Verrouillage du routage IPv6, le grand oublié des services de VPN

Une étude montre que la plupart des services de VPN ouverts au public oublient de verrouiller le routage IPv6 sur les machines supportant ce protocole en plus d’IPv4. De quoi laisser fuite du trafic sans protection.

La fuite de trafic IPv6. C’est, selon cinq chercheurs, le mal commun à une large majorité de services de réseau privé virtuel (VPN) accessibles au public. Dans un rapport, ils expliquent que ces services « s’appuient sur la configuration correcte de la table de routage du système d’exploitation ». Mais « alors que tous les clients VPN manipulent la table de routage IPv4, ils tendent à ignorer la table de routage IPv6 ». Ainsi, « aucune règle n’est ajoutée pour rediriger le trafic IPv6 dans le tunnel ». Dès lors, tout le trafic IPv6 est susceptible de contourner l’interface réseau du VPN pour circuler via l’interface réseau nominale.

Pour les chercheurs, si cela n’était pas un problème sérieux « il y a quelques années, la croissance du trafic IPv6 rend le problème critique ». Il l’est d’autant plus que « les implémentations communes de double pile [IPv4 et IPv6] manifestent une préférence pour IPv6 lorsqu’il est disponible ». Et cela d’autant plus que le tunneling VPN IPv4 « introduit des surcharges qui augmentent le délai de résolution DNS ». Cela concerne directement les services en ligne ouverts à IPv6 les plus populaires, dont YouTube, Wikipedia, Facebook, Google, Gmail, etc.

Les auteurs présentent quelques scénarios d’attaques exploitant cette vulnérabilité et nécessitant que l’attaquant contrôle le serveur DHCP utilisé par la victime, ou connaisse l’adresse IP du serveur DNS utilisé par son VPN, sur son ordinateur. Dans ce cas, une fois que la cible a été configurée pour « transmettre ses requêtes DNS à un serveur contrôlé par l’adversaire, le trafic de tous les domaines résolus peut être redirigé pour contourner le VPN ».

Les cinq chercheurs ont étudié 14 services de VPN accessibles au public pour découvrir que près de 80 % d’entre eux sont ainsi vulnérables. Mais leurs travaux ont une portée plus vaste.

Dès 2011, James Lyne, directeur de la stratégie technologique de Sophos, alertait sur le manque d’attention accordée à IPv6 : « toute entreprise qui utilise Windows Server 2008, Windows 7 ou même OS X, et un nombre croissant d’applications, dont Skype, pourrait utiliser IPv6 sans même le savoir ». De quoi ouvrir des avenues à des cybercriminels capitalisant sur le fait que peu de personnes filtrent le trafic IPv6.

A la même époque, dans nos colonnes, Pierre Siaut, alors responsable business développement d’Integralis, soulignait lui-aussi le risque de l’impréparation : « aujourd’hui encore, la plupart des ingénieurs qui sortent de l’école n’ont vu IPv6 que sur le papier ».

 

Pour approfondir sur WAN, SDWAN, SASE