Fosses sur le chemin
Comme vous le savez, la mise en œuvre d’IPv6 est assez lente — environ 21 % des sites prennent en charge son utilisation. Les experts s’attendent à ce que la migration de masse vers le protocole de nouvelle génération se produise au plus tôt dans dix ans. Pour plusieurs raisons — il y a des difficultés techniques et financières, ainsi que la présence de NAT, qui « atténue » le manque d’adresses IPv4.
Le lancement officiel d’IPv6 a eu lieu il y a près de dix ans, mais les ingénieurs trouvent toujours des vulnérabilités de la pile technique. Ainsi, en 2020, un bug lié à ICMPv6 a été découvert, qui utilise le mécanisme d’annonce de routeur (CVE-2020-16898). Cette vulnérabilité permettait aux attaquants d’exécuter du code malveillant sur une machine compromise.
L’un des problèmes les plus récents a été identifié fin mars par des spécialistes de l’Institut d’informatique de la société Max Planck. Selon leur rapport, les appareils qui utilisent le mécanisme EUI-64 pour générer un identifiant d’interface (la deuxième partie d’une adresse IPv6) compromettent le réseau sur lequel ils se trouvent.
Comment ça se fait
Il existe un mécanisme SLAAC qui permet à un appareil d’obtenir des informations de préfixe d’un routeur sans l’aide du protocole de configuration des nœuds DHCPv6. Ces informations et l’identificateur d’interface 64 bits (IID) sont nécessaires pour obtenir une adresse réseau IPv6 unique.
Une façon de générer un IID unique est de le générer sur la base de l’adresse MAC de l’appareil (mécanisme EUI-64). Mais cette approche est aujourd’hui considérée non seulement comme peu fiable, mais même dangereuse, car elle révèle un identifiant matériel au niveau du réseau. Par conséquent, la communauté a développé des extensions spéciales à la pile IPv6, par exemple, qui sont décrites dans RFC4941 et qui « randomisent » la partie de l’adresse choisie par l’hôte. Dans le même temps, les fournisseurs de services Internet substituent les préfixes d’adresse pour une protection supplémentaire.
Mais, malheureusement, un certain nombre de développeurs du matériel, généralement des appareils d’Internet des objets, utilisent toujours « EUI-64 pur » pour générer des IID. Il permet aux attaquants d’identifier le Fabricant du périphérique réseau (et, par conséquent, les vulnérabilités potentielles), ainsi que de surveiller d’autres périphériques sur le réseau qui utilisent un IID similaire.
Quoi faire
En général, la solution au problème repose sur les épaules des développeurs de matériel et de logiciels : ils doivent faire attention à la sécurité des informations des appareils et activer les mécanismes de protection disponibles par défaut.
Selon les experts, il est possible de résoudre le problème au niveau gouvernemental si les régulateurs exigent que les fournisseurs certifient les produits pour se conformer aux normes permettant de fermer les vulnérabilités EUI-64. Dans le même temps, les FAI peuvent vérifier les routeurs avant de les transmettre à leurs clients.