Introduction
Comment fonctionne internet ?
Internet peut être vu comme un « réseau de réseau ». Chaque réseau, d’une entreprise, d’un opérateur ou d’un datacenter s'interconnecte avec un protocole de routage externe, BGP (défini dans les RFC 1105 et 4271). BGP utilise des numéros d’ASN (autonomous system number) pour identifier les réseaux, et ainsi envoyer les routes à tous les routeurs interconnectés en BGP.
Un numéro d’AS est un réseau autonome sur Internet. On peut le voir comme une composante d’Internet; Il s’interconnecte avec plusieurs autres ASN, et l’ensemble des ASN et leurs interconnexions forment Internet.
Il existe plusieurs façons d’obtenir un ASN et ses propres IPs. La principale est de devenir membre d’un RIR (Regional Internet Registry, RIPE pour l’Europe), et ainsi devenir un LIR (Local Internet Registry). En devenant LIR, on obtient (via une demande) un ASN, des IP v4 et v6.
La fin d’IPv4
RIPE annonce la fin de l’IPv4
Un 25 novembre 2019, a 15:35, le RIPE alloue son dernier pool /22 IPv4. Ce qui signifie plus d’IPv4 pour les nouveaux LIR. Dans les faits, le RIPE va continuer à récupérer les blocs de LIR fermés, et redistribuer des /24 via une liste d’attente, qui prioritise les nouveaux LIR.
Les conséquences de cette pénurie sont multiples :
- Actuellement les 4 opérateurs majoritaires ont attribué entre 88 et 99% de ses IPv4 allouées (ARCEP)
- Les droits d’usages des IPv4 se revendent de plus en plus dans un marché gris et le prix d'un /24 augmente de plus en plus (actuellement 5600$)
- Une fois que les opérateurs télécom n’auront plus d’IPs, ils seront obligés soit de faire du CGNAT (Carrier-Grade NAT), soit de l’IPv6
Contourner la pénurie d’IPv4 ?
Pour contourner la pénurie d’IPv4, les opérateurs ont recours à un protocole : le CG-Nat.
Le CG-NAT (RFC 6888) est un NAT à grande échelle utilisé par les fournisseurs d’accès à Internet dans le but de diminuer la quantité d’adresses IPv4 nécessaires aux clients.
Mais il présente énormément de désavantages :
- Le P2P ne fonctionne plus
- Les applications qui n’utilisent pas TCP, UDP ou ICMP sont bloquées
- Le port fowarding est aussi bloqué : Certains jeux utilisent UpnP (Universal Plug and Play) pour ouvrir un port pour le stream UDP. Avec le CGNat il ne fonctionne plus
- L’identification des utilisateurs est plus compliqué
La plupart des opérateurs font aujourd’hui du CG-Nat pour pouvoir économiser leurs dernières IPv4. En revanche chez certains il est possible, sur demande, d’avoir une IP dédiée et non partagée.
Concrètement et en termes plus techniques, le CG-Nat est un réseau local de l’opérateur, qui amène au réseau local du client. C’est-à-dire que le client final, au lieu d’avoir une IP publique sur sa box, il aura une IP privée (défini dans la RFC 6598) qui elle sera re-nattée directement dans le réseau de l’opérateur. C’est une couche supplémentaire qui n’est pas une solution pérenne, et qui apporte des désavantages pour le client comme cité ci-dessus. Il y a aussi des conséquences juridiques à l’utilisation de ce protocole. Par exemple, un Niçois a été accusé à tort de pédopornographie, alors que en réalité le coupable était un de ses voisins. En effet, l’IP utilisée était partagée avec quatre clients différents, et l’opérateur n’a donné qu’un nom parmi les quatre utilisateurs de cette IP.
Nous pouvons donc voir que cette solution n’est pas idéale, et que finalement la seule solution pérenne et efficace est le passage à l’IPv6.
IPv6, le sauveur !
Qui est IPv6 ?
IPv6 est un protocole défini dans la RFC 8200, qui a pour but de succéder à IPv4 et anticiper sa pénurie. IPv6 a été standardisé en décembre 1998.
Les principaux changements entre IPv4 et IPv6 sont:
- IPv6 est codé sur 128 bits, contre 32 pour l’IPv4. ce qui nous donne 3,4×1038 adresses théoriques !
- Au-delà de son aspect complexe (lecture hexadécimal au lieu de décimal), IPv6 a pour but aussi de simplifier les paquets, notamment les en-têtes
- Elle permet également l’adressage de bout en bout, et ainsi de ne plus utiliser le protocole NAT
Mais IPv6, une solution peu exploitée
Bien que IPv6 a été normalisé en 1998 et la transition vers le protocole a démarré en 2003, on commence à peine à voir de l’IPv6 dans les box grand public
26 % des sites les plus visités en France (top 731) sont accessibles en IPv6. De très gros sites, comme Twitter, ne sont même pas utilisable en IPv6 !
Les fournisseurs d’accès justifient le non déploiement de l'IPv6 par le fait que les fournisseurs de contenus ne proposent pas de contenu accessible en IPv6...
...et les fournisseurs de contenus justifient du non déploiement par le fait que les fournisseurs d’accès ne l’ont pas déployé !
Pour que le client soit considéré comme IPv6-ready, il y a quatre conditions :
- le réseau fixe utilisé doit être compatible IPv6 ;
- la box utilisée doit être compatible matériellement avec IPv6 et disposer d’un firmware capable de gérer ce protocole. Si la plupart des box proposées par les opérateurs en 2019 sont compatibles avec IPv6, certaines d’entre elles n’ont toujours pas de firmware adapté à l’IPv6.
Lorsque le réseau et la box sont compatibles IPv6, le client est dit « IPv6-ready » (cf. tableau ci-dessous).
- l’opérateur doit configurer à distance la box pour qu’elle utilise IPv6 (cf. tableau ci-dessous). Si le client est IPv6-ready mais que l’opérateur n’a pas activé IPv6, le client peut configurer lui-même sa box manuellement.
- le système d’exploitation de l’appareil utilisé doit être compatible et activé en IPv6
Ainsi, L’ARCEP a récolté les données suivantes :
Nous pouvons constater que Free tire son épingle du jeu avec 80 % de ses clients avec IPv6 actif, alors que les autres opérateurs sont à 68 %, 20 %, et 6,7 % pour SFR.
Il est donc important que les opérateurs prennent les choses en main pour pouvoir proposer à leurs clients de l’IPv6, quel que soit le mode de connexion
La méfiance des acteurs face au changement
La non mise en place d’IPv6 est du aussi à une partie humaine. Beaucoup de responsables informatique ne voient pas l’intérêt de la migration, car elle implique une modification d’un réseau qui est actuellement fonctionnel. C’est la fameuse phrase « Bah si ça fonctionne, pourquoi on changerait ? »
De plus, gérer une dual-stack IPv4+IPv6 suppose un investissement financier et humain, sur la durée. Il faut admettre, changer l’infrastructure d’une petite entreprise est plutôt « facile », comparé à modifier une entreprise avec 100 agences réparties dans toute la France.
De plus, selon certain gérants de parc informatique d’entreprise, l’IPv6 va apporter des failles de sécurité supplémentaire. En effet, vu que toutes les machines auront une IPv6 public, elles seront accessibles au monde entier, contrairement à avant avec IPv4, où les machines étaient « cachées » par le NAT de l’entreprise, et ainsi elle n’avaient qu’une IP privée (RFC 1918). On appelle cela de la sécurité par l’obscurité, ce qui n'est pas une vrai sécurité en soit.
IPv6 et la confidentialité
Au début d’IPv6, les adresses IP était générées en fonction de l’adresse MAC de l’ordinateur. C’est la procédure EUI-64 qui, à partir de l’adresse MAC, génère une adresse IPv6. Cette procédure était vu comme une bonne chose à l’époque de l’écriture de la RFC (1999), car n’importe ou l’équipement était placé, il gardait le même identificateur (les 64 bits de plus faible poids) Mais aujourd’hui, avec la notion de vie privée qui devient de plus en plus importante, une alternative a été mise en place pour que l’adresse IP se génère de façon aléatoire sans lien avec l’adresse MAC
La mise en place d’IPv6 et ses problématiques
Pourtant, malgré tout les avantages d’IPv6, les opérateurs et les hébergeurs ont du mal à mettre en place IPv6. Beaucoup de problèmes se posent
- Le matériel « legacy », trop ancien pour supporter IPv6. Malheureusement, il reste des entreprises (particulièrement dans l’industrie) qui ont de l’ancien matériel, et le coût de remplacement peut être élevé. On retrouve l’exemple avec l’IBM AS400, encore assez répendu mais du à son âge, il ne supporte pas l’IPv6
Mais parfois, quand IPv6 est présent, il reste difficile d’accès
Bien que certains hébergeurs et opérateurs proposent ce nouveau protocole, il est parfois difficile d’accès, complique à utiliser pour le client, voire inutilisable.
Par exemple, l’opérateur SFR avait proposé fut un temps l’IPv6 sur ses box. Mais suite à des problèmes techniques, SFR a tout simplement arrêté de proposer de l’IPv6 pour le grand public.
IPv6 et la formation :
Autre problème pour promouvoir IPv6, la formation à IPv6 est très peu présente, que ce soit dans les cursus scolaires (BTS, Université...) ou dans les formations continues. Dans la plupart des cours, IPv4 est encore présenté comme le seul protocole IP permettant d’accéder à internet et IPv6 est considéré comme un protocole qui sera utilisé dans le futur.
Ce n’est pas la réalité du réseau d’aujourd’hui. IPv4 est certes, encore présent, mais IPv6 doit être implémenté pour que à terme, il soit le seul protocole utilisé. Il est donc nécessaire de former, le plut tôt possible, pour que les futurs netadmins puissent mettre en place et maintenir IPv6 dans les réseaux d’entreprise et d’opérateur. Il est aussi nécessaire de former les personnes actuellement en poste, par de la formation continue ou par des MOOC en ligne.
Au delà de ça, les cours de réseau sont généralement restés dans les années 90. Pour ne citer qu'un exemple, on continue à apprendre les classes A,B,C,D,E alors qu'elle ne sont plus utilisés depuis bien longtemps. En 1992, la RFC 1385 propose d'abolir la notion de classe qui n'était plus adaptée à la taille d'Internet, preuve que ce système de classe est obsolète.
Des volontaires et des innovations pour promouvoir IPv6 :
Et pourtant, bien que IPv6 peine à se normaliser, plusieurs personnes et entreprises font tout pour promouvoir IPv6. Par exemple, @lafibreinfo fait régulièrement des campagnes sur Twitter pour signaler les entreprises, opérateurs et hébergeurs qui ne sont pas encore passé en IPv6 :
Et parfois, un simple tweet peut faire bouger les choses. En effet, @lafibreinfo a demande à OVH quand l’IPv6 serait mise par défaut sur les hébergements web. Comme vous pouvez le voir, le patch a été fait le jour même, et désormais tous les hébergements web chez OVH ont de l’IPv6 !
Certains hébergeurs, comme ipv6onlyhosting, ou en France Ikoula, propose des VPS et dédié en IPv6 uniquement.
On peut citer aussi OrneTHD, un FAI local qui a été le premier à faire du 100% IPv6, avec une dual-stack de bout en bout. Comme quoi, proposer de la v6 fonctionnel à ses clients est possible !
Sur un autre niveau, la Biélorussie a rendu obligatoire la prise en charge d’IPv6 pour tous les FAI de son pays. Ainsi, à partir du premier janvier 2020, tous les citoyens auront à leur disposition une adresse dans chaque version et les connexions seront faites via IPv6 lorsque c’est possible.
Conclusion
Comme nous avons pu le voir, le passage à IPv6 n’est pas qu’un problème technique. En effet, les moyens humains et financiers rentre aussi en compte dans le déploiement de ce protocole. Le manque de formation, aussi bien a l’école que sur Internet (MOOC), ne permettent pas d’avoir des techniciens et ingénieurs compétents et prêt pour le passage et la maintenance d’une stack IPv6. D’un autre côté, certains responsables hiérarchiques, technique ou non, ne voient pas l’intérêt de passer sur IPv6, car l’IPv4 fonctionne très bien. Le passage en IPv6 peut aussi engendrer des coûts, qu’il soit humain (temps de modifications, d’ajout pour implémenter IPv6, formation) ou tout simplement budgétaire (achat d’équipement réseau si l’existant est trop ancien)
Malgré toutes ces contraintes, il est important de passer à IPv6, pour à terme, ne pas se retrouver avec deux internets : IPv4 et IPv6
Un des moyens possible pour forcer le passage à IPv6 est qu’un géant de l’internet (Google pour n’en citer qu’un) force la main et soit le premier à imposer IPv6. On pourrait imaginer, à l’image du HTTP, un moins bon référencement des sites qui n’ont que IPv4, pour mettre en valeur ceux qui supportent IPv6. Lorsque Google a mis en place ce système pour l’HTTPS, les sites web se sont tout de suite mis à suivre Google, sous peine de perdre leur référencement.