Des défis de sécurité apparaissent avec le lancement de l’IPv6

Par Christophe Auberger, Responsable Technique chez Fortinet

Le monde a déjà eu un avant-goût du nouveau protocole en Juin dernier, lors de la Journée Mondiale IPv6. Mené par l’Internet Society, plus de 1 000 sites Internet, entreprises high-tech et FAI ont été encouragés à passer collectivement à l’IPv6 durant une période de 24 heures pour “tester” le protocole et essayer d’anticiper les problèmes techniques qui pourraient se produire lors du lancement officiel.

Le 6 Juin 2012, les principales organisations high-tech et leaders du Web tels que Google, Facebook et Yahoo!, entre autres, basculeront vers le nouveau protocole Internet lors du lancement mondial officiel.

Et la transition devient de plus en plus nécessaire. Le protocole actuel IPv4, qui supporte environ 3,7 milliards d’adresses, a simplement épuisé le stock d’adresses disponibles, en partie du fait de l’explosion des appareils mobiles. Mais l’IPv6, de son côté, a une capacité illimitée d’adresses ce qui lui permet de s’adapter à une infrastructure mobile et Internet mondiale en pleine croissance.

Cependant, avec le lancement imminent du protocole mondial IPv6, les chercheurs et professionnels de l’IT anticipent certains défis, en particulier en matière de sécurité.

L’aspect novateur et le manque de connaissances relatifs au protocole IPv6 feront qu’il y aura forcément des erreurs de configuration, des problèmes de compatibilité et autres maladresses d’implémentation. Il n’existe pas les connaissances institutionnelles sur l’IPv6 que l’on a sur l’IPv4, qui a été utilisé depuis des décennies et offre une vaste base de connaissances.

Mais peut être que le plus important défi en matière de sécurité est que de nombreux appareils de sécurité réseau sont capables de transférer le trafic IPv6, mais pas de l’inspecter. Et, comme l’IPv6 est activé par défaut sur de nombreuses plateformes réseaux actuelles – tel que Windows 7 – ces systèmes sont déjà installés sur le réseau.

La plupart des systèmes qui n’ont pas l’IPv6 activé ont la capacité de contourner ce problème en encapsulant les paquets IPv6 d’en-têtes IPv4. Ils lisent l’en-tête, mais ne peuvent pas lire le contenu du paquet en lui-même. Ils ne peuvent donc pas faire l’inspection approfondie habituelle des paquets, et transfèrent donc juste les paquets. C’est seulement quand ils ont une implémentation dual stack, qu’ils peuvent autoriser les fonctions de sécurité réseau à simultanément traiter et inspecter les paquets provenant à la fois des protocoles IPv4 et IPv6.

Plusieurs constructeurs de sécurité offrent cette fonctionnalité – mais pas tous − et c’est justement l’un des risques auxquels sont confrontés les professionnels de la sécurité réseau aujourd’hui. Ils doivent s’assurer que leurs produits de sécurité peuvent inspecter le trafic IPv6. S’ils peuvent seulement transférer le trafic IPv6, ces produits pourraient également transférer le contenu malveillant.

Même avec une implémentation dual stack, les organisations ont néanmoins besoin de vérifier si elles ont les mêmes fonctionnalités de sécurité activées pour le protocole IPv4 que pour l’IPv6. Dans le cas contraire, les appareils de sécurité réseau sont susceptibles de laisser passer des éléments critiques du trafic malveillant qui pourraient potentiellement compromettre le réseau.

Certaines des politiques et technologies sur lesquelles vous comptez peuvent uniquement fonctionner en IPv4 et non en IPv6, et créent ainsi les déficits de votre couverture de sécurité. Cependant, mettre à jour l’infrastructure de sécurité réseau pour permettre le transfert à l‘IPv6 n’est pas un projet simple et prendra probablement des années pour être complètement abouti. C’est pourquoi de nombreuses organisations, faisant face à des mises à jour matérielles qui sont potentiellement longues et onéreuses, n’ont pas prévues d’adopterl’IPv6 de si tôt.

Pourtant, les entreprises ne vont pas pouvoir éviter l’IPv6 encore trop longtemps. Suite au lancement du 5 Juin, beaucoup plus de trafic IPv6 atteindra leurs réseaux. Lorsque l’IPv6 représentera 5 à 10 pourcents de vos données − plutôt qu’une fraction de pourcent comme a l’heure actuelle – éviter les mises à jour nécessaires va devenir beaucoup plus difficile à justifier. Les DSI vont donc devoir se pencher sur ce problème rapidement.