“D'où on n'a pas attendu”: comment IPv6 peut compromettre les réseaux

May 16, 2022
IPv6
“D'où on n'a pas attendu”: comment IPv6 peut compromettre les réseaux
Tout cela à cause de la norme EUI-64. Il est passé à la catégorie legacy, mais est toujours utilisé par les développeurs d'appareils IoT (et non seulement par ceux-ci). Parlons de ce qui se passe ici.

Fosses sur le chemin

Comme vous le savez, la mise en œuvre d’IPv6 est assez lente — environ 21 % des sites prennent en charge son utilisation. Les experts s’attendent à ce que la migration de masse vers le protocole de nouvelle génération se produise au plus tôt dans dix ans. Pour plusieurs raisons — il y a des difficultés techniques et financières, ainsi que la présence de NAT, qui « atténue » le manque d’adresses IPv4.

Cependant, le processus est entravé par des aspects liés à la sécurité de l’information.

Le lancement officiel d’IPv6 a eu lieu il y a près de dix ans, mais les ingénieurs trouvent toujours des vulnérabilités de la pile technique. Ainsi, en 2020, un bug lié à ICMPv6 a été découvert, qui utilise le mécanisme d’annonce de routeur (CVE-2020-16898). Cette vulnérabilité permettait aux attaquants d’exécuter du code malveillant sur une machine compromise.

L’un des problèmes les plus récents a été identifié fin mars par des spécialistes de l’Institut d’informatique de la société Max Planck. Selon leur rapport, les appareils qui utilisent le mécanisme EUI-64 pour générer un identifiant d’interface (la deuxième partie d’une adresse IPv6) compromettent le réseau sur lequel ils se trouvent.

Comment ça se fait

Il existe un mécanisme SLAAC qui permet à un appareil d’obtenir des informations de préfixe d’un routeur sans l’aide du protocole de configuration des nœuds DHCPv6. Ces informations et l’identificateur d’interface 64 bits (IID) sont nécessaires pour obtenir une adresse réseau IPv6 unique.

Une façon de générer un IID unique est de le générer sur la base de l’adresse MAC de l’appareil (mécanisme EUI-64). Mais cette approche est aujourd’hui considérée non seulement comme peu fiable, mais même dangereuse, car elle révèle un identifiant matériel au niveau du réseau. Par conséquent, la communauté a développé des extensions spéciales à la pile IPv6, par exemple, qui sont décrites dans RFC4941 et qui « randomisent » la partie de l’adresse choisie par l’hôte. Dans le même temps, les fournisseurs de services Internet substituent les préfixes d’adresse pour une protection supplémentaire.

server details

Mais, malheureusement, un certain nombre de développeurs du matériel, généralement des appareils d’Internet des objets, utilisent toujours « EUI-64 pur » pour générer des IID. Il permet aux attaquants d’identifier le Fabricant du périphérique réseau (et, par conséquent, les vulnérabilités potentielles), ainsi que de surveiller d’autres périphériques sur le réseau qui utilisent un IID similaire.

Selon les ingénieurs de recherche, environ 19% de tous les préfixes des réseaux des principaux fournisseurs mondiaux d’accès à Internet sont affectés par cette vulnérabilité.

Quoi faire

En général, la solution au problème repose sur les épaules des développeurs de matériel et de logiciels : ils doivent faire attention à la sécurité des informations des appareils et activer les mécanismes de protection disponibles par défaut.

Selon les experts, il est possible de résoudre le problème au niveau gouvernemental si les régulateurs exigent que les fournisseurs certifient les produits pour se conformer aux normes permettant de fermer les vulnérabilités EUI-64. Dans le même temps, les FAI peuvent vérifier les routeurs avant de les transmettre à leurs clients.

Nous utilisons des cookies pour optimiser les fonctionnalités du site et vous offrir la meilleure expérience possible. Pour en savoir plus sur les cookies que nous utilisons, veuillez consulter notre Politique de cookies. En cliquant sur « Okay », vous acceptez notre utilisation des cookies. Learn more.