Saviez-vous qu’il y avait plusieurs versions de l’Internet Protocol, plus connu sous le nom d’IP ? Actuellement, nous utilisons deux d’entre elles, l’IPv4 et l’IPv6. Quelles sont leurs différences ? Pourquoi ne passons-nous pas tous à l’IPv6 ? Réponses dans cet article.
En 1981, l’IPv4 est définie dans la RFC 791. Désormais, chaque hôte a une ou plusieurs adresses IP en 32 bits, destinées à identifier l’appareil sur Internet. Chaque adresse est composée de 4 nombres, pouvant aller de 0 à 255 et séparés par des points. En théorie, plus de 4 milliards d’adresses IP étaient donc disponibles, ce qui semblait largement suffisant au moment de sa création. Dès 1994 cependant, on commence à prévoir l’épuisement du nombre d’adresses disponibles, à cause d’une politique d’attribution généreuse dans les années 80 mais aussi un nombre d’appareils connectés en permanence de plus en plus important. En plus d’envisager des techniques de contournement comme le NAT, on commence à travailler sur une nouvelle version du protocole.
En 1998, l’IPv6 est introduite pour la première fois. Elle utilise des adresses de 128 bits, composées de 8 groupes de 4 chiffres hexadécimaux, qui sont séparés par des deux-points. Depuis, nous sommes sur un système dit « double pile » ou « dual stack », où une adresse IPv4 et une adresse IPv6 sont attribuées à chaque appareil, ce qui ne résout pas la pénurie mais permet une adoption progressive de l’IPv6. En 2011, l’IANA (Internet Assigned Numbers Authority) a annoncé avoir commencé à distribuer les adresses disponibles dans son dernier bloc.
Les différences en matière de fonctionnalités
L’IPv6 n’a pas été créée que pour permettre d’avoir plus d’adresses à distribuer. Des fonctionnalités ont été ajoutées, afin de la rendre plus efficace que la version précédente. On peut citer l’ajout du NDP (Neighbor Discovery Protocol) qui permet, comme son nom l’indique, de découvrir les autres hôtes présents sur les réseaux locaux, mais aussi l’autoconfiguration des adresses. Que ce soit pour l’IPv4 ou l’IPv6, il est possible de soit utiliser une configuration manuelle, soit passer par un serveur DHCP pour une attribution d’adresses. Mais l’IPv6 peut également utiliser une autoconfiguration, dite sans état, qui lui permet de se baser soit sur une clé secrète et le préfixe réseau, soit sur l’adresse MAC (non-recommandé pour raisons de sécurité) de l’appareil, soit sur un tirage pseudo aléatoire pour générer des adresses. Elles peuvent être également générées cryptographiquement en liant la clé publique du client. Deux fonctionnalités importantes font partie des spécifications initiales de l’IPv6, là où elles ont dû être ajoutées à l’IPv4 : le multicast, qui permet d’envoyer un paquet à partir d’une ou plusieurs sources vers plusieurs destinations, et le QoS (Quality of Service).
La grande quantité d’adresses IPv6 disponibles permet aussi de se passer du NAT (Network Address Translation), utilisé pour l’IPv4 afin de mitiger l’épuisement des adresses disponibles. Il permet de faire correspondre plusieurs adresses d’un réseau privé à une seule adresse externe publique visible sur Internet. Son utilisation a été, pendant un temps, plébiscitée et considérée comme sécurisée car elle permettait de masquer les adresses IP internes. Cependant, le NAT venait avec certains désavantages : il empêche par exemple IPSec, dont l’utilité est détaillée plus bas, de fonctionner correctement, et rend le pair-à-pair plus compliqué. L’Internet Society considère même que le NAT a plus de désavantages que d’avantages en matière de sécurité et que le mythe de sa sécurité vient du fait qu’il sert également de pare-feu à états. Ne plus en dépendre est donc un certain avantage pour l’IPv6.
Les différences en matière de sécurité
Quand on parle d’IPv6, difficile de ne pas voir IPSec lui être associé. Même s’il a été adapté pour IPv4, IPSec reste intimement lié à la version 6 du protocole par le fait qu’il y est intégré. Cependant, des controverses existent sur le fait que son utilisation reste optionnelle et que son existence ne signifie donc pas que IPv6 est sécurisée par défaut. Mais par rapport à IPv4, cette possibilité est directement construite dans la version, ce qui reste un avantage certain.
IPSec a permis entre autres l’introduction du protocole IKE (Internet Key Exchange) ainsi que de deux en-têtes afin d’authentifier et chiffrer les communications entre deux endpoints. Le premier de ces en-têtes est l’Authentication Header, qui assure l’intégrité des données transférées, l’authentification de leur origine et protège contre le rejeu (replay). La deuxième, l’Encapsuling Security Payload, peut avoir les mêmes fonctions que l’Authentification Header, tout en ajoutant le chiffrement du payload. Les protocoles de l’IPSec sont également utilisés dans les VPN.
Cependant, l’IPv6 a connu une opposition dans les années 2010, à cause de sa génération d’adresses IP à partir des adresses MAC des appareils, qui permettait de les identifier. Il est depuis conseillé une autre des trois méthodes décrites plus haut à savoir le tirage pseudo aléatoire pour des adresses temporaires, la clé secrète et le préfixe réseau pour une adresse stable, ou alors passer par un serveur DHCPv6.
L’introduction du NDP a aussi amené son lot de vulnérabilités, qui a nécessité la création de SEND (SEcure Neighbor Discovery). Celui-ci utilise des clés pour créer des adresses générées cryptographiquement et s’assurer de la propriété des adresses. Son existence donne un avantage à l’IPv6 sur l’IPv4 au niveau de la protection contre les attaques de type ARP Poisoning. Cependant, il reste difficile à déployer.
En conclusion, l’IPv6 possède plus d’outils pour être sécurisée mais ne l’est pas forcément plus que l’IPv4 par défaut.
Les freins à l’adoption d'IPv6
À une époque, certains s’inquiétaient des performances de l’IPv6 par rapport à l’IPv4. Un test a été réalisé par Sucuri en 2016, montrant des performances quasi identiques. Ce n’est cependant pas le frein principal à une adoption massive de l’IPv6. Le plus gros problème est l’incompatibilité entre les deux versions. Un hôte n’ayant que des adresses IPv6 ne peut pas communiquer avec un autre ayant que des adresses IPv4. Sans possibilité de passer facilement de l’une à l’autre, le problème est résolu en partie grâce à la technique de la « double pile » utilisée aujourd’hui, afin d’éviter un Internet fragmenté.
Cependant, l’adoption d’IPv6 continue de grandir. En 2016, 10% des utilisateurs d’Internet étaient en IPv6. D’après les mesures de Google du 30 septembre 2021, environ 33% des utilisateurs accédaient au moteur de recherche à partir de l’IPv6. Finalement, la plus grande différence et force de cette version par rapport à l’IPv4 est le nombre d’adresses IP disponibles et, idéalement, nous finirons tous par l’adopter.
Protéger son IP, protéger sa vie privée
Vous l'aurez compris, vos appareils connectés, de l'ordinateur à votre thermostat en passant évidemment par votre smartphone, ont tous une adresse IP ; parfois en local, parfois sur Internet.
Connaitre l'IP d'un appareil, c'est pouvoir lui adresser des requêtes réseau, et donc tenter de le pirater, mais aussi savoir le géolocaliser.
Pour éviter cet écueil et cacher son adresse IP, il suffit de la router par un autre réseau et que celui-ci soit fermé, c'est ce qu'on appelle un réseau privé et c'est ce qu'offre un serveur VPN pour Virtual Private Network. Notre partenaire du jour, ExpressVPN propose ainsi un très grand nombre de serveurs pour vous géolocaliser où vous le souhaitez dans le monde et pratique une politique no-log pour ne jamais avoir à révéler les données sensibles qui pourraient transiter par ses serveurs.
Découvrez ExpressVPN, notre partenaire du jour, salué pour ses performance exceptionnelles dans notre comparatif des meilleurs VPN 2021 !
- Nombre impressionnant de serveurs
- Niveau de service de premier ordre !
- De nombreuses plateformes supportées
- Extensions pour navigateurs