Par Eric Leblond, CTO EdenWall Technologies (1)
Le premier résultat d’IPv6 sera l’interconnexion globale, à savoir un Internet vraiment mondial: en 2015, nos frigos seront interconnectés et twitteront lorsque l’on n’aura plus de bière au frais. En découlera un champ d’exploration É-NOR-ME pour les crackers et les script kiddies de tout poil.
Et la seule force d’IPv6 contre cette accès direct sera sa taille. Un attaquant scannant 100 machines par seconde mettra environ… 1020 milliards d’années à trouver votre frigidaire. Le coté rassurant de cette statistique est que même si plus d’un milliard d’ordinateurs lancent un scan concerté et simultané, nous sommes encore dans un délai raisonnable de 1010 milliards
d’années : on est bien caché au milieu d’un cloud IPv6.
Hormis une attaque ciblée, l’ouverture depuis l’extérieur n’est donc pas un véritable problème pour la nouvelle génération d’adresses IP.
Le NAT, ou Network Adress Translation était utilisé par certains pour empêcher les connexions directes vers l’extérieur et notamment vers un autre réseau NATé.
Les attaques de type « prédictions de port », utilisées notamment par Skype, permettaient déjà d’établir des connexions directes entre machines de réseau NATé. IPv6 octroiera un nombre quasi illimité d’adresse IP, rendant l’utilisation du NAT inutile.
D’un point de vue purement entreprise, les principales difficultés se situeront au niveau des politiques de sécurité.
Une politique de sécurité à reconstruire
Fournir IPv6 sur un réseau est relativement aisé. Le protocole propose de nombreux modes de configuration automatique et l’utilisation d’IPv6 peut se résumer sur les systèmes d’exploitation évolués à une simple activation du pilote dédié.
Les choses se compliquent pour l’entreprise lorsqu’elle décide de mettre en oeuvre une politique de sécurité adaptée aux évolutions réseau : mes pare-feux gèrent-ils correctement IPv6 ? Comment puis-je déterminer l’adresse de mes serveurs et m’en souvenir ? Mes outils de journalisation supportent-ils IPv6 ? C’est tout un pan de l’administration système et réseau qui est donc à revoir.
Des extensions à s’arracher les cheveux !
IPv6 facilite l’anonymisation des adresses. Même si le DHCP (Dynamic Host Configuration Protocol) sur IPv6 a récemment connu un regain d’intérêt, il ne s’agit là que d’une solution de contournement d’une problématique opérationnelle liée au système d’attribution directe des adresses IP.
Une nouvelle fonctionnalité des systèmes d’exploitation est le changement régulier des adresses du poste, ceci dans le but de protéger la vie privée de l’utilisateur, ou plus globalement les échanges de données des entreprises. Il est donc complètement impossible de prévoir l’adresse du poste. Toute politique de sécurité basée sur une IP source donnée est donc à proscrire, et il faut envisager de systématiser l’utilisation de l’identification. IPv6 Mobile est l’une des extensions les plus controversées si on la considère d’un point de vue sécuritaire. Le principe d’IPv6 Mobile est de fournir une connectivité à une machine sur une même adresse IP et ce, quelle que soit sa position géographique. Deux types de techniques sont utilisées pour parvenir à ce résultat. D’une part, l’établissement d’un tunnel IPsec entre le routeur d’origine (dit Home) et la machine déplacée derrière un routeur distant. D’autre part, un système de collaboration entre les routeurs assurant le transfert des flux entre les adresses de la machine (la locale et la distante). Ce dernier mécanisme repose sur une encapsulation des paquets d’origine qui ont alors deux couples d’adresses source et destination. Faut-il alors filtrer l’adresse Home ou l’adresse locale ? Ou prendre en compte les
deux adresses, Home, codant l’emplacement fonctionnel, et l’adresse locale, codant l’emplacement géographique.
Le déploiement IPv6 Mobile reste hypothétique car les recherches sur le sujet sont encore très actives mais son intérêt pratique fera peut-être son
succès. Après de longues années d’hésitation, l’adoption rapide d’IPv6 semble se profiler. Einstein disait que « L’homme et sa sécurité doivent constituer la première préoccupation de toute aventure technologique. » Mais comme il est de coutume, les enjeux de sécurité ne seront pas traités en premier… Ce qui ouvrira la porte à une nouvelle phase dans les attaques.
(1) Eric Leblond, Directeur Technique, Co-fondateur d’EdenWall Technologies
Attiré par la théorie des mathématiques, Eric Leblond suit un cursus
universitaire et décroche un diplôme DEA d’analyse numérique. Il
rejoint alors Alcove, toute première SSLL Européenne (Société de
Services dans le Logiciel Libre). C’est là qu’il rencontre son futur
collaborateur, Vincent Deffontaines. Eric travaille alors dans le milieu
des opérateurs et de la sécurité et plus spécifiquement dans
l’environnement du logiciel libre.
Contributeur majeur au projet Netfilter (pare-feu de GNU/Linux), il est
reconnu comme expert en matière de sécurité des systèmes
d’information. Il donne ainsi fréquemment des conférences autour de
ces sujets et publie régulièrement des articles dans des magazines
spécialisés.
