Journée IPv6 : les hackers pourraient s’inviter à la fête

Cloud

Ce 8 juin est la « journée IPv6 ». Avec un test grandeur nature de ce nouveau protocole, cette journée devrait être le symbole du passage de l’IPv4 à l’IPv6. Sauf que des faiblesses inhérentes à l’IPv6 pourraient être exploitées par les hackers.

Durant 24 heures ce mercredi 8 juin, l’IPv6 sera à l’honneur avec un test lancé à l’échelle planétaire. Plus de 400 sociétés dont Google, Facebook, Microsoft et Yahoo, ainsi que des FAI, vont se prêter au jeu.

Leurs contenus seront ainsi accessibles durant 24 heures via des adresses IPv6. Le double adressage sera toutefois de mise et les sites garderont une adresse IPv4. C’est l’Internet Society qui a promu et qui organise l’opération.

Les adresses IPv4 sont codées sur 32 bits et, de ce fait, ce sont près de 4,3 milliards d’adresses qui sont disponibles (2 à la puissance 32).

Ou plutôt « étaient disponibles » puisque la source s’est tarie. A l’échelle mondiale, moins de 10% des adresses IPv4 est allouable. Et certaines zones géographiques ont déjà épuisé leur quota d’adresses IPv4 auprès de leur RIR (acronyme de Registre Internet Régional).

L’APNIC, le RIR dédié à la zone Asie et Pacifique, a ainsi distribué le tout dernier bloc d’adresses IPv4 en février dernier. L’IPv6 remettra les pendules à l’heure avec 2 à la puissance 128 combinaisons possibles, soit une infinité d’adresses…

Des statistiques de Google montrent par ailleurs que le trafic Internet mondial via l’IPV6 représente à peine plus de 0,2% du trafic IP total. Les fournisseurs de contenus et d’accès Internet sont donc encore très frileux.

Ce test a pour vocation de s’assurer que le passage peut être effectué de façon transparente pour les utilisateurs, mais devrait aussi servir à dissiper les craintes que peuvent avoir les éditeurs de contenus et les FAI.

Mais les hackers pourraient bien gâcher la fête et profiter de ce jour singulier pour lancer de nombreuses attaques de type DDoS (Distributed Denial of Service – Déni de Service Distribué). Ron Meyran, directeur marketing produit et de la sécurité au sein de la société Radware explique que « durant les 5 derniers mois, il y a eu une recrudescence des attaques de type DDoS ».

Et c’est la structure même des paquets IPv6 qui pourrait être exploitée à des fins malveillantes. Ainsi les en-têtes des paquets IPv6 sont quatre fois plus importants que ceux des paquets IPv4.

Les routeurs ainsi que les pare-feux doivent donc traiter plus de données, et par voie de conséquence, il est d’autant plus facile de les surcharger lors d’une attaque de type DDoS. L’autre problème vient du fait que les administrateurs de réseaux n’ont pas encore beaucoup d’expérience avec l’IPv6 et ne sont pas aguerris à l’écriture de règles pour les pare-feux s’agissant de ce nouveau protocole. C’est d’autant plus vrai que le protocole IPv6 est plus complexe que celui de l’IPv4.

Rien ne prouve toutefois que de telles attaques soient menées. Mais cette journée est un symbole et il ne faudrait pas qu’il se transforme en bérézina.

Car si l’IPv6 ne décollait pas, la saturation des adresses IPv4 aurait pour conséquence une complexification de l’infrastructure Internet, puisqu’il faudrait des couches additionnelles pour la traduction des adresses (NAT pour Network Address Translation). Dans ce scénario catastrophe, par effet domino, la complexité des infrastructures Internet engendrerait une augmentation des coûts des réseaux, un ralentissement de leur développement et, à termes, une diminution des innovations et de l’économie mondiale.

Lire aussi :