Après le passage à l’an 2000, notre société de l’information se prépare à généraliser l’usage d’IPv6. Le 8 Juin 2011 a donné lieu à un banc d’essai mondial, dont l’Association G6 rend compte sur son Wiki. Le gouvernement et l’administration française se mobilisent en faveur de l’IPv6 et les grands acteurs de l’Internet (Orange, Domaine Info, Bestofmedia, Fortinet, Infoblox, etc.) se flattent de faire partie des pionniers. Mais quid de la sécurité en IPv6, de SIP et des "communications unifiées" ou UC&C, avec un SIPv6 encore non unifié ?
Essai d’IPv6 à l’échelle mondiale : "la Journée IPv6"
Les acteurs majeurs de l’Internet (dont Google, Yahoo !, etc.) ont convaincu près de 400 grandes entreprises et organisations à participer à un essai de 24 heures, le 8 Juin 2011, visant à tester la possibilité d’utiliser le protocole IPv6 de façon opérationnelle, en parallèle avec l’usage d’IPv4. Le but de l’exercice, selon l’Internet Society, consistait à persuader tous les acteurs de l’Internet (les grands comme les petits) à utiliser le nouveau protocole afin de stimuler la mutation et de mettre en évidence les éventuels problèmes que les adresses IPv6 pourraient soulever et de trouver des solutions à ces problèmes. www.worldipv6day.org/participants/index.html
Informations sur le World IPv6 Day (08/06/2011)
Une page "wiki publique" a été mise en place par l’Association G6 afin de regrouper les informations mondiales recueillies au cours de la journée du World IPv6 Day. http://g6.asso.fr/wiki/index.php/Public:WorldIPv6Day
La migration française vers IPv6
Éric BESSON, ministre chargé de l’Industrie, de l’Énergie et de l’Économie numérique, a annoncé une accélération du déploiement d’IPv6 en France, avec une mise en œuvre dans le cadre du futur réseau interministériel de l’Etat. Les exploitants et la communauté technique et industrielle de l’Internet en France (dont Orange, SFR, Free, Nérim, ISOC France, AFNIC, Sagem, etc.) seront invités à en débattre très prochainement. La "journée mondiale IPv6" du 8 Juin 2011 a permis de valider en grandeur réelle l’état de préparation du réseau Internet, tant au niveau des infrastructures réseaux que des principaux sites en ligne. L’Internet, qui compte plus de 2,1 milliards de personnes connectées, est aujourd’hui à un tournant de son histoire. Au plan européen, les 76 millions d’adresses encore disponibles devraient être épuisés dès 2012. Ces adresses Internet soutiennent principalement la croissance des services mobiles et des appareils connectés, ainsi que l’essor du e-commerce. La technologie IPv6 favorisera le développement d’applications Internet innovantes, qui nécessitent notamment l’accès à un "réseau d’objets" (domotique, capteurs intégrés à des vêtements ou appareils mobiles, gestion de l’éclairage public et des bâtiments intelligents…). Il est impératif, pour préserver la compétitivité des entreprises françaises, d’accélérer la migration vers IPv6. Les choix technologiques, qui garantissent la pérennité du fonctionnement de ce réseau sur de nombreuses années, sont un premier engagement fort de l’Etat dans la migration des réseaux des administrations en IPv6. www.economie.gouv.fr/
Orange prépare le passage au nouveau protocole internet
Face à la pénurie d’adresses IPv4, Orange a lancé dès 2008 un plan d’introduction d’IPv6, couvrant les équipements réseaux, les plateformes de service, le système d’information et les règles de gestion d’adresses. Orange a proposé, dès mai 2009, une offre de réseaux VPN en IPv6 à destination des entreprises. Sous le parrainage de l’Internet Society (ISOC), Orange a participé à la journée IPv6, qui est l’occasion d’apprécier en grandeur réelle l’état de maturité du déploiement d’IPv6 au sein de l’internet. Déjà opérationnelle pour le marché entreprise, l’utilisation d’IPv6 pour le marché résidentiel est préparée en trois phases (introduction : 2008-2009, migration des services : 2009-2012 et production : 2012 et au-delà) en fonction des estimations de pénurie réalisées par les différentes entités du Groupe. IPv6 se caractérise non seulement par un espace d’adressage quasi illimité, mais également par des capacités de configuration automatisée (plug&play) qui rendent l’accès à Internet plus simple et plus performant. En outre, IPv6, qui présente des avantages en matière de sécurité, peut également être considéré comme un catalyseur de nouveaux services, telles que les communications machine-à-machine, qui permettront par exemple de contrôler à distance un système d’éclairage domestique, de détecter rapidement un mouvement ou la présence de fumée chez soi, etc.
www.ipv6.orange-business.com.
Le point de vue de Domaine Info
Les 24 heures de l’"IPv6 Day" vont permettre de tester la connectivité des systèmes sous le nouveau protocole et constituer une simulation de ce qui se passera d’ici 2 à 5 ans pour l’ensemble des internautes. Mais il n’y aura pas de basculement brutal, car la transition IPv4/IPv6 sera douce, voire imperceptible pour l’utilisateur grand public. Cette journée peut être considérée comme un jeu géant et elle va permettre à tous ceux qui le souhaitent de s’amuser en testant l’IPv6. Tous les grands exploitants proposent déjà des adresses en IPv6 et les systèmes d’exploitation actuellement sur le marché sont compatibles. Il suffira donc aux particuliers de demander à leur prestataire une adresse sous le nouveau protocole (ou plus exactement un préfixe de taille minimale /64 mais ceci ne permet pas de configurer plusieurs sous-réseaux, donc peut-être un /48 ou quelque chose entre les deux pour ne pas gaspiller). Les professionnels gérant eux-mêmes leur site ou leur réseau local devront effectuer la même démarche et intégrer aussi IPv6 à l’ensemble de leurs équipements (routeurs, serveurs, pare feux, etc.). www.domaine.info
Bestofmedia et IPv6
Tom’s Hardware, site du groupe Bestofmedia, l’un des groupes média de l’Internet, a annoncé son passage à l’IPv6 à l’occasion de la journée mondiale de la sixième version du Protocole Internet du mercredi 8 Juin 2011. Le World IPv6 Day consiste, pour les acteurs majeurs de l’industrie en ligne, à activer l’IPv6 sur leurs sites, en plus de l’IPv4 actuelle, afin de déterminer les problèmes qui subsistent pour l’adoption de ce protocole. Tom’s Hardware témoigne ainsi de sa démarche innovante, puisqu’il est l’un des rares français à s’adapter à ces nouvelles normes, se plaçant même dans les vingt premiers de la liste des participants.
www.bestofmedia.com/
Fortinet et IPv6
A l’occasion de la Journée Mondiale IPv6, Fortinet, founisseur de systèmes de sécurité réseau et de systèmes unifiés de sécurité UTM (unified threat management), rappelle aux utilisateurs professionnels l’intérêt de ses Services de Sécurité "FortiGuard" sur IPv6, qui utilisent les services antivirus, de prévention d’intrusions (IPS), de filtrage du contenu Web et d’anti-spam, et de tests de connectivité sur l’IPv6. Puisque l’IPv6 va permettre de rester ‘connecté’, on peut se demander quelles seront les implications d’un point de vue de la sécurité. Le scannage de tout l’espace d’adresses en IPv6 est impossible. Il sera très improbable d’identifier une adresse attribuée en générant des adresses IPv6 de façon aléatoire. Les menaces sur le réseau auront beaucoup plus de difficultés à se propager puisque leur propagation est basée sur la génération aléatoire d’adresses IP. Avec l’IPv6, la probabilité de générer au hasard des adresses déjà attribuées, est pratiquement nulle. Mais les menaces, qui correspondent à la majorité des logiciels malveillants aujourd’hui, fonctionneront de la même manière et auront la même capacité à compromettre les systèmes, voler les données, détourner les appareils en ‘bots’, etc. Il sera plus facile de détecter l’origine d’une attaque, parce que l’IPv6 impose le support d’IPSec qui permet d’authentifier l’origine d’un paquet IP. Bien que cela n’empêchera pas les attaquants de se ‘cacher’ derrière des proxies, cela devrait empêcher la falsification de l’adresse d’origine dans des protocoles "non connectés” (type UDP). Il est donc essentiel de s’équiper d’une première ligne de défense efficace en déployant des solutions de sécurité multi-menaces. Cette mesure, combinée avec une meilleure éducation des utilisateurs, reste la meilleure protection contre la tromperie et l’innovation malsaine des cybercriminels. www.fortinet.com
Infoblox et IPv6
Selon Infoblox, l’adoption massive de l’IPv6 est freinée par la peur de la nouveauté et par le manque de connaissances techniques. Infoblox a effectué une enquête auprès de 2 400 entreprises spécialisées dans le transfert d’information au sujet de leurs préoccupations sur l’IPv6, les projets d’adoption et de l’état actuel de ce déploiement. Les résultats de l’enquête en ligne renforcent le fait que les entreprises sont confrontées à des problèmes majeurs de formation, de planification et de mise en œuvre de défis qui indiquent que la plupart sont mal préparées pour une migration réussie vers le réseau IPv6. Les données suivantes révèlent des préoccupations et des défis.
• 80 % estiment qu’ils ne sont pas suffisamment instruits pour la migration IPv6 ;
• 41 % suivent les adresses IP manuellement avec des feuilles de calcul, ce qui peut être source d’erreurs, de perte de temps et d’argent et non viables dans les environnements IPv6 ;
• 70 % sont préoccupés par la réussite lors du déploiement IPv6 ; • Le manque de connaissance et le risque de l’inconnu sont les grandes craintes sur IPv6 ;
• 41 % évaluent leur préparation derrière celle des concurrents ;
• Seulement 24 % ont consacré des ressources pour gérer la migration d’IPv4 vers IPv6 ;
• 23 % s’attendent à faire face à des sites Web externes pour IPv6 au cours des 12 prochains mois.
Infoblox propose des solutions pour réussir la transition IPv6, ainsi que des produits "IPv6 –ready" préparés par ses propres services. www.infoblox.com/en/products.html
Le Forum des Communications Unifiées et IPv6
Si, par les essais effectués à l’occasion du IPv6 Day, la compatibilité des équipements de réseau entre IPv4 et IPv6 est démontrée, peut-on être certain que les applications vocales et vidéo seront interopérables sur ces deux protocoles ? Cette question cible particulièrement la façon dont les technologies de communications et de collaborations unifiées (UC&C) utiliseront le protocole SIP (Session Initiation Protocol), le concurrent de ce dernier (H.323) ayant été pratiquement éliminé. Aussi, le Forum UCI (Unified Communication Interoperability Forum) se propose de définir un programme de certification UC&C adaptable aux solutions proposées en SIPv6 (SIP over IPv6). De cette façon, un équipement pourrait recevoir sa certification après plusieurs essais en ligne, en connexion sur une informatique en nuage, après définition par l’industrie des diverses configurations témoins d’interopérabilité en IPv6 et corrections éventuelles des logiciels concernés. Tous les produits relatifs aux UC pourraient ainsi être testés à distance de façon très simple et très efficace.
Pour l’IETF, le travail des définitions de "SIP over IPv6" est largement achevé depuis la publication de son IPv6 ABNF (IPv6 Augmented Backus-Naur Form) et des documents de mises à jours relatifs à IPv6. Mais il demeure des points à éclaircir entre l’architecture "Real-Time Communication in WEB-browsers" (RTCWEB) et "Internet Connectivity Establishment" (ICE—RFC 5245), la mise en œuvre de SIP pouvant solliciter "Alternative Network Address Types" (ANAT). De point de vue de l’IETF, ICE est la norme IPv4/IPv6 RFC, mais dans la pratique, les industriels en UC&C utilisent ANAT, qui est en rapport avec le mécanisme de sélection des RFC 4901/4902 IPv4/IPv6. SIPv6 possède toute une gamme de mises en œuvre dont le choix est laissé à la discrétion des commerciaux des industriels, sans que les utilisateurs soient informés des contraintes possibles. Trop d’options reviendraient très cher et difficile à gérer. L’emploi des profils du SIPv6 défini par le Ministère américain de la Défense pourrait constituer un début de réponse industrielle afin de simplifier les opérations d’interfonctionnement. www.microsoft.com
www.radvision.com www.packetizer.com/rfc/rfc4091/
A propos de la sécurité du protocole IPv6
L’adresse IPv6, composée de deux parties de 64 bits, paraît vulnérable. La première partie de cette adresse constitue le préfixe du réseau, tandis que la seconde est l’adresse de la machine hôte. Par défaut, cette dernière est déterminée en fonction de l’adresse MAC de l’équipement, unique au monde. Or, cette caractéristique est considérée comme un point faible d’IPv6, puisque même lorsque celle-ci renouvelle son adresse IP sur le réseau, la partie basée sur l’adresse MAC ne change pas, ce qui facilite le pistage de la machine sur le réseau par un pirate en veille silencieuse. C’est pour palier à ce problème que l’Université de Virginia Tech a développé "Moving Target IPv6 Defense" (MT6D), un outil permettant de renforcer la sécurité du protocole IPv6. L’outil proposé porte sur un masquage dynamique d’adresse, appelé "Moving Target IPv6 Defense" (MT6D). Il permet à deux machines ayant une session de communication ouverte d’apparaître en cible mouvante pour un éventuel attaquant tentant de l’intercepter. MT6D modifie de manière dynamique les adresses IPv6 des ordinateurs en réseau et intègre un algorithme qui leur permet de reconnaître leurs nouvelles adresses respectives. Bien des mécanismes pour dissimuler l’adresse IPv6 existent déjà (comme sur Windows 7). MT6D propose de changer d’adresse IP sans clore les sessions de communication. A noter que le changement de la partie basse à la volée proposé par Virginia Tech ressemble beaucoup à ce que fait Mobile IPv6 / NEMO, avec la gestion de la mobilité en plus. D’autre part, la configuration de l’adresse IPv6 à partir de l’adresse MAC n’est qu’une des solutions possibles, que l’on recommande à l’intérieur d’un réseau d’entreprise par exemple où l’administrateur souhaite filtrer les communications. Mais ce n’est pas strictement imposé ! http://security.vt.edu/
Salon INTERNET WORLD , Du 24 au 26 Avril 2012 à Londres, INTERNET WORLD : l’évènement ... [suite] Séminaire IPv6, Le 11 Avril 2012, à Telecom ParisTech., Le G6 organise un séminaire ... [suite]
