L'avis d'expert de Fortinet : IPv6 va-t-il améliorer la sécurité informatique ?

La Journée Mondiale IPv6 se déroulera demain, mercredi 8 juin. Fortinet y participera. Société installée à Sophia Antipolis, elle est reconnue comme l’un des principaux acteurs du marché de la sécurité réseau et le leader mondial des systèmes unifiés de sécurité UTM (unified threat management). A l'occasion de cette journée IPv6, sera pratiqué un test grandeur nature de 24 heures des sites Internet en IPv6, parrainée par l’Internet Society (ISOC). En ce jour, Fortinet proposera également ses Services de Sécurité FortiGuard™ sur IPv6, qui permettront aux entreprises utilisant les services antivirus, de prévention d’intrusions (IPS), de filtrage du contenu Web et d’anti-spam de Fortinet, de tester leur connectivité sur l’IPv6.

A l'approche de cette journée, Fortinet s'est penché sur une question : "IPv6 : quelles conséquences sur la sécurité informatique ?". Une question qui se pose d'autant plus qu'avec IPv6 et la multiplication pratiquement à l'infini du nombre d'adresses possibles, nous pourrons rester connecté. Voici ses éléments de réponses.

IPv6 : quelles conséquences sur la sécurité informatique ?

Qu’on le veuille ou non, dans les prochaines années, chaque entreprise devra probablement mettre à jour chaque appareil qui est actuellement connecté à son réseau. C’est à cause d’un changement technologique fondamental appelé Internet Protocol Version 6 (IPv6).

En résumé, le Protocole Internet attribue une “adresse” à chaque appareil qui est attaché au réseau. Tout appareil qui tente de se connecter à un réseau ou Internet, que ce soit un ordinateur portable, un téléphone mobile, une imprimante, un scanner, une tablette, etc., doit avoir une adresse qui lui est attribuée pour lui permettre de se connecter. Ne pas avoir une adresse revient à essayer de téléphoner à quelqu’un, sans avoir de tonalité. Le problème qui se dessine pour les réseaux c'est que le Protocole Internet actuel  (IPv4) n’a plus aucune nouvelle adresse à allouer. L’IPv6 y remédie en offrant un plus grand nombre de nouvelles adresses qui resteront disponibles pendant de nombreuses années.

Ainsi, alors que l’iPv6 va nous permettre de rester ‘connecté’, on peut se demander quelles seront les implications d’un point de vue de la sécurité.

Est-ce que ce protocole facilitera la propagation de logiciels malveillants?

Le nombre d’adresses uniques possibles en IPv6 est largement plus élevé qu’en IPv4, représentant un total d’environ 3.4x1038 adresses. Pour se faire une idée de ce que représente un tel nombre, on peut utiliser la métaphore suivante: si une adresse Internet unique a la taille d’un grain de sable (1 millimètre cube), alors il faudrait l’équivalent de 340 millions de planètes creuses (chacune de la taille de la Terre) pour contenir toutes les adresses possibles disponibles en IPv6. Or, en IPv4, il faudrait seulement 4 mètres cubes! On comprend alors que scanner tout l’espace d’adresses IPv6 est impossible.

De même qu’il sera très improbable d’identifier une adresse attribuée en générant des adresses IPv6 de façon aléatoire.

La conséquence positive de cela c’est que les menaces sur le réseau, telles qu’elles existent aujourd’hui, auront beaucoup plus de difficultés à se propager. En effet, leur  propagation est basée sur la génération aléatoire d’adresses IP. Avec l’IPv6, la probabilité de générer au hasard des adresses déjà attribuées, est pratiquement nulle. Les hackers devront donc adapter les logiciels malveillants sur le réseau pour les rendre efficaces dans l’espace d’adressage étendu prévu par le protocole IPv6.

Malheureusement, les menaces sur le réseau sont loin de représenter la majorité des logiciels malveillants et la transition du protocole n’a aucun effet sur tous les autres types de menaces Internet : ceux opérant au niveau de la couche d’application, comme les vers qui se propagent par emails, les virus et les bots; ou ceux ciblant le contenu, comme les logiciels malveillants délivrés via YouTube, Facebook, etc. Ces menaces, qui correspondent à la majorité des logiciels malveillants aujourd’hui, fonctionneront de la même manière et auront la même capacité à compromettre les systèmes, voler les données, détourner les appareils en bots, etc.

Sera-t-il encore plus difficile en IPv6 d’identifier la source des attaques Internet?

Compte tenu du nombre quasi infini d’adresses IPv6, on pourrait penser qu’il est désormais pratiquement impossible de détecter l’origine d’une attaque. La réalité c’est que ce sera beaucoup plus facile qu’en IPv4, parce que l’IPv6 impose le support d’IPSec (à l’inverse de l’IPv4), qui est utilisé pour authentifier l’origine d’un paquet IP. Bien que cela n’empêchera pas les attaquants de se ‘cacher’ derrière des proxies, cela devrait empêcher la falsification de l’adresse d’origine dans des protocoles "non connectés” (type UDP).

Le passage à l’iPv6 ne sera certainement pas un inhibiteur pour la cybercriminalité qui continue à se développer très fortement, avec des logiciels malveillants toujours plus sophistiqués et combinant plusieurs types d’attaques. Il est donc essentiel pour toutes les organisations de s’équiper d’une première ligne de défense efficace en déployant des solutions de sécurité multi-menaces. Cette mesure combinée avec une meilleure éducation des utilisateurs  reste la meilleure protection contre  la tromperie et  l’innovation pure des cybercriminels.