{"id":7536,"date":"2022-05-16T16:10:00","date_gmt":"2022-05-16T13:10:00","guid":{"rendered":"https:\/\/vasexperts.com\/?p=7536"},"modified":"2025-08-11T14:13:52","modified_gmt":"2025-08-11T11:13:52","slug":"how-ipv6-can-compromise-networks","status":"publish","type":"post","link":"https:\/\/vasexperts.com\/fr\/blog\/ipv6\/how-ipv6-can-compromise-networks\/","title":{"rendered":"\u201cD’o\u00f9 on n’a pas attendu\u201d: comment IPv6 peut compromettre les r\u00e9seaux"},"content":{"rendered":"

Fosses sur le chemin<\/h2>\r\nComme vous le savez, la mise en \u0153uvre d\u2019IPv6 est assez lente \u2014 environ 21 % des sites<\/a> prennent en charge son utilisation. Les experts s\u2019attendent \u00e0 ce que la migration de masse vers le protocole de nouvelle g\u00e9n\u00e9ration se produise au plus t\u00f4t dans dix ans. Pour plusieurs raisons \u2014 il y a des difficult\u00e9s techniques et financi\u00e8res, ainsi que la pr\u00e9sence de NAT, qui \u00ab att\u00e9nue \u00bb le manque d\u2019adresses IPv4.\r\n\r\n [important] Cependant, le processus est entrav\u00e9 par des aspects li\u00e9s \u00e0 la s\u00e9curit\u00e9 de l\u2019information. [\/important] \r\n\r\nLe lancement officiel d\u2019IPv6 a eu lieu il y a pr\u00e8s de dix ans, mais les ing\u00e9nieurs trouvent toujours des vuln\u00e9rabilit\u00e9s de la pile technique. Ainsi, en 2020, un bug li\u00e9 \u00e0 ICMPv6 a \u00e9t\u00e9 d\u00e9couvert, qui utilise le m\u00e9canisme d\u2019annonce de routeur (CVE-2020-16898<\/a>). Cette vuln\u00e9rabilit\u00e9 permettait aux attaquants d\u2019ex\u00e9cuter du code malveillant sur une machine compromise.\r\n\r\nL\u2019un des probl\u00e8mes les plus r\u00e9cents<\/a> a \u00e9t\u00e9 identifi\u00e9 fin mars par des sp\u00e9cialistes de l\u2019Institut d\u2019informatique de la soci\u00e9t\u00e9 Max Planck. Selon leur rapport, les appareils qui utilisent le m\u00e9canisme EUI-64 pour g\u00e9n\u00e9rer un identifiant d\u2019interface (la deuxi\u00e8me partie d\u2019une adresse IPv6) compromettent le r\u00e9seau sur lequel ils se trouvent.\r\n

Comment \u00e7a se fait<\/h2>\r\nIl existe un m\u00e9canisme SLAAC qui permet \u00e0 un appareil d\u2019obtenir des informations de pr\u00e9fixe d\u2019un routeur sans l\u2019aide du protocole de configuration des n\u0153uds DHCPv6<\/a>. Ces informations et l\u2019identificateur d\u2019interface 64 bits (IID) sont n\u00e9cessaires pour obtenir une adresse r\u00e9seau IPv6 unique.\r\n\r\nUne fa\u00e7on de g\u00e9n\u00e9rer un IID unique est de le g\u00e9n\u00e9rer sur la base de l\u2019adresse MAC de l\u2019appareil (m\u00e9canisme EUI-64<\/a>). Mais cette approche est aujourd\u2019hui consid\u00e9r\u00e9e non seulement comme peu fiable, mais m\u00eame dangereuse, car elle r\u00e9v\u00e8le<\/a> un identifiant mat\u00e9riel au niveau du r\u00e9seau. Par cons\u00e9quent, la communaut\u00e9 a d\u00e9velopp\u00e9 des extensions sp\u00e9ciales \u00e0 la pile IPv6, par exemple, qui sont d\u00e9crites dans RFC4941<\/a> et qui \u00ab randomisent \u00bb la partie de l\u2019adresse choisie par l\u2019h\u00f4te. Dans le m\u00eame temps, les fournisseurs de services Internet substituent les pr\u00e9fixes d\u2019adresse pour une protection suppl\u00e9mentaire.\r\n\r\n