IPV6 et firewall

Entraide & Partage
1

Salut
Il semblerait que la politique des FAI concernant la gestion des box en IPV6 ne soit pas identique. Certains comme Free laissent tous les périphériques accessibles. D’autres non
Dans le cas de Free, y a-t-il nécessité d’installer un firewall sur les ordis
Merci de votre aide
René

2

Ça ne répond peut-être pas à ma question mais si ça peut la faire avancer… :slight_smile:
Je crains que la sécurité soit au même niveau que le déploiement

L’Arcep a mis en ligne le compte rendu de son atelier IP♥6. Sans préjuger des actions que mènera le régulateur, il permet d’avoir le point de vue des acteurs du Net sur les problématiques de cette (trop) longue transition.

Nous le savons depuis des années : les adresses IPv4 (un protocole utilisé depuis le début des années 80) s’épuisent à vitesse grand V et la pénurie est déjà une réalité pour certains. La relève existe depuis très longtemps avec IPv6 (finalisé en décembre 1998), mais la transition est extrêmement lente, et c’est peu de le dire.

Identifier « nombreux freins au déploiement d’IPv6 »

La situation est pourtant urgente. Dans son baromètre annuel de la transition vers IPv6 en France, l’Arcep explique qu’au mois de juin 2018, « les quatre principaux opérateurs français (Bouygues Telecom, Free, Orange, SFR) ont déjà affecté entre environ 88 et 99 % des adresses IPv4 qu’ils possèdent ».

Pour stimuler un peu le marché, le régulateur avait organisé le 10 octobre dernier « un atelier de travail dédié au partage d’expériences et de bonnes pratiques utiles à la transition vers IPv6 », en partenariat avec l’Internet Society France (ISOC). Cette rencontre entre différents acteurs a permis de faire remonter les « nombreux freins au déploiement d’IPv6 » et de mettre en face « des propositions d’actions concrètes ».

La (très (très…)) très lente migration vers IPv6

Cet atelier IP♥6 se déroulait le même jour que la mise en ligne du premier observatoire d’IPv6 du gendarme des télécoms. Le constat n’était pas réjouissant : « La transition vers le protocole IPv6 a démarré en 2003. Cependant, en 2018, internet n’en est encore qu’au début de la phase de cohabitation ». Pour fonctionner correctement, la migration doit être faite par l’ensemble des maillons de la chaine : FAI, opérateurs, hébergeurs et fournisseurs de contenus, infrastructures DNS, équipementiers, transitaires, terminaux, etc.

En France, le taux de clients fixes activés en IPv6 au mois de juin dernier était de 50 % pour Free, contre 45 % pour Orange. Bouygues Telecom et SFR étaient largement à la traine avec seulement 2,5 % et 0,9 % respectivement. D’ici mi-2021, Free et Orange espèrent atteindre 75 à 85 %, contre 40 à 50 % pour Bouygues Telecom et 25 à 35 % seulement pour SFR.

Sur le mobile, c’est encore pire : 7 % de client activés pour Bouygues Telecom… qui est pourtant en tête avec un score aussi faible. Orange est second avec 1 %, tandis que Free et SFR ferment la marche avec 0 %. Les prévisions pour mi-2021 sont de 40 à 50% pour Bouygues Telecom, 25 à 35 % pour Orange et moins de 10 % pour SFR. Free n’a pas fait part de ses ambitions au régulateur.

  • Arcep IPv6

Arcep IPv6

  • Arcep IPv6
  • Arcep IPv6
  • Arcep IPv6
  • Arcep IPv6

Les emails complètement à la ramasse

L’Arcep avait également interrogé plusieurs hébergeurs avec des résultats pour le moins contrastés : de 0 à 100 % des serveurs activés en IPv6, souvent avec une logique de tout ou rien. Tous les hébergeurs ayant répondu au questionnaire de l’Arcep affichaient leurs bonnes volontés pour mi-2021 avec 50 à 100 % de serveurs en IPv6 par défaut.

Même constat sur les pages web : 26 % seulement des sites les plus visités en France (top 731 d’Alexa) sont accessibles en IPv6, contre 61 % des pages. Pire encore : « le taux de sites disponibles en IPv6 est uniquement de 16 % lorsque l’on considère les trois millions de sites web en .fr, .re .pm .yt .tf et .wf ». Et que dire des serveurs emails : « seuls 5,2 % […] sont à ce jour adressés en IPv6 sur l’intégralité des .fr .re .pm .yt .tf et .wf ».

Un retard aux conséquences importantes

« Alors que l’épuisement des adresses IPv4 est prévu à fin 2021, certains acteurs n’envisagent pas un déploiement sur leurs réseaux fixes qui permettraient de répondre à la pénurie à moyen terme », s’alarme le régulateur. Une situation problématique qui « engendre un risque de voir se développer un internet scindé en deux, IPv4 d’un côté et IPv6 de l’autre ».

Lors de l’atelier de l’Arcep, Grégory Mounier – responsable sensibilisation et prévention au centre européen de cybercriminalité (E3) à Europol – est revenu sur « l’impact des CGN [Carrier Grade NAT, mécanisme utilisé pour diminuer la quantité d’IPv4 utilisées, ndlr] sur les enquêtes de police et sur les problèmes que posent ces systèmes de partage d’adresses en termes de sécurité publique ». Là encore, la migration IPv6 est importante : une « transition quasi-totale à l’IPv6 peut constituer une réponse pérenne à ces problèmes », affirme Grégory Mounier.

Pour rappel, en France, tous les équipements vendus depuis le 1er janvier 2018 doivent être compatibles IPv6, comme le prévoit le volet « télécoms » de la loi Numérique (via un amendement de la députée Corinne Erhel). Le gros du problème n’est cependant pas à chercher dans les équipements, souvent prêts depuis longtemps, mais bien chez les opérateurs, les transitaires et services en ligne.

Pour accélérer la migration, il est important de connaitre les problèmes rencontrés par les acteurs impliqués. Il suffit en effet qu’un seul maillon ait des difficultés pour bloquer toute la chaine ; le problème doit donc être pris dans son intégralité. C’était justement l’objectif de l’atelier.

Huit groupes de difficultés, neuf pistes d’action

Dans son compte rendu, l’Arcep met en avant une liste de huit problèmes principaux. Ils sont aussi bien techniques que financiers :

  • Difficultés de fonctionnement liées aux CGN, ou aux sites internet, applications et objets connectés qui ne sont pas compatibles ;
  • Manque de perception de la rentabilité d’IPv6 à court terme et manque de visibilité sur le retour sur investissement à plus long terme (manque de visibilité sur le coût de la transition ou de la non-transition) ;
  • Manque de formation du personnel et de compétence du support en IPv6 ;
  • Manque d’intérêt sur IPv6 et faible demande de la part des clients ;
  • Problèmes de qualité de service liés à la dégradation du trafic au niveau de certains équipements et à des problèmes d’interconnexion en IPv6 ;
  • Manque de connaissance sur la sécurité d’IPv6 et faible maturité de certaines solutions techniques ;
  • Manque de retours d’expérience sur la migration vers IPv6 ;
  • Complexité du maintien du DualStack.

Ce n’est donc pas un hasard si la sensibilisation des acteurs, la mise en avant des services utilisant IPv6 et l’accompagnement ressortent largement dans les pistes d’actions évoquées :

  • Créer une Task Force IPv6 et un espace d’échange pour permettre le partage régulier de retours d’expérience sur le déploiement d’IPv6 et les éventuels problèmes rencontrés ;
  • Promouvoir les acteurs qui proposent de l’IPv6 (par exemple via le baromètre de l’Arcep consacré à cette question) et inciter les acteurs à communiquer sur leurs offres IPv6 au grand public (obligation pour les FAI d’informer le client final de la présence d’IPv6 et d’IPv4/v6 fixes ou de la présence de CGN) ;
  • Effectuer des campagnes de sensibilisation auprès des acteurs de l’écosystème Internet et directeurs des systèmes d’information et des comités de direction afin d’inclure IPv6 dans les appels d’offres ;
  • Améliorer le catalogue de formations IPv6 et émettre des recommandations sur les architectures et la mise en place d’IPv6 ;
  • Définir au niveau national un calendrier de la transition : planning ou stratégie nationale de transition ;
  • Labelliser les équipements et terminaux pour garantir leur compatibilité IPv6 et leur bon fonctionnement et standardiser un certain nombre d’indicateurs IPv6 afin de suivre l’évolution du déploiement du protocole et d’évaluer l’impact d’IPv6 sur la qualité de service ;
  • Établir un code de conduite limitant le partage d’adresse IPv4 au niveau des CGN ;
  • Mettre en place des dispositions incitatives pour encourager les acteurs à choisir IPv6 ;
  • Émettre des recommandations communes et prévoir des actions coercitives pour accélérer la transition vers IPv6.

En annexe, le régulateur propose aussi un compte rendu plus fin des problèmes et pistes d’actions en fonction de chaque atelier. Ils sont au nombre de six. Trois sur la transition chez les FAI et les constructeurs de terminaux, les hébergeurs, ainsi que les organismes publics et les entreprises. Trois autres sur la qualité de service et de sécurité, la formation, et la fin d’IPv4.

L’Arcep ne prend pas position pour le moment

En guise de conclusion, le régulateur prévient sans ambiguïté : « Cette restitution n’est pas un e prise de position de l’Arcep sur la pertinence, la faisabilité ou la priorité des actions », il s’agit simplement de faire le point avec les acteurs concernés par cette transition vers IPv6.

Dans un second temps, « un travail de priorisation des actions à mettre en place pourra être mené en tant que de besoin par l’Arcep en concertation avec la communauté des participants », sans plus de détail pour l’instant.