La transition vers IPv6 fait le lit des exfiltrations de données

Jacques Cheminat,

La migration vers IPv6 permet à certains cybercriminels de créer des canaux d’exfiltration de données difficiles à détecter, explique l’OTAN.

La bascule de IPv4 à IPv6 est un travail de longue haleine. Confrontés à l’explosion des usages et des utilisateurs et à l’extinction des adresses IPv4, les régulateurs pressent les opérateurs et les spécialistes du réseau de migrer vers le protocole IPv6. Cette migration se fait doucement, car elle nécessite, outre une volonté des acteurs, de rénover l’architecture réseau. Opérateurs et équipementiers réseaux ont trouvé des astuces pour traduire les adresses IPv4 en adresse IPv6 et s’appuyer sur les réseaux IPv4 afin de faire transiter des adresses IPv6. Mais le CCDCoE ( Cooperative Cyber Defence Centre of Excellence) de l’OTAN considère cette approche de migration comme un risque en matière de cybersécurité.

Le centre de recherche indique dans une étude que le mécanisme de transition IPv6 en mode tunnel (capable de gérer l’IPv6 sur des réseaux IPv4) pourrait favoriser la mise en place de canaux de communication malveillants, soit sur le protocole IPv4 seul ou sur sur le double flux IPv4 et IPv6. Cette technique est indétectable par les systèmes de détection d’intrusion réseau (NIDS), comme Snort, Suricata, Bro, ET, Moloch… Afin de démontrer la dangerosité de ce qu’il dénonce, le CCDoE a élaboré deux outils basés sur les mécanismes de migration vers IPv6 pour créer des canaux invisibles chargés d’exfiltrer des données. « L’utilisation accrue d’IPv6 dans les attaques ouvre la voie à une persistance à long terme, une exfiltration d’informations sensibles ou un contrôle à distance du système », peut-on lire dans l’étude.

De nouvelles menaces indétectables

Dans le même temps, le rapport montre que les outils de sécurité existants pour analyser et surveiller comportent « des vulnérabilités significatives et des handicaps sérieux ». Ils pêchent notamment dans la détection des menaces les plus récentes. « Toute méthode raisonnablement sophistiquée pour exfiltrer des données sera difficile à détecter en temps réel par les NIDS actuels, en particulier dans les cas où les données sont fractionnées et où les morceaux ainsi créés utilisent des connexions ou des protocoles différents (par exemple IPv4 et IPv6) », indiquent les chercheurs.

Un challenge pour les éditeurs de solutions de sécurité et les administrateurs. Les chercheurs de l’OTAN estiment que les premiers doivent modifier la façon dont ils analysent et interprètent les flux réseaux pour détecter les nouvelles menaces. Les administrateurs, eux, doivent avoir les moyens de configurer, déployer et surveiller correctement les solutions de sécurité pour être conscients des flux sur le réseau.

A lire aussi :

Internet : il n’y a plus d’adresses IPv4 disponibles

IPv6 n’est plus à la traîne d’IPv4, en vitesse au moins

crédit photo © Profit_Image – Shutterstock