Céline BOURGUIGNON - Posté le 16/05/2022 - </categorie_securite_informatique>
La sécurité en mode IPv6 : Quels sont les enjeux et les conséquences sécuritaires de la transition pour les systèmes actuels ?
Petit rappel : IPv6 c’est l’IP, pouvoir connecter encore plus d’objets sur le nuage
Ainsi, alors que l’iPv6 va nous permettre de rester ‘connecté’ et d’intégrer plus d’objets, on peut se demander quelles seront les implications d’un point de vue de la sécurité.
Le Protocole Internet attribue une « adresse » à chaque appareil qui est attaché au réseau.
Tout appareil qui tente de se connecter à un réseau ou Internet (ordinateur portable, téléphone mobile, imprimante, scanner, tablette..) doit avoir une adresse qui lui est attribuée pour lui permettre de se connecter. Les mêmes problèmes de sécurité sont identiques en IPv4 et IPv6. Ne pas avoir une adresse revient à essayer de téléphoner à quelqu’un, sans avoir de tonalité.
La conséquence positive de cela est que les menaces sur le réseau, telles qu’elles existent aujourd’hui, auront beaucoup plus de difficultés à se propager. En effet, leur propagation est basée sur la génération aléatoire d’adresses IP.
Avec l’IPv6, la probabilité de générer au hasard des adresses déjà attribuées, est pratiquement nulle.
Les hackers devront donc adapter les logiciels malveillants sur le réseau pour les rendre efficaces dans l’espace d’adressage étendu prévu par le protocole IPv6.
Malheureusement, les menaces sur le réseau sont loin de représenter la majorité des logiciels malveillants et la transition du protocole n’a aucun effet sur les autres types de menaces Internet : ceux opérant au niveau de la couche d’application, comme les vers qui se propagent par e-mails, les virus et les bots ; ou ceux ciblant le contenu, comme les logiciels malveillants délivrés via YouTube, Facebook, etc. Ces menaces, qui correspondent à la majorité des logiciels malveillants aujourd’hui, fonctionneront de la même manière et auront la même capacité à compromettre les systèmes, voler les données, détourner les appareils en bots, etc.
Constat actuel par rapport aux menaces
Des vulnérabilités déjà connues
L’IPv6 introduira de nouvelles faiblesses sur les outils de contrôle d’accès et de gestion de logs. La difficulté étant qu’une même adresse IPv6 peut s’écrire sous plusieurs formes : – 2001:0DB8:0BAD::0DAD – 2001:DB8:BAD:0:0:0:0:DAD – 2001:db8:bad::dad (Format RFC 5952)
Les systèmes, tout comme les outils de recherche, devront s’adapter pour pouvoir décoder correctement l’information. Comment retrouver facilement une adresse IPv6 dans un journal si la notation n’est pas normalisée ?
La vulnérabilité CVE-2012-0475, affectant les moteurs Mozilla, en est l’exemple type. Une requête sur un serveur web utilisant une adresse au format spécifique (2 blocs de 16 bits à 0) permet de contourner le système de contrôle d’accès du serveur.
Sensibilité aux dénis de service
Du fait de sa structure, le protocole IPv6 propose un plan d’adressage plus large qu’en IPv4. Par conséquent la surface d’attaque se trouve aussi élargie. Les mêmes problématiques rencontrées sur IPv4 seront présentes avec l’IPv6, mais aggravées par 3 facteurs :
1. L’inexistence des bases de réputation IPv6
Les solutions de nombreux constructeurs sont basées sur la réputation d’une adresse IP pour savoir si cette dernière est qualifiée comme une source de malware, spam, proxy anonyme. Aujourd’hui, aucun éditeur n’a encore initié une telle base. Il est dommage que ce champ soit créé mais non utilisé par les constructeurs.
2. La taille du réseau IPv6
Le domaine IPv6 étant tellement vaste, les hackers pourront utiliser des millions, voire des milliards d’adresses sources pour lancer leurs attaques. Les équipements de filtrage pourront difficilement apprendre en mémoire toutes les adresses à limiter ou bannir. Il faudra trouver une autre approche que les mécanismes de rate-limiting sur IPv4 pour fournir le même niveau de protection.
3. La compatibilité des ASIC (Application Specific Integrated Circuit)
Beaucoup d’équipementiers ont créé leurs ASIC pour optimiser les traitements IPv4. Mais ils n’ont pas été forcément prévus pour IPv6. Bon nombre de solutions traitent aujourd’hui l’IPv6 en couche logicielle, consommant la puissance du processeur principal au lieu de celle des ASIC. Il faudra donc faire évoluer les équipements pour pouvoir soutenir un volume important de trafic IPv6.
La brique IPsec d’IPv6
Une des modifications fondamentales apportées par l’IETF avec IPv6 réside dans l’inclusion de la prise en charge d’IPSec. Chiffrement et authentification sont ainsi disponibles directement depuis la suite de protocoles et non pas ajoutés sous forme de surcouche comme pour IPv4. L’idée était que cette prise en charge au niveau du protocole permettrait de renforcer la sécurité d’IPv6.
En pratique, elle ne change pas grand-chose, et ce pour plusieurs raisons. Tout d’abord, les réseaux IPV4 utilisent déjà largement IPSec. Ensuite, les versions initiales d’IPv6 imposaient la prise en charge d’IPSec, mais pas son utilisation. Il faudrait activer explicitement cette fonctionnalité.
Conclusion de la sécurité en mode IPV6
Le passage à l’iPv6 ne sera certainement pas un inhibiteur pour la cybercriminalité qui continue à se développer très fortement, avec des logiciels malveillants toujours plus sophistiqués et combinant plusieurs types d’attaques. Il est donc essentiel pour toutes les organisations de s’équiper d’une première ligne de défense efficace en déployant des solutions de sécurité multi-menaces.
Cette mesure combinée avec une meilleure éducation des utilisateurs reste la meilleure protection contre la tromperie et l’innovation pure des cybercriminels. Et aussi s’assurer auprès des fournisseurs que les outils de sécurité sont bien compatibles IPv6, avec un traitement matériel en ASIC dans la mesure du possible.