organisations ont néanmoins
besoin de vérifier si elles ont les mêmes fonctionnalités de
sécurité activées
pour le protocole IPv4 que pour l’IPv6.
Dans le cas contraire, les appareils de sécurité réseau sont
susceptibles de
laisser passer des éléments critiques du trafic malveillant qui
pourraient
potentiellement compromettre le réseau.
Certaines
des politiques et
technologies sur lesquelles vous comptez peuvent uniquement
fonctionner en IPv4
et non en IPv6, et créent ainsi les déficits de votre couverture
de sécurité. Cependant,
mettre à jour l’infrastructure de sécurité réseau pour permettre
le transfert à
l‘IPv6 n’est pas un projet simple et prendra probablement des
années pour être
complètement abouti. C’est pourquoi de nombreuses organisations,
faisant face à
des mises à jour matérielles qui sont potentiellement longues et
onéreuses, n’ont
pas prévues d’adopterl’IPv6 de si tôt.
Pourtant,
les entreprises ne vont
pas pouvoir éviter l’IPv6 encore trop longtemps. Suite au
lancement du 5 Juin 2012,
beaucoup plus de trafic IPv6 atteindra leurs réseaux. Lorsque
l’IPv6 représentera
5 à 10 % de vos données − plutôt qu’une fraction de
pourcents comme à
l’heure actuelle – éviter les mises à jour nécessaires va
devenir beaucoup plus
difficile à justifier.
Les DSI vont donc devoir se pencher sur
ce problème
rapidement.