Céline BOURGUIGNON - Posté le 16/05/2022 - </categorie_securite_informatique>


La sécurité en mode IPv6 : Quels sont les enjeux et les conséquences sécuritaires de la transition pour les systèmes actuels ?

Bouton Firewall - Sécurité en mode IPV6

Petit rappel : IPv6 c’est l’IP, pouvoir connecter encore plus d’objets sur le nuage

Ainsi, alors que l’iPv6 va nous permettre de rester ‘connecté’ et d’intégrer plus d’objets, on peut se demander quelles seront les implications d’un point de vue de la sécurité.

Le Protocole Internet attribue une « adresse » à chaque appareil qui est attaché au réseau.
Tout appareil qui tente de se connecter à un réseau ou Internet (ordinateur portable, téléphone mobile, imprimante, scanner, tablette..) doit avoir une adresse qui lui est attribuée pour lui permettre de se connecter. Les mêmes problèmes de sécurité sont identiques en IPv4 et IPv6. Ne pas avoir une adresse revient à essayer de téléphoner à quelqu’un, sans avoir de tonalité.

La conséquence positive de cela est que les menaces sur le réseau, telles qu’elles existent aujourd’hui, auront beaucoup plus de difficultés à se propager. En effet, leur propagation est basée sur la génération aléatoire d’adresses IP.

Avec l’IPv6, la probabilité de générer au hasard des adresses déjà attribuées, est pratiquement nulle.
Les hackers devront donc adapter les logiciels malveillants sur le réseau pour les rendre efficaces dans l’espace d’adressage étendu prévu par le protocole IPv6.

Malheureusement, les menaces sur le réseau sont loin de représenter la majorité des logiciels malveillants et la transition du protocole n’a aucun effet sur les autres types de menaces Internet : ceux opérant au niveau de la couche d’application, comme les vers qui se propagent par e-mails, les virus et les bots ; ou ceux ciblant le contenu, comme les logiciels malveillants délivrés via YouTube, Facebook, etc. Ces menaces, qui correspondent à la majorité des logiciels malveillants aujourd’hui, fonctionneront de la même manière et auront la même capacité à compromettre les systèmes, voler les données, détourner les appareils en bots, etc.

Constat actuel par rapport aux menaces

Des vulnérabilités déjà connues

L’IPv6 introduira de nouvelles faiblesses sur les outils de contrôle d’accès et de gestion de logs. La difficulté étant qu’une même adresse IPv6 peut s’écrire sous plusieurs formes : – 2001:0DB8:0BAD::0DAD – 2001:DB8:BAD:0:0:0:0:DAD – 2001:db8:bad::dad (Format RFC 5952)

Les systèmes, tout comme les outils de recherche, devront s’adapter pour pouvoir décoder correctement l’information. Comment retrouver facilement une adresse IPv6 dans un journal si la notation n’est pas normalisée ?

La vulnérabilité CVE-2012-0475, affectant les moteurs Mozilla, en est l’exemple type. Une requête sur un serveur web utilisant une adresse au format spécifique (2 blocs de 16 bits à 0) permet de contourner le système de contrôle d’accès du serveur.

Sensibilité aux dénis de service

Du fait de sa structure, le protocole IPv6 propose un plan d’adressage plus large qu’en IPv4. Par conséquent la surface d’attaque se trouve aussi élargie. Les mêmes problématiques rencontrées sur IPv4 seront présentes avec l’IPv6, mais aggravées par 3 facteurs :

1. L’inexistence des bases de réputation IPv6

Les solutions de nombreux constructeurs sont basées sur la réputation d’une adresse IP pour savoir si cette dernière est qualifiée comme une source de malware, spam, proxy anonyme. Aujourd’hui, aucun éditeur n’a encore initié une telle base. Il est dommage que ce champ soit créé mais non utilisé par les constructeurs.

2. La taille du réseau IPv6

Le domaine IPv6 étant tellement vaste, les hackers pourront utiliser des millions, voire des milliards d’adresses sources pour lancer leurs attaques. Les équipements de filtrage pourront difficilement apprendre en mémoire toutes les adresses à limiter ou bannir. Il faudra trouver une autre approche que les mécanismes de rate-limiting sur IPv4 pour fournir le même niveau de protection.

3. La compatibilité des ASIC (Application Specific Integrated Circuit)

Beaucoup d’équipementiers ont créé leurs ASIC pour optimiser les traitements IPv4. Mais ils n’ont pas été forcément prévus pour IPv6. Bon nombre de solutions traitent aujourd’hui l’IPv6 en couche logicielle, consommant la puissance du processeur principal au lieu de celle des ASIC. Il faudra donc faire évoluer les équipements pour pouvoir soutenir un volume important de trafic IPv6.

La brique IPsec d’IPv6

Une des modifications fondamentales apportées par l’IETF avec IPv6 réside dans l’inclusion de la prise en charge d’IPSec. Chiffrement et authentification sont ainsi disponibles directement depuis la suite de protocoles et non pas ajoutés sous forme de surcouche comme pour IPv4. L’idée était que cette prise en charge au niveau du protocole permettrait de renforcer la sécurité d’IPv6.

En pratique, elle ne change pas grand-chose, et ce pour plusieurs raisons. Tout d’abord, les réseaux IPV4 utilisent déjà largement IPSec. Ensuite, les versions initiales d’IPv6 imposaient la prise en charge d’IPSec, mais pas son utilisation. Il faudrait activer explicitement cette fonctionnalité.

Conclusion de la sécurité en mode IPV6

Le passage à l’iPv6 ne sera certainement pas un inhibiteur pour la cybercriminalité qui continue à se développer très fortement, avec des logiciels malveillants toujours plus sophistiqués et combinant plusieurs types d’attaques.  Il est donc essentiel pour toutes les organisations de s’équiper d’une première ligne de défense efficace en déployant des solutions de sécurité multi-menaces.

Cette mesure combinée avec une meilleure éducation des utilisateurs reste la meilleure protection contre la tromperie et l’innovation pure des cybercriminels. Et aussi s’assurer auprès des fournisseurs que les outils de sécurité sont bien compatibles IPv6, avec un traitement matériel en ASIC dans la mesure du possible.

Articles similaires

  • Empreinte Digitale - Security Data Network
    Interviews

    TÉMOIGNAGES : POURQUOI LES DSI MISENT SUR L’OPEN SOURCE ? (Proposé par RedHat)

    Qu’il s’agisse de développer des applications, de moderniser leur socle d’infrastructures ou de mener à bien leur transformation numérique, les DSI s’appuient largement sur les solutions open source. Quatre responsables informatiques ont accepté de nous faire part de leur vision de l’open source et de la façon dont ils exploitent ces technologies. Pourquoi les DSI […]

    Lire l’article

  • Divers

    Portes Ouvertes EVA

    Les portes ouvertes EVA ont eu lieu le 09/11/2022 . 📢 Mais qu’est-ce qu’EVA ? 🤔 Cela signifie Esports Vitual Arenas. Munis d’un casque VR, d’un ordinateur en sac à dos et d’un fusil connecté, vous vous déplacez librement sur une arène de 500 m2 3️⃣ thèmes de jeu sont proposés. Vous pouvez être en […]

    Lire l’article

  • Analyse de données - Security Data Network
    Sécurité informatique

    QU’EST-CE QU’UNE ANALYSE FORENSIC ?

    On pourrait traduire Analyse Forensic en français par investigation/autopsie. C’est l’équivalent numérique de l’autopsie pratiquée en médecine légale. Elle fait partie de la réponse à incident. Le plus important dans une investigation numérique est la préparation. Il faut établir des procédures de réponse à incident adéquates. Cela évite de réagir dans l’urgence, de passer à […]

    Lire l’article

error: Interdit !