Introduction
Le développement inattendu et rapide de l’internet a conduit à la saturation de son protocole IPv4 (Internet Protocol version 4) et à la mise en place progressive, depuis le début des années 2000, d’un nouveau protocole de remplacement l’IPv6 (Internet Protocol version 6). Le protocole internet actuel (IPv4) n’a pas été en effet conçu pour l’évolutivité et la prise en charge des capacités de trafic qui ont été réalisées par l’internet et encore moins pour répondre aux exigences de demain qui croissent de façon exponentielle.
Selon l’estimation du laboratoire américain Gartner, il y aura d’ici 2020 plus de 25 milliards d’appareils (Internet Of Things, IoT) connectés à l’internet tandis que la compagnie Cisco les estime à 50 milliards. Seul le protocole IPv6 peut répondre à une demande d’adressage aussi considérable. Cependant l’IPv6 est radicalement différent de son prédécesseur et son adoption sera lente et un véritable casse-tête surtout pour les responsables de la sécurité.
Une question fondamentale se pose néanmoins : le choix est-il laissé aux utilisateurs de l’internet qui souhaitent continuer à utiliser l’ancien protocole qui a atteint une maturité et qui fonctionne bien ? Mettre en œuvre le nouveau protocole internet n’est pas obligatoire cependant pour le maintien d’une totale connectivité et pour accéder à toutes les ressources des réseaux externes qui constituent l’internet mondial, il faut installer l’IPv6. Dans cette perspective, il est donc important pour l’Algérie, malgré son retard considérable, de mettre en place une stratégie nationale de transition vers l’IPv6, de l’organiser et de la planifier plutôt que de subir une limitation sinon une interruption de la connectivité qui sera coûteuse pour l’économie et la sécurité nationales.
Analogie du système de numérotation téléphonique avec le protocole internet (IP)
Un numéro de téléphone est une suite de chiffres qui identifie de façon unique son propriétaire au sein d’un réseau téléphonique et qu’un appelant doit connaître et composer pour pouvoir le joindre. L’évolution de la numérotation téléphonique de 7 à 9 chiffres par exemple est justifiée par la saturation et le souci de satisfaire une demande croissante des utilisateurs.
L’adresse IP est un numéro d’identification qui est attribué à chaque appareil connecté à l’internet. Pour que deux ordinateurs ou machines puissent communiquer à travers l’internet, on doit connaître l’adresse IP à laquelle on veut se connecter. Similairement au système de numérotation des téléphones, cette adresse est unique par rapport à une seule machine. Le protocole internet IPv4 qui connaît une saturation est une norme technique qui permet aux machines de communiquer les unes avec les autres sur les réseaux. Ces derniers s’interconnectent pour former l’internet. La transition du protocole IPv4 à celui IPv6 est justifiée par la saturation de l’IPv4 et une demande croissante qu’il ne peut plus satisfaire.
IPv4
L’internet original «Advanced Research Projects Agency Network» ou ARPANET a été développé durant les années 70 pour les besoins des institutions américaines uniquement pour faciliter la communication et le partage de l’information. L’IPv4 a été créé pour permettre un adressage de 4,3 milliards d’adresses IP et l’on pensait qu’elles ne seront jamais consommées. Une adresse unique est attribuée à chaque ordinateur ou tout autre matériel informatique comme les serveurs, routeurs ou téléphones connectés à l’internet. L’adresse IP est basée sur un format composé de 4 chiffres qui varient de 0 à 255 et séparés par un point : 172.16.254.1
Le déploiement à grande échelle de l’internet et des technologies nouvelles, en particulier les pages web, emails, les services Peer-to-Peer (P2P), le Cloud, la Mobilité et l’internet des objets ont augmenté bien au-delà des prévisions des initiateurs de l’ARPANET. Cette expansion rapide de l’internet couplée à la multiplication des équipements nécessitant une connexion a mis en évidence la très prochaine saturation de l’IPv4 selon l’Internet Assigned Numbers Authority (IANA), organisation chargée de la gestion de l’espace d’adressage internet, ainsi que la nécessité de mettre en place le nouveau protocole IPv6.
L’American Registry for Internet Numbers (ARIN), l’organisation régionale des Etats-Unis et du Canada, a annoncé le 26 septembre 2015 qu’il ne lui restait plus que 1 024 adresses. De nombreuses autres organisations régionales responsables des adresses IP ont déjà annoncé qu’elles ont consommé l’ensemble des adresses allouées : l’APNIC, responsable de la zone Asie-Pacifique, a épuisé toutes les adresses en 2011 ; la RIPE, qui supervise la région EMEA (Europe, Middle East and Africa) en 2012 ; la LACNIC, responsable pour l’Amérique latine et les Caraïbes, en 2014. La seule organisation restant, l’AFRINIC, responsable de l’Afrique, a encore des adresses et devrait en manquer d’ici 2019. Cette pénurie pourrait conduire au partage des adresses IP avec tous les inconvénients que cela suppose.
Une autre limitation de l’IPv4 est que sa conception a favorisé l’interopérabilité au détriment de la sécurité. Il ne contient pas de fonctionnalités qui protègent la confidentialité et l’intégrité des communications. Par exemple le protocole n’est pas en mesure de protéger les données contre les écoutes ou la manipulation en utilisant la cryptographie. Il ne fournit pas une fonctionnalité pour les terminaux pour s’identifier les uns les autres. La nature ouverte de l’IPv4 le rend vulnérable aux exploitations criminelles et à une multitude de vecteurs d’attaques pour une variété de menaces. Il a fallu ajouter d’ailleurs à l’IPv4 des fonctionnalités de sécurité pour mieux le protéger.
IPv6
En réponse à la prévision d’épuisement des adresses du protocole IPv4, l’Internet Engineering Task Force (IETF) a commencé à développer en 1993 le protocole IPv6 qui a un espace d’adressage considérablement élargi. Le protocole qui a été testé et mis à disposition en 1999 dispose de 340 trillions de trillions de trillions d’adresses IP : 340 282 366 920 938 463 463 374 607 431 768 211 456 d’adresses pour l’IPv6 contre 4 294 967 296 d’adresses pour l’IPv4. Chaque adresse est composée de 8 champs, chacun composé de 4 lettres et chiffres, et chaque champ séparé de l’autre par deux points : ge73: 42D5: 8096: 095e : 987 : Gte6: GEN2: ABFG.
La période de transition de l’ancien protocole au nouveau peut durer cinq à dix ans. Certains pays ont déjà fini cette transition, d’autres l’ont commencée et enfin la troisième catégorie, en retard, n’a pas encore une stratégie pour la transition. Cette dernière ne peut être confiée à des étrangers ni les associer pour sa réalisation sans un préjudice irréparable aux intérêts nationaux et à la sécurité du pays.
Les avantages de l’IPv6
IPv6 est un protocole qui dispose de nombreuses fonctionnalités nouvelles ou améliorées. Il a été conçu pour gérer la très forte expansion de l’internet et pour répondre à de nombreuses exigences dont celles de la mobilité, de l’internet des objets, du cloud et de la sécurité.
Parmi ses fonctionnalités celle d’un chiffrement facile de bout en bout, ce qui devrait rendre les réseaux plus sûrs, une configuration automatique des périphériques, un routage simplifié et plus efficace, une meilleure sécurité grâce à l’IPSec (IP Security) qui sécurise les communications et protège l’intégrité ainsi que la confidentialité des données transmises. La reconnaissance ou scan d’un réseau est la première phase d’une attaque qui a pour objectif d’identifier les actifs informationnels en vue d’une exploitation illégale. Un scan de reconnaissance dans un environnement IPv6 diffère considérablement de celui dans un environnement IPv4 en raison de la taille des sous-réseaux de l’IPv6.
Les techniques traditionnelles pour scanner dans un réseau IPv4 qui prennent quelques minutes pourraient prendre des années sur un réseau IPv6 bien conçu.
Concernant le e-gouvernement, l’IPv6 offre des avantages comme la rationalisation des services, l’amélioration de la qualité de la prestation, la surveillance et le contrôle dans tous les secteurs, l’augmentation de l’activité économique et de l’emploi dans les zones urbaines et rurales, la prise en charge des bureaux distants, des mobiles et des sites de télétravail et enfin il favorise l’accès internet haute vitesse pour tous.
Quelques problèmes liés à la transition vers l’IPv6
Les équipements et solutions qui seront acquis doivent être compatibles avec les deux protocoles car la transition de l’IPv4 à l’IPv6 prendra plusieurs années et les deux protocoles seront utilisés simultanément (Dual-Stack Technology). Des pays ont déjà veillé à la compatibilité des équipements nouvellement achetés avec les deux protocoles depuis plusieurs années pour ne pas être dans l’obligation de les remplacer dès le passage à l’IPv6. Concernant les équipements déjà existants, il y a nécessité de les auditer pour identifier ceux qui ne sont pas compatibles et s’en séparer au démarrage du déploiement. Tous les logiciels et applications qui contiennent des adresses de l’ancien protocole doivent être réécrits pour les rendre compatibles avec l’IPv6. La gestion en parallèle et simultanée de l’IPv4 et de l’IPv6 sera difficile, sans évoquer le manque probable du soutien technique des fournisseurs dans ce domaine.
Des institutions ont recours à des providers (ISP) privés pour leurs connections. Dans ce cas, l’adoption de l’IPv6 par ces institutions dépendra des progrès réalisés par ces providers (ISP) privés. Il existe des réticences parmi ces derniers à passer à l’IPv6, à cause des investissements financiers à effectuer pénalisant ainsi leurs clients.
Des formations seront nécessaires, pour assister les pays dans ce domaine. Des organisations onusiennes offrent gratuitement des formations et des conférences online pour faciliter la transition. Une opportunité à saisir déjà.
Le nouveau protocole qui est susceptible comme l’ancien de contenir des vulnérabilités (dont zero day vulnerability), les erreurs commises lors de la mise en œuvre, la prolifération des tunnels de transition IPv4/IPv6 et les cyberattaques par des parties qui ont une meilleure maîtrise de l’IPv6 compliqueront considérablement la défense des réseaux.
Les équipements et systèmes exécutant Linux, Mac OS X, les nouvelles versions de Microsoft Windows, l’iOS ou Android sont déjà vendus avec le protocole IPv6 intégré et activé par défaut. Ce qui signifie que même dans les réseaux où l’IPv6 n’a pas été volontairement déployé, l’envoi des paquets IPv6 est possible.
C’est potentiellement une faille de sécurité majeure qui existe dans ces réseaux car la configuration et le déploiement des pare-feux et autres moyens de défense ont été axés sur l’IPv4 uniquement. On a ainsi un Backdoor majeur (Porte Dérobée) au sein de ces réseaux que les pirates peuvent exploiter à volonté.
La sécurité
IPv4 ne sera remplacé par le nouveau protocole qu’après des années de transition, les deux protocoles seront opérationnels côte à côte et devront coexister. Les administrateurs continueront à faire face à toutes les vulnérabilités et menaces qu’ils connaissent déjà, en plus de celles inhérentes à l’IPv6. Présenté comme une bonne chose du point de vue de la sécurité, son déploiement sera accompagné de problèmes de sécurité. Les effets du nouveau type de trafic sur les pare-feu, systèmes de détection et prévention des intrusions, antivirus et autres outils de défense sont encore mal connus.
Lors du déploiement de l’IPv6, les dispositifs de sécurité seront débranchés créant un environnement dangereux qui pourrait être mis à profit pour des intrusions. C’est le moment opportun recherché par les pirates ou hackers pour faire leurs intrusions dans les réseaux et télécharger leurs logiciels espions et plus précisément les APT (Advanced Persistent Threat). D’où l’importance et la nécessité de maintenir les dates de débranchement secrètes.
Si des risques de sécurité sont associés au déploiement initial de l’IPv6, des stratégies d’atténuation existent et beaucoup de ces risques ne sont pas différents de ceux connus existant sur les réseaux IPv4.
La sécurité des réseaux est l’un des plus importants problèmes durant cette période de transition, le plus tôt l’IPv6 est déployé, les plus sécurisés seront ces réseaux dans le long terme. En attendant les organisations qui n’ont pas encore déployé l’IPv6, comme celles algériennes, devraient procéder à la détection des actifs IPv6 inconnus, bloquer tout le trafic IPv6 aussi bien entrant que sortant au niveau des firewalls et désactiver tous les ports, protocoles et services sur tous les logiciels et matériels compatibles avec l’IPv6.
Rôle des gouvernements
L’étonnant mélange d’aujourd’hui de serveurs de haute performance, du cloud computing, d’une multitude de périphériques et d’équipements mobiles de plus en plus intelligents a le potentiel de changer la gouvernance et le modèle de la prestation des services de la manière la plus fondamentale. Conscients de cette situation et des missions des administrations en constante expansion ainsi que des budgets de plus en plus réduits, des gouvernements ont mis en place des stratégies nationales de numérisation pour améliorer les méthodes de prestation de services avec deux objectifs fondamentaux :
Premièrement : permettre à tous les citoyens utilisant de plus en plus les équipements mobiles d’accéder à des services numériques gouvernementaux de qualité de n’importe où, à tout moment, sur n’importe quel appareil.
Deuxièmement : assurer toujours une connectivité internet avec les mandants et les partenaires (publics et privés) alors que l’internet évolue vers le nouveau protocole IPv6 et veiller à ce que la technologie utilisée soit évolutive pour pouvoir s’adapter à ce nouveau monde numérique en constante mutation.
Parmi les mesures prises, la mise en place d’une stratégie nationale de transition IPv6, l’émission de directives demandant à tous les ministères de commencer la transition vers l’IPv6 avant une date fixée, l’élaboration d’un guide général, la création de groupes de travail (Task Force IPv6) pour la mise en œuvre et la supervision, la mise à disposition d’informations pour les organisations qui envisagent de déployer les technologies IPv6 ou cherchent simplement une meilleure compréhension.
Dans le cas de la République de Corée, comme mesures incitatives, des allégements fiscaux ont même été prévus au profit des entreprises qui prévoient le passage à l’IPv6.
Les forces armées
Les forces armées dans le monde sont en général les plus avancées dans la transition de l’IPv4 à l’IPv6. Depuis le début des années 2000, de plus en plus de corps militaires fonctionnent entièrement avec l’IPv6. Certaines comme l’US Navy a chargé l’un de ses organismes, le «Space and Naval Warfare Systems Center Pacific» (SPAWAR), de servir de laboratoire pour le déploiement du nouveau protocole et de faire bénéficier de son expérience et enseignements aussi bien les secteurs militaires que ceux civils.
Les enseignements recueillis par les forces armées mettent en évidence le fait patent et incontesté de ne pas attendre la dernière minute pour commencer à planifier et à effectuer la transition, de mettre en place au préalable une stratégie de transition et veiller à la bonne compréhension des exigences de l’IPv6. Cette approche conduira à des économies financières et de temps importantes. L’espace d’adressage considérablement élargi fournit aux militaires une occasion de repenser l’espace d’adressage pour mieux accueillir les requêtes d’utilisation accrues des capteurs en réseau, des appareils mobiles et de soutenir un plus grand partage de l’information, ce qui améliorera l’efficacité militaire.
Le retard de certaines forces armées à effectuer la transition conduira, immanquablement, à un défaut d’efficacité, à une augmentation des coûts et à une vulnérabilité plus importante aux cybermenaces.
Exemple de pays ayant initié la transition la feuille de route de l’Inde (National IPv6 Deployment Roadmap) qui remonte à 2009 prévoit la création de l’«India IPv6 Task Force» et d’un centre pour l’innovation (Indian IPv6 Centre for Innovation and Development for IPv6) avec pour objectifs principaux de mettre en œuvre des projets pilotes IPv6, de développer un modèle de réseau IPv6 expérimental, d’organiser la R & D, la consultance au niveau national et international et l’organisation de formations. Les ministères, départements et opérateurs ont été instruits de faire des études sur les équipements IPv6 et sur la compatibilité avec l’IPv4. Cinq ateliers ont été créés à New Delhi, Bangalore, Chennai, Mumbai et Kolkata de 2009 à 2010 pour définir la transition nationale de l’IPv4 à l’IPv6.
La République de Corée a créé en 2004 l’Agence nationale de développement de l’internet (NIDA) pour le déploiement de l’IPv6. Elle a encouragé la R&D et un partenariat entre le gouvernement et l’industrie. Aujourd’hui elle commercialise les smartphones, la LTE et l’accès internet haut débit avec l’IPv6. Un exemple de collaboration efficace entre les secteurs public et privé qui a permis de jeter les bases du déploiement de l’IPv6.
L’Afrique du Sud et le Kenya sont actuellement les premiers pays en Afrique en termes d’adoption de l’IPv6 et se classent à l’échelle mondiale aux côtés de Hong Kong. Le Nigeria a créé en février 2015 le Conseil de l’IPv6 (IPv6 Council Nigeria) pour la dynamisation de l’utilisation de l’IPv6 et l’accélération de son déploiement. Le 4 novembre 2015, le National Computer Emergency Response Team (NCERT) du Ghana a lancé un appel au gouvernement, lors du forum ayant pour thème «Garantir la liberté, la sécurité et la croissance du monde numérique» pour commencer à déployer l’IPv6.
Pour le NCERT, il fournit un système d’identification et de localisation, les itinéraires du trafic à travers l’internet, des avantages techniques, un espace d’adressage plus large en plus du renforcement de la sécurité de l’infrastructure nationale de l’internet». Enfin, le NCERT a suggéré la création par l’Agence nationale de la technologie de l’information (National Information Technology Agency, NITA) d’un groupe de travail sur l’IPv6.
Le projet China Next Generation Internet (CNGI) qui date de 2001 est un plan de cinq ans avec pour objectif une transition vers l’IPv6. L’infrastructure du réseau a été présentée à Pékin lors des Jeux olympiques de 2008. L’Indonésie a mis en place en 2008 une «National IPv6 Strategy» et une «IPv6 Task-Force» pour la sensibilisation et l’organisation de sa transition au niveau national. Le Japon a installé un groupe d’étude pour la transition de l’internet à l’IPv6 en 2008. Aujourd’hui 50% de ses connexions se font sur l’IPv6.
TEL, le groupe de travail des technologies de l’information et des télécommunications de l’APEC (Asia-Pacific Economic Cooperation), qui est un forum économique intergouvernemental visant à faciliter la croissance économique et l’investissement dans la région Asie-Pacifique, a approuvé lors de la réunion interministérielle (TELMIN) de 2010 un ensemble de lignes directrices pour soutenir le déploiement de l’Internet Protocol version 6 (IPv6). Lors de cette même réunion le plan d’action stratégique 2016-2020 a été rendu public par le groupe de travail TEL. Il prévoit, entre autres, l’amélioration de la connectivité dans la région APEC, le développement du commerce électronique transfrontalier, la promotion de l’internet des objets (IoT) et une promotion plus importante de l’IPv6 à travers la mise en œuvre du guide «APEC TEL IPv6». Ce dernier définit les lignes directrices pour le déploiement, la planification, la gestion technique, le développement des capacités, la coopération gouvernementale, le partenariat secteurs public-privé, l’élaboration de plans de déploiement, la mise en place d’une base de compétences IPv6, l’échange d’informations et des expériences.
Aujourd’hui, les statistiques montrent des signes encourageants et des économies comme celle du Pérou, de la Malaisie ou du Singapour sont parmi les 15 premières économies pour l’utilisation de l’IPv6.
Après tout, le déploiement d’IPv6 n’est pas simplement une exigence technique, mais l’utilisation de la technologie pour assurer que l’internet puisse continuer à se développer et à être un catalyseur pour l’innovation, le fondement d’une croissance économique durable et assurer une prospérité, d’où le rôle fondamental des gouvernements.
Conclusion
Une stratégie nationale pour la mise en œuvre du nouveau Protocole Internet version 6 est nécessaire parce que l’IPv4 a des limites qui le rendent incapable de répondre aux exigences de la croissance économique, de défense, des besoins commerciaux et culturels à moyen et long termes. Toutes les organisations qui utilisent des réseaux IP doivent étudier et évaluer les fonctionnalités IPv6 lors de la conception des réseaux.
La compréhension dès à présent des risques et des stratégies d’atténuation est nécessaire même sans intention de remplacer l’IPv4. Les contrôles de sécurité IPv6 discutés plus haut doivent être considérés, en particulier l’exploitation non autorisée de l’IPv6 déjà installé et activé par défaut dans les équipements et qui équivaut à une installation d’un backdoor.
Une connaissance fondamentale de l’IPv6, ce qu’il représente, ce que sont ses attributs et comment il fonctionne, est essentielle pour toute organisation et ses décideurs. Pour faire face à cette situation, l’approche la plus opportune est de commencer, bien avant la mise en œuvre du déploiement, par la formation et faire en sorte que les cadres aient un niveau de connaissance et de compréhension sur l’IPv6 qui soit comparable à celui sur l’IPv4.
Aujourd’hui des cadres algériens brillants résidant aux Etats-Unis, au Canada et en Europe procèdent à la formation et à la mise en place du nouveau protocole. Pourquoi ne pas faire appel à eux ? Ils répondront positivement pour peu qu’on leur accorde la considération voulue, les mêmes avantages que ceux accordés aux étrangers et la garantie qu’ils pourront s’acquitter de leurs tâches sans entraves.
Dans tous les cas, le déploiement de l’IPv6 est inévitable, globalement il a connu une augmentation de 100% au cours des 12 derniers mois.
La mise en place d’une stratégie nationale pour la transition internet en Algérie permettra de la réaliser en douceur, sûrement et de la réussir pour le plus grand bien de l’économie de notre pays et de notre sécurité nationale.