Tribune : IPv6, le challenge sécurité de demain ?
Pour Eric Leblond, directeur technique d'EdenWall Technologies (spécialiste des appliances de sécurité), l'arrivée d'IPv6 ouvre de nouveaux terrains de jeu aux crackers et script kiddies. Mais obligera surtout les entreprises à repenser leur politique de sécurité. Car le protocole va bousculer l'administration systèmes et réseau telle qu'elle est pratiquée aujourd'hui.
La Toile explose, et IPv4 sature. Les demandes d'adresses IP affluent, de plus en plus nombreuses et vont continuer d'augmenter dans les années à venir, surtout compte tenu de l'accroissement exponentiel des outils et produits ayant accès à Internet. Parti à la conquête du réseau dès 2008, notamment via le FAI Free, IPv6 débarque dans les entreprises, et nécessite forcément une adaptation des politiques sécuritaires et de protection du patrimoine informationnel.
Quelles modifications l'adoption d'IPv6 induira-t-elle ? Quel challenge pour les entreprises, les particuliers ?
Le premier résultat d'IPv6 sera l'interconnexion globale, à savoir un Internet vraiment mondial : en 2015, nos frigos seront interconnectés et twitteront lorsque l'on n'aura plus de bière au frais. En découlera un champ d'exploration É-NOR-ME pour les crackers et les script kiddies de tout poil.
Et la seule force d'IPv6 contre cette accès direct sera sa taille. Un attaquant scannant 100 machines par seconde mettra environ... 10 puissance 20 milliards d'années à trouver votre frigidaire. Le côté rassurant de cette statistique est que même si plus d'un milliard d'ordinateurs lancent un scan concerté et simultané, nous sommes encore dans un délai raisonnable de 10 puissance 10 milliards d'années : on est bien caché au milieu d'un cloud IPv6.
Hormis une attaque ciblée, l'ouverture sur l'extérieur n'est donc pas un véritable problème pour la nouvelle génération d'adresses IP.
Une politique de sécurité à reconstruire
Le NAT, ou Network Adress Translation, était utilisé par certains pour empêcher les connexions directes vers l'extérieur et notamment vers un autre réseau NATé. Les attaques de type « prédictions de port », utilisées notamment par Skype, permettaient déjà d'établir des connexions directes entre machines de réseau NATé. IPv6 octroiera un nombre quasi illimité d'adresses IP, rendant l'utilisation du NAT inutile.
D'un point de vue purement entreprise, les principales difficultés se situeront au niveau des politiques de sécurité.
Fournir IPv6 sur un réseau est relativement aisé. Le protocole propose de nombreux modes de configuration automatique et l'utilisation d'IPv6 peut se résumer sur les systèmes d'exploitation évolués à une simple activation du pilote dédié. Les choses se compliquent pour l'entreprise lorsqu'elle décide de mettre en œuvre une politique de sécurité adaptée aux évolutions réseau : mes pare-feu gèrent-ils correctement IPv6 ? Comment puis-je déterminer l'adresse de mes serveurs et m'en souvenir ? Mes outils de journalisation supportent-ils IPv6 ? C'est tout un pan de l'administration système et réseau qui est donc à revoir.
Des extensions à s'arracher les cheveux !
IPv6 facilite l'anonymisation des adresses. Même si le DHCP (Dynamic Host Configuration Protocol) sur IPv6 a récemment connu un regain d'intérêt, il ne s'agit là que d'une solution de contournement d'une problématique opérationnelle liée au système d'attribution directe des adresses IP.
Une nouvelle fonctionnalité des systèmes d'exploitation est le changement régulier des adresses du poste, ceci dans le but de protéger la vie privée de l'utilisateur, ou plus globalement les échanges de données des entreprises. Il est donc complètement impossible de prévoir l'adresse du poste. Toute politique de sécurité basée sur une IP source donnée est donc à proscrire, et il faut envisager de systématiser l'utilisation de l'identification.
IPv6 Mobile est l'une des extensions les plus controversées si on la considère d'un point de vue sécuritaire. Le principe d'IPv6 Mobile est de fournir une connectivité à une machine sur une même adresse IP et ce, quelle que soit sa position géographique. Deux types de techniques sont utilisées pour parvenir à ce résultat. D'une part, l'établissement d'un tunnel IPsec entre le routeur d'origine (dit Home) et la machine déplacée derrière un routeur distant. D'autre part, un système de collaboration entre les routeurs assurant le transfert des flux entre les adresses de la machine (la locale et la distante). Ce dernier mécanisme repose sur une encapsulation des paquets d'origine qui ont alors deux couples d'adresses source et destination. Faut-il alors filtrer l'adresse Home ou l'adresse locale ? Ou prendre en compte les deux adresses, Home, codant l'emplacement fonctionnel, et l'adresse locale, codant l'emplacement géographique. Le déploiement IPv6 Mobile reste hypothétique car les recherches sur le sujet sont encore très actives, mais son intérêt pratique fera peut-être son succès.
Après de longues années d'hésitation l'adoption rapide d'IPv6 semble se profiler. Einstein disait que « l'homme et sa sécurité doivent constituer la première préoccupation de toute aventure technologique. » Mais comme il est de coutume, les enjeux de sécurité ne seront pas traités en premier... Ce qui ouvrira la porte à une nouvelle phase dans les attaques.
Par Eric Leblond, directeur technique, EdenWall Technologies