Introduction

L’IPv6 – descendant direct du protocole Internet, l’IPv4 –ne préoccupe que peu de DSI et administrateurs réseaux. Pourtant, il pourrait causer de sérieux problèmes aux systèmes d’information.

De nombreux experts disent que la plupart des SI des entreprises nord-américaines ont du trafic IPv6 parcourant leurs réseaux, et le peu d’administrateurs équipés pour voir le phénomène bloquent ou détournent ce trafic indésirable. De plus en plus, ce trafic nocif IPv6 abrite des attaques par botnet.

« Si vous ne préparez pas votre réseaux pour l’IPv6, le chemin emprunté par l’IPv6 peut être utilisé comme une avenue propice aux attaques, » prévient Tim Lemaster, Directeur des Systèmes d’Information dugroupe Juniper. « Ce que les administrateurs réseaux ne comprennent pas c’est qu’un utilisateur peut utiliser l’IPv6 sur un hôte et qu’une personne tierce peut envoyer du trafic nocif vers cet hôte de façon invisible. »

La majorité des administrateurs réseaux ne s’aperçoivent pasdu trafic IPv6 pernicieux parce qu’ils ne possèdent pas de pare-feux, de systèmes de détection d’intrusion ou d’outils de surveillance du réseau adaptés à l’IPv6. Aussi, le tunneling du trafic IPv6 vers IPv4 commence à se répandre de plus en plus sans que les administrateurs aient déployé des mécanismes de sécurité pouvant inspecter le trafic tunnelé.

« Au moins la moitié des DSI ont de l’IPv6 sur leurs réseaux sans s’en apercevoir et les hackers le savent », s’exprime ainsiYanick Pouffary, Directeur Technique de la North Amercian IPv6 Task Force et Technicien Spécialiste HP. « Vous ne pouvez pas ignorer l’IPv6. Vous devez prendre un maximum de précautions afin de sécuriser votre système d’information. Vous avez besoin de pare-feux et d’outils de gestion réseau qui prennent en charge l’IPv4 ainsi que l’IPv6. »

« Bien qu’ils ne pensent pas à l’IPv6, les réseaux des « Fortune500 » (ndlr : les 500 plus grosses entreprises mondiales) sont parcourus par de l’IPV6, » admet Dave West, Directeur des Systèmes d’Ingénieriepour le secteur publique de Cisco. « Vous ne voyez peut être pas l’IPv6 aujourd’hui comme un fil conducteur du marché. Mais que vous le vouliez ou non, de l’IPv6 se cache dans votre réseau. »

L’IPv6 est une mise à jour attendue depuis longtemps pour les principaux protocoles de communication, tout comme l’IPv4 le fut en sontemps. L’IPv6 se caractérise par un pool d’adresses extrêmement large, par une sécurité intégrée ainsi que par le support du media streaming et des applications peer-to-peer. Fonctionnel depuis une décennie, l’IPv6 est lente à s’étendre aux Etats-Unis. Alors que l’essoufflement de l’IPv4 est prévu en 2011, les regards sont tournés vers les entreprises internationales qui devraient déployer l’IPv6 d’ici quelques années.

Les menaces basées sur l’IPv6 ne sont pas toujours bien comprises, mais elles deviennent de plus en plus préoccupantes. Par exemple, le problème des attaques basées sur l’IPv6 a été officialisé lors d’un meeting en juin dernier par le National Security Telecommunications Advisory Committee, une commission chargée d’informer la Maison Blanche à propos de cyber sécurité.

« Nous observons souvent des ordres et des contrôles detrafic concernant l’IPv6 », annonce Jason Schiller, Ingénieur senior du réseau Internet chez Verizon Business. « Les hackers essayent de tirer profit de l’IPv6 pour passer outre des radars déployés sur les réseaux. C'est-à-dire qu’ils utilisent l’IPv6 afin de partager des fichiers illégaux via le P2P. »

Le trafic IPv6 fantôme est une menace émergente pour les administrateurs réseaux. Le plus grand risque est surement pour les entreprises qui ont décidé de repousser le déploiement de l’IPv6 parce qu’elles n’y voient pas de profit financier.

Le trafic IPv6 nuisible est « une menace très grave »selon Sheila Frankel, informaticienne du département de la sécurité des NIST (National Institutes of Standards and Technology).

« Les utilisateurs peuvent avoir de l’IPv6 sur le réseaux sans même le savoir. Les ordinateurs et autres périphérique peuvent embarquer de l’IPv6. Idéalement, si vous n’êtes pas protégé contre, il vaut mieux désactiver l’IPv6 de ces périphériques réseau. Vous devez être préparé à bloquer tout trafic dans votre système d’information, qu’il soit entrant ou sortant. »

Sheila Frankel recommande aussi aux DSI qui ne veulent pas utiliser l’IPv6 de mettre en place des pare-feux et des systèmes de prévention d’intrusion afin de bloquer le trafic IPv6 natif et tunnelé.

« Vous pourrez ainsi bloquer le trafic IPv6 pur ainsi que le trafic tunnelé depuis un autre trafic. Les opérateurs réseaux doivent être conscients des façons dont l’IPv6 est tunnelé en trafic IPv4 et des différents mécanismes de transition, ils doivent connaître les règles afin de bloquer toutes les classes de trafic. »