IPv6 : la menace de l’impréparation
Le passage à IPv6, longtemps reporté dans les entreprises, mais aussi chez les FAI et les opérateurs, apparaît de plus en plus comme un impératif pressant. D’autant que les réserves d’adresses IPv4 se tarissent progressivement dans différentes régions du monde, faisant au passage d’une question technique un enjeu métier. Mais les incertitudes restent grandes face à ce qui apparaît comme un saut dans l’inconnu. Avec un double risque majeur : l’impréparation et la précipitation.
Alors que les réserves d’adresses IPv4 se sont taries dans la région Asie-Pacifique, la demande en compétences IPv6 pourrait rapidement progresser, jusqu’en Occident. Pierre Siaut, responsable business développement d’Integralis, l’anticipe ainsi : «pour les entreprises amenées à travailler avec des partenaires en Asie ou dans le Pacifique, cela risque d’être un passage obligé, voire même une condition pour répondre à certains appels d’offres.» Et d’évoquer l’exemple d’un de ces clients, dans le domaine du commerce électronique, qui a entamé les travaux de migration afin de garantir la continuité de son activité avec une région qui sera amenée à passer rapidement à IPv6. «Plus généralement, j’invite les entreprises à lancer en interne des projets conduits avec un gestionnaire de risque - le RSSI serait légitime pour cela - afin d’identifier tous les éléments de risque, depuis l’infrastructure jusqu’aux applications, en particulier sur les systèmes patrimoniaux.» Et puis, pour lui, alors que l’adoption des smartphones et autres tablettes ne se dément pas, «il serait dommage de casser la dynamique de flexibilité induite par la consumérisation» en ne prenant pas soin de bien préparer un passage à IPv6 qui, selon lui, «ira vite sur les réseaux mobiles ». Au final, Pierre Siaut entrevoit même une très forte demande en compétences IPv6 dès 2012. Ce qui pourrait ne pas aller sans peine : «aujourd’hui encore, la plupart des ingénieurs qui sortent de l’école n’ont vu IPv6 que sur le papier...». Et d'ajouter : «IPv6 est beau sur le papier mais, dans les faits, on manque de retours d’expérience significatifs ».
IPv6, un abime de points d’interrogation
De fait, alors que les travaux d’étude sur la sécurité d’IPv6 se multiplient depuis près de 10 ans, les interrogations restent nombreuses. La présentation de Marc Van Hauser Heuse, consultant indépendant, à l’occasion d’Hackito Ergo Sum, début avril à Paris, en donnait un léger aperçu : «les extensions d’entête induisent une complexité considérable. Les concepteurs d’IPv6 eux-même ne savent pas ce qui passerait en cas de malformation de ces extensions.» En outre, «on trouve de plus de vulnérabilités dans les piles logicielles IPv6 - en 2005, elles étaient 5; on en a trouvé entre 17 et 19 en 2010; cette année, je pense que l’on en trouvera plus de 20 ». Bref, pour lui, IPv6 «est si difficile à implémenter qu’il est très facile de commettre des erreurs ». Dans un inventaire à la Prévert, il illustre plus loin son propos d’un spectre très large d’attaques possibles, jouant sur l’autoconfiguration, l’usurpation d’adresse pour conduire une attaque en déni de service. Il explique aussi comment il est possible d’optimiser considérablement la recherche de ports ouverts sur les machines d’un sous-réseau alors même que la plage d’adresses concernée est considérablement plus étendue qu’en IPv4. Et de préciser que lui-même, quelques années plus tôt, jugeait inimaginable de procéder à ce type de recherche en force brute sur IPv6...
Vers une mise en oeuvre parcimonieuse
Pierre Siaut s’inquiète en outre de l’implémentation d’IPv6, chez les fournisseurs d’équipements réseau mais aussi de solutions de sécurité : «côté IPS, par exemple, TippingPoint, SourceFire et McAfee supportent bien IPv6. D’autres le supportent, mais sans certification. Cependant, le pire est probablement du côté des proxies ou des serveurs de messagerie, ou encore des solutions de filtrage Web ou anti-spam. Certaines listes sont exclusivement basées sur des adresses IP et font l’impasse sur les noms d’hôtes. Elles vont devenir caduques.» Dans ce contexte, comment envisager l’adaptation de son infrastructure à IPv6 ? «Il n’y a pas de règles de référence; cela se fera au cas par cas dans une logique de cohabitation. Surtout pour la connectivité publique; le réseau interne peut ne pas être concerné dans un premier temps. Cela implique donc tout ce qui est pare-feu ou équilibrage de charge. Plus globalement, le point clé est la passerelle entre les deux mondes. Les entreprises doivent amener IPv6 sur un point de connexion qui leur appartient afin d’avoir la maîtrise de sa configuration et de son adaptation à leur architecture.»