Un incident de sécurité ? Faites-vous assister : 01 47 28 38 39

Évènements

Le 6 juin prochain aura lieu le World IPv6 Launch. Cette journée fera suite au World IPv6 Day de 2011. En 2011, des centaines d’entreprises (Google, Facebook, Yahoo!, Akamai, etc.) ont activé IPv6 pendant 24 heures à l’occasion d’un test grandeur nature. L’évènement s’étant bien déroulé, l’édition 2012 vise à activer IPv6 de manière permanente.

Articles publiés

Fernando Gont a publié un article intitulé « First-hop security in IPv6 » comparant les mécanismes de sécurité d’un réseau local en IPv4 et IPv6. Pour résumer, en IPv4, il existe des outils performants pour bloquer les attaques de type « ARP spoofing » ou mettant en œuvre le protocole DHCP. Arpwatch ou des mécanismes de « DHCP snooping » en sont des exemples. L’usurpation d’adresse peut aussi être facilement détectée puisque chaque hôte possède une seule et unique adresse. En IPv6, le protocole Neighbor Discovery, équivalent de l’ARP, est basé sur IP et il est donc possible d’évader les mécanismes de sécurité (fragmentation, Extension Headers, etc.). Il en est de même pour les messages Router Advertisement, équivalent du DHCP. Quant à l’usurpation d’adresse, un hôte IPv6 peut en posséder plusieurs et changer d’adresse régulièrement, c’est, entre autres, le comportement par défaut de Windows 7. L’auteur conclut en disant qu’il y a encore du travail à réaliser pour améliorer la sécurité d’IPv6 dans les réseaux locaux.

Suite à l’annonce du World IPv6 Launch, Patrick Lambert a écrit un article où il s’interroge sur l’impact qu’aura le World IPv6 Launch sur la sécurité des systèmes d’information. Intitulé « World IPv6 launch day set: Security pitfalls to look out for », l’article fait le tour des problèmes de sécurité que pourrait apporter l’IPv6.  Premièrement, mettre en place IPv6 peut-être complexe, car il faut gérer deux protocoles (IPv4 et IPv6) et il existe de nombreux mécanismes de transition différents (4to6, 6to4, ISATAP, Teredo, etc.). Cette complexité peut être à l’origine d’erreurs et donc de problèmes de sécurité. Ensuite, l’absence de NAT rend tous les hôtes potentiellement accessibles depuis Internet. Troisième point, les piles IPv6 ne sont pas aussi matures que les piles IPv4 et certaines peuvent être affectées par des vulnérabilités encore inconnues. Enfin, il est assez facile de se faire passer pour un routeur IPv6 et ainsi impacter une grande partie d’un réseau.

Arbor Networks a publié son rapport annuel « Worldwide Infrastructure Security Report ». Le rapport se base sur les données du réseau ATLAS pour  dégager des tendances concernant la sécurité sur Internet. Il y a un chapitre intitulé « IPv6 Observations » qui comprend plusieurs graphiques, dont un indiquant les problèmes de sécurité liés à IPv6 rencontrés par les entreprises (figure 64, page 42). En voici le résumé :

  • 65 % des interrogés trouvent qu’il y a un manque de fonctionnalités équivalentes entre IPv4 et IPv6
  • 60 % font face à un manque de visibilité sur le trafic IPv6
  • 59 % font face à des problèmes de configuration
  • 52 % sont inquiets vis-à-vis des attaques par DDoS
  • 47 % sont inquiets vis-à-vis des vulnérabilités dans les piles IPv6

Outils

Tenable Network Security a mis en ligne une vidéo d’un exemple d’utilisation tout simple de Nessus avec IPv6. Note: Nessus, s’il est installé sur Windows, ne peut pas scanner d’hôtes IPv6.

Vulnérabilités

Firefox a corrigé une vulnérabilité, CVE-2011-3670, liée à l’interprétation des adresses Web entre crochets (une adresse IPv6 doit être spécifiée entre crochets : http://[::1]). Cette vulnérabilité est corrigée par la version 3.6.26, la version 10.0 n’est pas affectée. Thunderbird et SeaMonkey sont aussi affectés.