UP' Magazine L'innovation pour défi

Close

Des défis de sécurité apparaissent avec le lancement de l'IPv6

ipv6Il ne fait aucun doute que le lancement mondial imminent du protocole IPv6 le 6 Juin 2012 annonce une nouvelle ère de l'infrastructure Internet dans le monde entier, à la fois en termes d'évolution et d'adoption généralisée.

Les jours du protocole IP dans sa forme actuelle (IPv4) sont comptés. Le réseau Internet était utilisé largement par les universités, les industries de pointe, et le gouvernement dès le milieu des années 1990, mais Internet intéresse de plus en plus les entreprises et les sociétés commerciales - il sera utilisé par un grand nombre d'individus et de systèmes exprimant les uns et les autres des besoins différents.

Par exemple : avec la convergence de l'ordinateur, des réseaux, de l'audiovisuel et de l'industrie des loisirs, chaque poste de télévision devient  un équipement d'accès à Internet permettant à des milliards d'individus de pratiquer, par exemple, la vidéo à la demande, le télé-achat ou le commerce électronique. Dans ces circonstances, le protocole IPv6 (appelé également IPng pour IP new generation) doit offrir plus de flexibilité et d'efficacité, résoudre toute une variété de problèmes nouveaux et ne devrait jamais être en rupture d'adresses.

Le protocole IPv6 répond raisonnablement aux objectifs édictés. Il maintient les meilleures fonctions d'IPv4, en écarte ou minimise les mauvaises, et en ajoute de nouvelles quand elles sont nécessaires.

Le monde a déjà eu un avant-goût du nouveau protocole en Juin dernier, lors de la Journée Mondiale IPv6. Mené par l'Internet Society, plus de 1 000 sites Internet, entreprises hightech et FAI ont été encouragés à passer collectivement à l'IPv6 durant une période de 24 heures pour "tester" le protocole et essayer d'anticiper les problèmes techniques qui pourraient se produire lors du lancement officiel.

Le 6 Juin 2012, les principales organisations high-tech et leaders du Web tels que Google, Facebook et Yahoo!, entre autres, basculeront vers le nouveau protocole Internet lors du lancement mondial officiel.

Et la transition devient de plus en plus nécessaire. Le protocole actuel IPv4, qui supporte environ 3,7 milliards d'adresses, a simplement épuisé le stock d'adresses disponibles, en partie du fait de l'explosion des appareils mobiles. Mais l'IPv6, de son côté, a une capacité illimitée d'adresses ce qui lui permet de s'adapter à une infrastructure mobile et Internet mondiale en pleine croissance.

Cependant, avec le lancement imminent du protocole mondial IPv6, les chercheurs et professionnels de l'IT anticipent certains défis, en particulier en matière de sécurité. L'aspect novateur et le manque de connaissances relatifs au protocole IPv6 feront qu'il y aura forcément des erreurs de configuration, des problèmes de compatibilité et autres maladresses d'implémentation. Il n'existe pas les connaissances institutionnelles sur l'IPv6 que l'on a sur l'IPv4, qui a été utilisé depuis des décennies et offre une vaste base de connaissances.

Mais peut être que le plus important défi en matière de sécurité est que de nombreux appareils de sécurité réseau sont capables de transférer le trafic IPv6, mais pas de l'inspecter. Et, comme l'IPv6 est activé par défaut sur de nombreuses plateformes réseaux actuelles – tel que Windows 7 – ces systèmes sont déjà installés sur le réseau.

La plupart des systèmes qui n'ont pas l'IPv6 activé ont la capacité de contourner ce problème en encapsulant les paquets IPv6 d'en-têtes IPv4. Ils lisent l'en-tête, mais ne peuvent pas lire le contenu du paquet en lui-même. Ils ne peuvent donc pas faire l'inspection approfondie habituelle des paquets, et transfèrent donc juste les paquets. C'est seulement quand ils ont une implémentation dual stack, qu'ils peuvent autoriser les fonctions de sécurité réseau à simultanément traiter et inspecter les paquets provenant à la fois des protocoles IPv4 et IPv6.

Plusieurs constructeurs de sécurité offrent cette fonctionnalité – mais pas tous − et c'est justement l'un des risques auxquels sont confrontés les professionnels de la sécurité réseau aujourd'hui. Ils doivent s'assurer que leurs produits de sécurité peuvent inspecter le trafic IPv6. S'ils peuvent seulement transférer le trafic IPv6, ces produits pourraient également transférer le contenu malveillant.

Même avec une implémentation dual stack, les organisations ont néanmoins besoin de vérifier si elles ont les mêmes fonctionnalités de sécurité activées pour le protocole IPv4 que pour l'IPv6. Dans le cas contraire, les appareils de sécurité réseau sont susceptibles de laisser passer des éléments critiques du trafic malveillant qui pourraient potentiellement compromettre le réseau.

Certaines des politiques et technologies sur lesquelles vous comptez peuvent uniquement fonctionner en IPv4 et non en IPv6, et créent ainsi les déficits de votre couverture de sécurité. Cependant, mettre à jour l'infrastructure de sécurité réseau pour permettre le transfert à l'IPv6 n'est pas un projet simple et prendra probablement des années pour être complètement abouti. C'est pourquoi de nombreuses organisations, faisant face à des mises à jour matérielles qui sont potentiellement longues et onéreuses, n'ont pas prévues d'adopterl'IPv6 de si tôt.

Pourtant, les entreprises ne vont pas pouvoir éviter l'IPv6 encore trop longtemps. Suite au lancement du 5 Juin, beaucoup plus de trafic IPv6 atteindra leurs réseaux. Lorsque l'IPv6 représentera 5 à 10 pourcents de vos données − plutôt qu'une fraction de pourcent comme a l'heure actuelle – éviter les mises à jour nécessaires va devenir beaucoup plus difficile à justifier. Les DSI vont donc devoir se pencher sur ce problème rapidement.

Pour mieux comprendre l'IPv6 : 

 

 

 

Loading...
Loading...