Le protocole IPv6 à l’épreuve des hackers pendant 24 heures

Près de 400 entreprises participent ce mercredi 8 juin à un test grandeur nature du nouveau protocole IPv6. Une journée à la fois symbolique et risquée, puisque la complexité de l’IPv6 l’expose à des attaques DDoS.

Durant 24 heures ce mercredi 8 juin, l’IPv6 est à l’honneur avec un test lancé à l’échelle planétaire. Plus de 400 sociétés dont Google,Facebook, Microsoft et Yahoo, ainsi que des fournisseurs d’accès Internet (FAI), se prêtent au jeu, rappelle ITespresso.fr. Leurs contenus sont ainsi accessibles durant 24 heures via des adresses IPv6. Le double adressage est toutefois de mise et les sites gardent une adresse IPv4. C’est l’Internet Society qui a promu et qui organise l’opération.

Les adresses IPv4 sont codées sur 32 bits et, de ce fait, ce sont près de 4,3 milliards d’adresses qui sont disponibles (2 à la puissance 32). Ou plutôt « étaient disponibles » puisque la source s’est tarie. A l’échelle mondiale, moins de 10% des adresses IPv4 est allouable. Et certaines zones géographiques ont déjà épuisé leur quota d’adresses IPv4 auprès de leur RIR (Registre Internet Régional).

L’APNIC, le RIR dédié à la zone Asie et Pacifique, a ainsi distribué le tout dernier bloc d’adresses IPv4 en février dernier. L’IPv6 remettra les pendules à l’heure avec 2 à la puissance 128 combinaisons possibles, soit une quasi infinité d’adresses IP… Des statistiques de Google montrent par ailleurs que le trafic Internet mondial via l’IPV6 représente à peine plus de 0,2% du trafic IP total. Les fournisseurs de contenus et d’accès Internet sont donc encore très frileux.

Cette journée de test a donc pour vocation de s’assurer que le passage peut être effectué de façon transparente pour les utilisateurs, mais devrait aussi servir à dissiper les craintes que peuvent avoir les éditeurs de contenus et les FAI. Mais cette transition est aussi une occasion rêvée pour les hackers de lancer de nombreuses attaques de type DDoS (Distributed Denial of Service – déni de service distribué). Ron Meyran, directeur marketing produit et de la sécurité au sein de la société Radware explique que « durant les 5 derniers mois, il y a eu une recrudescence des attaques de type DDoS ».

Et c’est la structure même des paquets IPv6 qui pourrait être exploitée à des fins malveillantes. Car les en-têtes des paquets IPv6 sont quatre fois plus importants que ceux des paquets IPv4. Les routeurs ainsi que les pare-feux doivent donc traiter plus de données, et par voie de conséquence, il est d’autant plus facile de les surcharger lors d’une attaque de type DDoS. L’autre risque vient du fait que les administrateurs de réseaux n’ont pas encore beaucoup d’expérience avec l’IPv6 et ne sont pas aguerris à l’écriture de règles pour les pare-feux nécessaires au nouveau protocole. C’est d’autant plus vrai que le protocole IPv6 est plus complexe que celui de l’IPv4.

Rien ne prouve toutefois que de telles attaques soient menées. Mais cette journée est un symbole et il ne faudrait pas qu’il se transforme en Bérézina. Car si l’IPv6 ne décollait pas, la saturation des adresses IPv4 aurait pour conséquence une complexification de l’infrastructure Internet, puisqu’il faudrait des couches additionnelles pour la traduction des adresses (NAT pour Network Address Translation). Dans ce scénario catastrophe, par effet domino, la complexité des infrastructures Internet engendrerait une augmentation des coûts des réseaux, un ralentissement de leur développement et, à termes, une diminution des innovations et de l’économie mondiale.