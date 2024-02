Parmi les grandes innovations de ces dernières années, l'IPv6 est enfin arrivée sur nos box Internet. L'IPv6 permet de répondre au déficit d'adresses IPv4 pour permettre de raccorder l'ensemble des objets à Internet et d'améliorer les performances du protocole d'adressage.

Petite anecdote, l'IPv6 a été imaginée pendant dans les années 1990 et finalisée par le RFC 2460 en décembre 1998. On savait déjà à l'époque que l'IPv4 n'allait pas être suffisante alors que la majorité d'entre nous n'était pas encore connectée.

À quoi sert l'IPv6 ?

L'IPv6 permet à chaque objet de posséder sa propre adresse IP visible sur Internet et met fin au NAT. Ainsi, vos objets connectés, votre smartphone, votre TV connectée peuvent être accessibles directement sur Internet sans être masqués par votre Freebox.

C'est très pratique, sauf si votre périphérique contient des vulnérabilités exploitables. Dans la mesure où votre Freebox ne joue plus le rôle de pare-feu, vos périphériques connectés en IPv6 se trouvent dénudés sur Internet et potentiellement vulnérables.

Un Firewall IPv6 sur la Freebox ?

La Freebox possède depuis 2019 une option que très peu de personnes connait et qui n'est pas activée par défaut : il s'agit du firewall IPv6.

Cette option est disponible depuis le portail d'administration de votre Freebox et permet à vos périphériques connectés en IPv6 sur votre réseau domestique de ne pas être joignables depuis Internet.

Cette option est selon moi indispensable, d'autant plus si vous utilisez des périphériques avec des systèmes obsolètes non mis à jour par leurs constructeurs : caméra, objets connectés, etc. Ces périphériques peuvent être attaqués via l'exploitation de vulnérabilités et catalogués sur la plateforme Shodan.io.

Cela me rappelle les débuts d'Internet où les ordinateurs étaient directement connectés sur Internet avec un modem ADSL en USB sans aucun filtrage. Les ports de partage de fichier étaient disponibles, les ordinateurs étaient fortement vulnérables. C'était en quelque sorte un vrai Far West. Des petits bouts de code en C comme SMB Nuke pouvaient occuper nos soirées.

Testons l'efficacité du firewall IPV6 de la Freebox

Pour se faire une idée du risque, le mieux est de réaliser une simulatio d'attaque depuis Internet.

Dans un premier temps je m'assure que mon PC possède une adresse IPv6 et je lance un service Web sur le port 9001 de l'interface Ethernet de mon PC.

Ensuite, je me rends sur ce portail en ligne qui permet de vérifier l'accessibilité d'un port réseau depuis Internet :

https://port.tools/port-checker-ipv6/

Je saisis mon adresse IPv6 affichée juste au dessus du formulaire dans le champ adresse et je positionne 9001 dans le champ port. Le nombre 9001 correspondant au service que j'ai volontairement exposé sur le port 9001 de mon ordinateur qui se trouve derrière ma Freebox.

Bingo ! Le service que j'expose sur mon PC est bien accessible depuis Internet sans aucun filtrage de ma Freebox. C'est aussi le cas de l'ensemble des autres ports que ma machine expose depuis son interface réseau.

Seconde étape, j'active le firewall IPv6 de ma Freebox et je relance le test. Le port 9001 de mon PC n'est plus accessible d'Internet, ma Freebox filtre donc bien les flux entrants et mon PC est correctement protégé par ma Freebox.

Pourquoi l'option Firewall IPv6 n'est-elle pas activée par défaut sur la Freebox ?

Des échanges que j'ai pu voir sur Internet sur ce sujet, ce type de fonctionnalité irait à l'encontre de l'IPv6 selon les puristes. Un ticket dédié à ce sujet existe sur l'outil de ticketing de Free et il a été fermé indiquant que cette option ne serait jamais activée par défaut.

Je vous conseille fortement d'activer le firewall IPv6 sur votre Freebox et j'ai du mal à comprendre pourquoi Free n'active pas cette option par défaut pour améliorer la sécurité de ses abonnés. C'est très étrange, si vous avez la raison exacte, n'hésitez pas à la partager sur le serveur Discord Geeek.

De plus en plus je me convains qu'il faudrait que j'installe un vrai firewall Pfsense derrière ma Freebox pour maitriser les flux sortants de mon réseau domestique. Les Box des opérateurs sont de moins en moins suffisants à mes yeux pour offrir un niveau de sécurité acceptable.

Cela ferait un équipement de plus dans ma baie de brassage qui est déjà bien remplie, mais cela me permettrait d'avoir une complète maitrise des flux réseau entrants et sortants sur mon réseau local.

Comme d'habitude, n'hésitez pas à passer faire un tour sur le serveur Discord Geeek et surtout, n'oubliez pas de sortir couvert en IPv6 sur Internet. J'espère que cet article vous sera utile pour renforcer votre cybersécurité.