L’adoption d’IPv6, ralentie par les vulnérabilités et le retard des fonctions de sécurité
Selon les experts suivant de près le passage à IPv6, la transition pourrait prendre des airs de champ de mines pour les RSSI : erreurs de configuration, vulnérabilités logicielles, support d’IPv6 dans les équipements de sécurité... Autant d’éléments susceptibles d’augmenter la surface d’attaque sur les systèmes critiques.
Jusqu’ici, l’adoption d’IPv6 a été lente et ce protocole ne représente qu’environ 10 % de l’ensemble du trafic Internet. Mais les experts anticipent une forte croissance au cours des prochaines années. Et les entreprises vont avoir besoin de supporter ce trafic. Cela pourrait aller vite : certains fournisseurs d’accès à Internet pourraient ne plus disposer d’adresses IPv4 pour leurs abonnés dès le mois de septembre de cette année. Alors si la transition est bien partie pour prendre au moins encore trois bonnes années, il semble temps pour les organisations de commencer à s’y préparer sérieusement. D’autant plus que le protocole est, en lui-même, plus complexe qu’IPv4 et que, sans les compétences de professionnels réseau expérimentés, les entreprises pourraient bien prêter le flanc, sans s’en rendre compte, à des attaques via IPv6.
«Ces piles logicielles ne sont pas matures. Et lorsque quelque chose est nouveau, il y a forcément des soucis et l’on trouve des bugs », explique Silvia Hagen, auteur de IPv6 Essentials et Pdg de Sunny Connection AG, en Suisse, où elle travaille comme consultante et analyste senior. «Il y a aura des correctifs et des mises à jour mais les entreprises vont devoir dépasser toute la surmédiatisation du sujet.»
Et, justement, celle-ci a atteint un record la semaine passée. Le 8 juin était la journée mondiale d’IPv6. Et de nombreux sites Web majeurs, fournisseurs d’accès et de services et quelques entreprises, tous précurseurs, ont testé le protocole. L’événement était organisé par l’Internet Society (Isoc), une organisation à but non lucratif qui supervise la création et la régulation des standards liés à Internet, ainsi que la formation à leur sujet. La journée mondiale d’IPv6 n’était pas seulement l’occasion de tester la compatibilité IPv6 de systèmes en production; elle a aussi permis d’insister sur la décroissance rapide du nombre d’adresses IPv4 encore disponibles, le premier moteur du passage à IPv6.
Andy Champagne, vice-président Ingénierie d’Akamai, n’anticipait pas d’incident majeur à l’occasion de l’événement. Pour lui, il fallait plutôt que ce soit l’occasion, pour les professionnels du réseau en entreprise, pour se former et pour passer le mot en vue d'une transition proche. «Vous pouvez laisser de côté IPv6 et vous retrouver confronté, plus tard, à une transition vraiment difficile. Ou bien vous pouvez vous préparer dès maintenant en profitant d’événements tels que la journée mondiale d’IPv6, pour anticiper une transition en douceur », estime-t-il. «Et en matière de sécurité, je pense qu’il est beaucoup plus prudent d’essayer et de tester que de simplement activer IPv6 lorsqu’il devient indispensable.»
Les recherches liées aux vulnérabilités intrinsèques d’IPv6 ont été succinctes, selon Fernando Gont, ingénieur réseau et consultant sécurité qui a testé les déploiements IPv6 de plusieurs administrations publiques britanniques. Selon lui, le manque de documents de recherche et de pratiques de référence issus des premiers déploiements a conduit de nombreuses entreprises à adopter une approche attentiste vis-à-vis de la transition. Mais avec le temps, estime-t-il, l’intérêt des chercheurs en sécurité pour le protocole va se développer et de nouvelles vulnérabilités seront découvertes. «Nous avons plus de 20 ans d’expérience dans le déploiement et l’exploitation d’IPv4, tandis que nous ne jouons avec IPv6 que depuis quelques années », relève-t-il. «Le problème est que les fournisseurs n’ont pas travaillé à fournir de bonnes configurations par défaut et que toutes les implications de sécurité n’ont pas été explorées.»
Pour Fernando Gont, les professionnels des réseaux devraient commencer à apprendre le protocole. Et les professionnels de la sécurité doivent de leur côté savoir si leurs appliances de sécurité gèrent ou pas le trafic IPv6. Les équipements supportant IPv6 - pare-feu, IPS, etc. - ne font en outre pas l’objet d’une attention très marquée et peuvent receler des vulnérabilités. Qui plus est, les systèmes d’exploitation et d’autres logiciels sont livrés avec le support d’IPv6 activé par défaut - c’est notamment le cas de Windows 7 -, fournissant un autre vecteur d’attaque possible pour les cybercriminels.
Bien sûr, IPv6 pourrait à terme améliorer la sécurité, renforcer le chiffrement avec IPSec, et offrir un schéma d’authentification mutuelle de bout-en-bout entre hôtes. Mais d’ici là, selon Fernando Gont, IPv6 va probablement faire émerger des menaces réseau significatives parce que les équipements réseau vont devoir supporter les deux versions du protocole IP. Certains équipements vont devoir être remplacés. D’autres recevront le support d’IPv6 grâce à des mises à jour logicielles. Mais en déployant des réseaux à double pile IP, les organisations vont devoir mettre en place des règles de sécurité distinctes et décider des applications et des services qui seront accessibles avec IPv6.
«Il y a bien moins d’expérience d’IPv6 que d’IPv4 et il est probable que de nombreuses implications liées à la sécurité et IPv6 soient sous-estimées lors de son déploiement », explique Fernando Gont. «Et il y aura de nombreuses vulnérabilités découvertes dans les implémentations d’IPv6 avant que leur niveau de maturité n’égale celui des piles IPv4.»
Selon Andy Champagne, la communauté réseau gagne en compréhension du protocole et sur la manière de router proprement. Mais sans un déploiement prudent, les complexités liées à IPv6 pourraient bien rendre vulnérables certains réseaux d’entreprises. Par exemple, dans de nombreuses distributions Linux, pare-feu IPv4 et pare-feu IPv6 sont totalement dissociés et doivent être configurés séparément, explique-t-il. Et activer IPv6, sans avoir conscience de cela, c’est ouvrir en grand les vannes de trafic IPv6.
«Assurez-vous de bien vérifier la documentation de chacun de vos systèmes spécifiques si vous voulez savoir comment gérer le trafic IPv6 », recommande-t-il. «Vous n’avez pas envie de créer une porte dérobée IPv6...»
Par Robert Westerbelt, rédacteur, SearchSecurity.com
Adapté de l’anglais par la rédaction