IPv6 et sécurité font-ils bon ménage ?

Le nouveau protocole permet de donner une adresse à chaque grain de sable de la planète (340 milliards de milliards de milliards de milliards d’adresses). Les statistiques de migration du Number Ressources Organization – NRO montrent que l’adoption est en bonne voie, tandis que les entreprises peinent à prendre le tournant.

Lorsque certains résument le fonctionnement de l’IPv6 à : « 96 bits de plus, rien de magique » et que l’on assiste à l’explosion des nouvelles menaces avec le développement de l’hacktivisme, les 0-days, les attaques ciblées ainsi que les dénis de services, quel est l’horizon de la sécurité sur l’IPv6 ?

IPv6, Des vulnérabilités déjà connues

L’IPv6 introduira de nouvelles faiblesses sur les outils de contrôle d’accès et de gestion de logs. La difficulté étant qu’une même adresse IPv6 peut s’écrire sous plusieurs formes : – 2001:0DB8:0BAD::0DAD – 2001:DB8:BAD:0:0:0:0:DAD – 2001:db8:bad::dad (Format RFC 5952)

Les systèmes devront s’adapter pour pouvoir décoder correctement l’information, tout comme les outils de recherche : comment retrouver facilement une adresse IPv6 dans un journal si la notation n’est pas normalisée ?

La vulnérabilité CVE-2012-0475, affectant les moteurs Mozilla, en est l’exemple type : une requête sur un serveur web utilisant une adresse au format spécifique (2 blocs de 16 bits à 0) permet de contourner le système de contrôle d’accès du serveur.

Sensibilité aux denis de service

D’après les rapports de Prolexic, acteur majeur dans la gestion des dénis de services distribués, plus de 48 Gbps de bande passante a été utilisée sur le premier trimestre 2013 pour des attaques de DoS. Notre réseau Internet étant encore actuellement en IPv4, les mêmes problématiques seront présentes avec l’IPv6, mais aggravées par 3 facteurs :

•    L’inexistence des bases de réputation IPv6

De nombreux constructeurs basent leurs solutions sur la réputation d’une adresse IP pour savoir si cette dernière est qualifiée comme une source de malware, spam, proxy anonyme … Aujourd’hui, aucun éditeur n’a encore initié une telle base et lors des futures migrations vers l’IPv6, cette brique de sécurité sera surement indisponible ou incomplète.

•    La taille du réseau IPv6

Le domaine IPv6 étant tellement vaste : 238 adresses, les hackers pourront utiliser des millions voir des milliards d’adresses source pour lancer leurs attaques. Les équipements de filtrage pourront difficilement apprendre en mémoire toutes les adresses à limiter ou bannir, il faudra trouver une autre approche que les mécanismes de rate-limiting sur IPv4 pour fournir le même niveau de protection.

•    La compatibilité des ASIC

Beaucoup d’équipementiers ont créé leurs ASIC pour optimiser les traitements IPv4, mais ils n’ont pas été forcément prévus pour IPv6. Bon nombre de solutions traitent aujourd’hui l’IPv6 en couche logicielle, consommant la puissance du processeur principal au lieu de celle des ASIC. Il faudra donc faire évoluer les équipements pour pouvoir soutenir un volume important de trafic IPv6.

Selon les estimations du cabinet IDC, 200 milliards d’objets seront connectés à Internet d’ici 2020.

Dans un avenir proche le déploiement d’IPv6 sera une nécessité !

Le besoin d’adresses réseau se fera ressentir et plutôt que de s’arrêter sur la question « IPv6 est-il plus ou moins sûr qu’IPv4 ?» mieux vaut préparer son arrivée en :

•    Formant les administrateurs réseaux à son fonctionnement (manque de compétences sur le marché).

•    Vérifiant ses équipements pour identifier si ces derniers communiquent déjà en IPv6.

•    Validant auprès des fournisseurs que les outils de sécurité sont bien compatibles IPv6, avec un traitement matériel en ASIC dans la mesure du possible.