Victoria - Fotolia
IPv6 se répand en France, mais inquiète l’OTAN
Selon l’Arcep, le taux d’utilisation d’IPv6 flirte aujourd’hui avec les 15 %, ce qui reste bien en-deçà de plusieurs voisins européens. Mais une étude de l’OTAN alerte sur les risques associés.
Selon l’Arcep, l’utilisation d’IPv6 a sensiblement progressé, en France, depuis qu’Orange s’est lancé dans son déploiement, début 2016. Sur un an, il est ainsi passé d’environ 5 % de taux d’utilisation à près de 15 %, dans l’Hexagone, du moins tel qu’observé en ligne. Ce chiffre reste toutefois bien en retrait par rapport à certains de nos voisins européens, dont la Belgique (plus de 47 %), la Suisse ou l’Allemagne (près de 27 % dans chacun des deux pays). Dans le détail, en France, le taux d’utilisation d’IPv6 serait aujourd’hui de plus de 28 % chez Free, de 16,5 % chez Orange, de 1 % chez Bouygues Télécom, et de 0,5 % chez SFR.
Les grands acteurs d’Internet son passés à IPv6 en 2012. La Chine poussait déjà à son adoption en 2008. Et Bruxelles appelait à accélérer le déploiement mi-2010. Mais voilà, l’adoption s’est avéré fortement ralentie notamment par les vulnérabilités et le retard des fonctions de sécurité. Et l’impréparation est apparue comme une véritable menace. De fait, les paquets IPv6 offrent une structure considérablement différente de celle des paquets IPv4. Les options IPv6 sont véhiculées par des en-têtes d’extension, et non pas dans l’en-tête de base, obligatoire, dont la taille est fixe. Les en-têtes d’extension sont insérés entre l’en-tête de base et l’en-tête du protocole de couche supérieure. Les paquets IPv6 suivent ainsi une structure comparable à une chaîne, dans laquelle chaque en-tête d’extension IPv6 indique le type d’en-tête qui suit, et sa propre longueur (à moins qu’elle n’ait une longueur fixe prédéfinie). Ainsi, il est possible de parcourir toute la chaîne d’en-tête IPv6 en partant de la première, obligatoire, jusqu’à la dernière des extensions.
Cette flexibilité peut induire des vulnérabilités, pour beaucoup largement documentées et discutées. Mais c’est sans compter avec celles qui peuvent émerger des mécanismes chargées d’assurer la transition entre IPv4 et IPv6. Et ce sont celles-ci sur lesquelles se sont penchés, l’an dernier, cinq chercheurs du centre d’excellence en cyberdéfense de l’Otan.
Dans un rapport de recherche, ils expliquent que « les mécanismes de transition basés sur des tunnels pourraient permettre de mettre en place des canaux de communication sortants sur un réseau IPv4 ou mixte tout en échappant à un système de détection d’intrusion (IDS) ». Ils complètent leur rapport par deux démonstrateurs établissant des canaux cachés et comparent leurs performances avec celles « d’outils d’exfiltration communs » dans un environnement virtualisé et automatisé. Pour ce dernier, ils ont utilisé l’outil d’automatisation Vagrant et des systèmes virtuels basés sur Kali Linux. Pour la surveillance du trafic réseau, les chercheurs se sont appuyés sur Suricata et Snort, et sur Bro et Moloch pour son analyse.
Selon leurs conclusions, « IPv6 et plusieurs techniques d’évasion rendent la tâche difficile à supervision de la sécurité réseau. Si la détection de plusieurs mécanismes de transition [IPv6/IPv4] est relativement simple, certaines techniques d’évasion s’avèrent plus complexes à détecter ». En fait, le taux de non détection sur l’ensemble des 630 tests effectués atteint 47,4 %.
Les chercheurs se sont également rapprochés de fournisseurs de solutions de sécurité réseau du commerce. Trois ont accepté de dialoguer, anonymement. Et les résultats des échanges ne sont pas rassurants : « le support d’IPv6 n’est souvent pas implémenté parce que les clients ne le demandent pas; de nombreux outils de supervision ont initialement été conçus sans penser au support d’IPv6 et le permettre nécessite de revoir fondamentalement le traitement des adresses 128 bits d’IPv6 ». Enfin, les chercheurs pointent un manque de conscience des techniques d’attaques propres à IPv6, se traduisant en une faible demande des clients pour son support.