IPv6 est déjà présent, actif et avec ses vulnérabilités

Laurent Lajugie Etude - Recherche

 IPv6 est le protocole qui a été pensé pour pallier le manque d’adresses utilisables avec IPv4.

Tout le monde sait qu’un jour il faudra passer à cette nouvelle version, mais quels sont vraiment les risques d’un basculement massif vers IPv6? Ne vaudrait-il pas mieux attendre tant que tout fonctionne avec IPv4 ?

Peu de personnes savent que leurs ordinateurs, et d’une manière générale presque tous leurs périphériques, supportent IPv6 et sont actifs sur ce protocole depuis un bon nombre d’années. Ce qui ouvre un nouveau canal de communication avec ses failles de sécurité!

Depuis les versions de Windows Serveur 2008 et Windows Vista, tous les pc sont compatibles avec IPv6 et ce protocole est activé par défaut. Cela fait donc plus de 10 ans que les pc échangent sur le réseau avec ce protocole sans que l’utilisateur lambda ne le sache.

Une manière assez simple de le vérifier consiste à regarder la configuration de sa carte réseau.

Sous Windows, il suffit d’exécuter ipconfig dans l’invite de commande cmd.exe pour constater que la carte réseau possède bien une adresse IPv6.
Dans certains cas, elle en possède même plusieurs : les adresses de type locale, non transmises par les routeurs, qui commencent toujours par fe80 et celles globales qui débutent par une valeur comprise entre 2000 et 3fff (en héxadécimale).
Ci-dessous nous remarquons que le préfixe est 2a01.

Il en est de même pour les systèmes MacOs ou les systèmes sous Unix, comme le montre cette configuration sous Ubuntu obtenue avec la commande ifconfig :

C:\Users\la199\Desktop\IPv6\ifconfig.png

Dans la majorité des cas, seule une adresse de type liaison locale sera présente. Cela est dû au fait que peu de fournisseurs d’accès à internet (FAI) offrent des connectivités en IPv6 pour le moment.

Cette absence de connectivité globale est en grande partie à l’origine du peu d’intérêt porté à ce protocole, notamment en matière de sécurité.

En effet, comme énoncé en introduction, la majorité des utilisateurs, y compris les professionnels de l’informatique, savent que ce protocole sera un jour actif mais ne réalisent pas que c’est d’ores et déjà le cas en interne! Cette réflexion provient du fait que tout fonctionne encore avec IPv4, donc peu de personnes se penchent sur la version 6.

Pour les quelques personnes sceptiques quant à la sécurité de ce nouveau protocole, elles se contentent de tenter d’accéder à un site internet via l’adresse IPv6 de celui-ci. Le site répondant par un message d’erreur « aucune connectivité avec ce protocole », l’utilisateur soucieux est rassuré et conclut qu’il n’est pas vulnérable.

Ce qui est vrai pour seulement 40% des attaques…

Comme le montre ce graphique résultant d’une étude menée par IBM sur l’ensemble de l’année 2015, environ 60% des cyber-attaques viennent de l’intérieur.

Il se trouve justement que tous les ordinateurs possèdent une adresse IPv6 de type locale (fe80::) dans leur configuration par défaut et sont actifs sur ce protocole. Ils sont donc exposés à l’ensemble des vulnérabilités de ce protocole …

Sans le savoir et en pensant être à l’abri, les entreprises se trouvent actuellement vulnérables face à un utilisateur malveillant interne qui souhaiterait exploiter ce protocole.

Pour un attaquant, IPv6 peut être considéré comme un moyen de communication parallèle à IPv4, à la différence que ce nouveau protocole ne bénéficie pas du retour d’expérience et de l’ensemble des mesures de sécurité qui accompagnent aujourd’hui IPv4.

Un exemple concret qui illustre ce principe est l’accessibilité d’un service par un utilisateur non habilité. En essayant via IPv4, cet utilisateur se verra bloquer l’accès par un mécanisme de filtrage équivalent à un pare-feu. Si ce même pare-feu n’a pas été configuré pour IPv6, alors plus rien n’empêche cet utilisateur d’accéder au serveur en question :

D’autres vulnérabilités liées au nouveau protocole IP sont déjà connues et une boite à outils du nom de THC-IPv6 permet de tester une majorité des faiblesses des protocoles IPv6 et ICMPv6. Cette dernière est disponible à l’adresse suivante : https://github.com/vanhauser-thc/thc-ipv6. Elle regroupe un ensemble de scripts qui peuvent avoir un énorme impact sur un réseau interne s’ils sont utilisés à des fins malveillantes.

Ces différents outils permettent entre autres de scanner le réseau interne, de faire du déni de service ciblé, d’effectuer des attaques de type homme du milieu (MITM) et même tout simplement de faire tomber l’intégralité d’un parc informatique. En effet il existe une faille du nom de « DOS IPv6 Neighbor Discovery » qui fait « freezer » tous les ordinateurs d’un parc informatique, et ce, quelque soit leur système d’exploitation. Même certains smartphones y sont vulnérables !

Oui avec un seul type de paquet en IPv6, il est possible de faire tomber l’intégralité d’un parc informatique!

Nous reviendrons plus en détails dans les prochains articles sur les différentes vulnérabilités liées à ce protocole.

Aujourd’hui rares sont les cas où une entreprise a un réel besoin d’utilisation d’IPv6. Pour cette raison, il est fortement recommandé de désactiver ce protocole sur l’ensemble des ordinateurs du parc, mais aussi sur les routeurs et sur les switchs.
En cas de réel besoin, il est fortement recommandé d’utiliser pour le moment des routes statiques et de désactiver tous les paramètres de découverte réseau.

Du fait de l’impact non négligeable en cas d’attaque et du déploiement inévitable d’IPv6, Devoteam intègre dans l’ensemble de son offre sécurité, notamment dans l’audit, la prise en compte des risques liés à IPv6 pour accompagner au mieux ses clients. En plus, le pôle Recherche & Développement travaille activement sur les différents sujets de recherche concernant l’intégration d’IPv6 et un stage a été prévu dans le but d’accompagner les consultants durant leurs audits sur ce nouveau protocole.