Plusieurs articles (d’abord ici en anglais, puis repris là et là en français) reprennent une étude récente qui dévoilerait un problème de sécurité important dans les services de VPN utilisant PPTP. Les services de VPN globaux (et payants) sont aujourd’hui assez populaires pour pouvoir naviguer (ou aspirer) de manière anonyme sur l’Internet. L’étude révèle justement que cet anonymat serait brisé dès que l’on accède à un service en IPv6, l’adresse IPv6 de l’usager étant alors révélée ainsi que potentiellement son identité. Voilà de quoi remuer la communauté des surfeurs (ou aspirateurs) anonymes et jeter un certain discrédit sur IPv6 …
Petite explication de texte : tout d’abord les services VPN n’offrent que rarement (sinon pas du tout) de connectivité IPv6. Pour peu que son opérateur fournisse lui de l’IPv6, l’utilisateur se retrouve alors en double pile avec l’IPv4 du VPN et l’IPv6 de l’opérateur. Le trafic IPv4 passera donc par le VPN, comme l’impose le bon fonctionnement d’un VPN. Mais dans le cas de PPTP et c’est là le bug, le trafic IPv6, au lieu de passer par le VPN si celui-ci en fourni (sinon IPv6 est bloqué), utilise la connexion de l’opérateur. Résultat : l’utilisateur se croyant anonyme est trahi … par son VPN PPTP et non par IPv6 !
Il est vrai qu’une adresse IPv6 révèle pas mal d’information sur la machine qui la possède pour qui veut bien chercher : les 64 premiers bits du préfixe révèle la localisation sur le réseau (et même dans certains cas comme 6rd, l’adresse IPv4 de l’abonné…). Quand aux 64 derniers bits qui identifient l’interface, ils sont construits la plupart du temps à partir de l’adresse MAC de l’interface réseau qui ne contient pas moins que l’identifiant du constructeur de la carte, voire de la machine. Mais les solutions existent pour rendre une adresse IPv6 moins bavarde, du moins pour l’identifiant d’interface (cf. RFC4941).
Merci aux experts du G6 pour avoir fourni les éléments techniques de cet article.
Le lien vers la RFC n’est pas bon. Il manque http:// devant.
C’est corrigé, merci!
Il peut être intéressant de préciser qu’un préfixe IPv6 (64 bits de poids fort en général) en soit ne révèle pas plus d’information sur un utilisateur qu’une IPv4 (si le préfixe est attribué par l’opérateur ou basé suc des mecanismes comme 6to4)—ce n’est même pas forcément le cas si il s’agit d’adresses de lien local ou localement uniques (ULA). Certes c’est peut-être la raison pour laquelle certains utilisent des VPN, c.-à-d. cacher leur IPv4, mais dans ce cas, il est peut-être plus judicieux pour eux de changer de protocole ou de provider afin de _vraiment_ couvrir les traces qu’ils ne veulent pas laisser.
Les 64 bits de poids faible, quant à eux, sont en général dérivés à partir de l’adresse MAC de l’interface réseau (a.k.a. EUI64, idetifiables par la présence d’un “FFFE” et une similarité poignante avec l’adresse MAC de l’interface pour ces bits). Cependant, d’autres algorithmes pour ce faire existent aussi.
Je me souviens par exemple que Windows XP, quand IPv6 est activé (ce qui doit être fait manuellement) génère deux adresses : une EUI64, et une autre, vraisemblabement aléatoire. Je viens aussi de vérifier sur un Windows Seven fraîchement installé (pas par moi, cependant), et ai constaté qu’il n’utilisait même pas d’adresses EUI64, mais juste des adresses aléatoire. Pas de souci, à mon sen, de ce côté là, donc.
Cependant, la question peut aussi être posée de la quantité d’information qui peut être révélée par la connaissance de l’adresse MAC d’une machine. Immédiatement : le constructeur et le modèle de la puce. Avec beaucoup plus d’efforts : par qui cette puce a pu été intégrée dans une interface réseau. Avec encore beaucoup plus d’efforts : à qui cette carte ou une machne l’intégrant a été vendue (en supposant que le constucteur et les diwers revendeurs maintiennent et donnent tous accès à une base de données clients aussi précise).
J’admet avoir en général des tendances paranoïaques en terme de vie privée et d’exposition de celle ci, mais j’ai encore du mal à voir l’impact (peut-être de taille à en croire certains) que pourrait avoir la connaissance d’une adresse MAC.
[…] ici afin de répondre au souci de certains qu’IPv6 risque de compromettre leur vie privée. Le problème s’est re-posé récemment lorsqu’il s’est avéré que certains logiciels de VPN ne supportaient qu’IPv4, et […]
[…] d’IPv6, comme une précédente tentative que j’avais signalé dans cet article… IPv6 a décidément bon dos. var addthis_config = {"data_track_clickback":true}; […]