Les tunnels automatiques sont une solution de transition appréciée pour leur facilité de mise en oeuvre. Microsoft notamment s’en est fait le promoteur en intégrant ISATAP dans Windows XP et aujourd’hui Teredo sur Vista.
Mais le problème avec ces tunnels automatiques c’est qu’ils sont … automatiques ! De nombreux administrateurs se sont déjà trouvés devant le cas de préfixes IPv6 diffusés sur leur réseaux par des Windows XP en mode serveur qu’ils ne maîtrisaient pas. Maintenant, Teredo peut permettre aux utilisateurs de Vista de connecter un client (sans même qu’il s’en rende compte) au monde IPv6 à travers un tunnel, contournant ainsi toutes les règles de filtrage et d’usage prévues sur le site (sûrement pour pouvoir avoir accès à l’IPv6 Experiment 😉
Ce mardi, un bulletin de sécurité a été diffusé sur une vulnérabilité de Vista permettant à un attaquant d’ouvrir un tunnel Teredo depuis un poste, lui permettant ainsi d’en gagner potentiellement le contrôle. Il suffit juste que l’utilisateur du poste clique malencontreusement sur un lien spécialement conçu avec une adresse IPv6 …
La facilité de mise en oeuvre des solutions de tunnels automatiques ne peut pas cacher les problèmes de sécurité et de gestion qu’elles entraînent. Les administrateurs des réseaux voyant ces tunnels se multiplier auront sûrement le sentiment de se voir parasiter par IPv6. Mais si la vraie solution était justement d’offrir à leurs clients un service IPv6 totalement maîtrisé, rendant ainsi l’utilisation de tunnels « sauvages » inutile ?