Blog ENI : Toute la veille numérique !
🐠 -25€ dès 75€ 
+ 7 jours d'accès à la Bibliothèque Numérique ENI. Cliquez ici
Accès illimité 24h/24 à tous nos livres & vidéos ! 
Découvrez la Bibliothèque Numérique ENI. Cliquez ici
  1. Livres et vidéos
  2. IPv6
  3. IPv6 et la sécurité
Extrait - IPv6 Principes et mise en oeuvre (2e édition)
Extraits du livre
IPv6 Principes et mise en oeuvre (2e édition) Revenir à la page d'achat du livre

IPv6 et la sécurité

Objectifs du chapitre

L’objectif de ce chapitre est d’abord de faire le point sur les menaces apparaissant ou persistant en IPv6 tout en explorant les mécanismes de sécurité existant en IPv6, propres à ce protocole ou communs à IPv4.

Explorons maintenant les principaux mécanismes de sécurité présents en IPv6 ainsi que les principales menaces auxquelles ils permettent de faire face.

IPsec (IP Security)

Ce mécanisme est présenté comme le point majeur de sécurisation d’IPv6. C’est un raccourci un peu brutal car ce n’est pas tout à fait exact.

D’une part, IPsec a été également implanté depuis en IPv4, essentiellement dans le cadre de VPN (Virtual Private Network ou Réseaux Privés Virtuels) pour établir des connexions sécurisées entre des sites distants, entre des nomades et un site central...

D’autre part, il est faux de penser qu’IPsec est automatiquement en fonction sous IPv6 et qu’il sécurise donc systématiquement toute connexion IPv6.

Ce qui est par contre exact et essentiel c’est qu’IPsec est nativement présent dans la pile TCP/IP de chaque logiciel ou matériel censé supporter IPv6.

Le grand intérêt d’IPv6 pour IPsec c’est que, sauf cas exceptionnel, il n’y a plus besoin de translation d’adresses entre la source et la destination. Cela autorise une grande souplesse dans l’utilisation d’IPsec aussi bien dans le choix entre les modes transport et tunnel qu’entre AH et ESP puisqu’en IPv4, AH est pratiquement inutilisable dès qu’il y a translation.

1. Description

Nous allons passer en revue de façon assez sommaire les principales caractéristiques d’IPsec et de son fonctionnement. IPsec est un protocole assez complexe et ce n’est pas notre propos d’en présenter tous les arcanes à nos lecteurs. Nous invitons ceux qui souhaiteraient approfondir ce sujet à se reporter à notre ouvrage sur les VPN aux Éditions ENI (référence en fin de chapitre).

Nous souhaitons protéger les données échangées entre deux postes IPv6 (nommés A et B par exemple) sous plusieurs aspects :

  • Authentification des données : nous ne voulons pas qu’un autre poste C puisse nous envoyer des données en se faisant passer pour A ou pour B.

  • Confidentialité : nous ne voulons pas qu’un poste C ayant accès au flux TCP/IP échangé entre A et B puisse lire les informations échangées.

  • Intégrité des données : nous ne voulons pas qu’un poste tiers puisse altérer les données échangées au risque...

Adressage temporaire et adressage aléatoire

Il est parfois souhaitable de masquer son identité lors de certaines connexions Internet, soit pour conserver l’anonymat, soit pour éviter que notre adresse soit utilisée comme cible d’attaques.

Or, le propre de l’autoconfiguration est de baser l’identifiant d’interface sur l’adresse MAC de notre carte réseau. Cela est certes très pratique, mais quand nous changeons de réseau (maison, autre lieu de travail…), il est possible, voire probable, que notre identifiant ne change pas pour autant (sous réserve d’utiliser toujours l’autoconfiguration et de ne pas changer d’interface réseau), contrairement à ce qui se passe en IPv4, où en plus intervient souvent une translation d’adresse.

Cela veut dire que l’ensemble de nos échanges sur Internet peut conduire à une collecte de données sur nos habitudes, sur les sites fréquentés, sur nos interrogations de moteurs de recherche...

Cela peut nuire à notre vie privée ou à la discrétion lors d’échanges professionnels.

Comme nous l’avons déjà vu, il existe néanmoins une fonctionnalité qui coupe le lien entre l’adresse MAC et l’IPv6 générée par l’autoconfiguration. C’est la fonction randomize que nous avons abordée dans le chapitre Autoconfiguration...

Sécurisation des échanges

Tous les échanges peuvent faire l’objet d’attaques. Nous allons nous intéresser à ceux qui peuvent rendre particulièrement vulnérable notre architecture et plus particulièrement ceux qui automatisent une partie de notre configuration, que ce soit dans le cadre de l’autoconfiguration ou dans celui des acquisitions de routes.

1. Découverte des voisins

La découverte automatique des voisins est une des fonctionnalités fondamentales d’IPv6. Néanmoins, son côté "annonce à la cantonade" peut laisser place à plusieurs types d’attaques. Le lecteur pourra se référer utilement au RFC 3756 qui fait un panorama assez complet de la situation en la matière.

a. Les menaces

Nous allons faire un inventaire des principales menaces. Nous allons, pour simplifier notre présentation, appeler A et B deux postes légitimes, R notre routeur et NEMO un poste intrus ou un poste légitime mais contrôlé par un intrus (directement ou au travers d’un malware).

NEMO annonce le plus fréquemment possible sur le lien sa présence sous l’identité B mais avec ses propres adresses. Il y a donc un risque que A écrive à NEMO en pensant correspondre avec B : détournement de trafic.

NEMO répond à toutes les demandes...

Pour aller plus loin

1. Un ouvrage pour approfondir IPsec

Si le lecteur souhaite de plus amples informations sur le fonctionnement d’IPsec, nous l’invitons à consulter notre ouvrage "Les VPN - Fonctionnement, mise en œuvre et maintenance des Réseaux Privés Virtuels" dans la collection Expert IT des Éditions ENI.

2. Quelques documents de référence

  • RFC 2401 et RFC 4301 pour le protocole IPsec lui-même et les descriptions des SA et des bases associées (SAD, SPD, PAD).

  • RFC 4306, 2407, 2408, 2409 pour IKE v1 et v2.

  • RFC 4303 et RFC 2406 pour ESP.

  • RFC 4302 et RFC 2402 pour AH.

  • RFC 4941 pour les adresses temporaires.

  • RFC 3756 pour les menaces liées au protocole de découverte des voisins.

  • RFC 3971 et 3972 pour la sécurisation des voisins et des routeurs.

3. Quelques liens