IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

La République Tchèque s'engage dans une révolution technologique avec le redémarrage de DNSSEC et IPv6
L'administration publique tchèque fixe la date de fin de l'IPv4 pour le 6 juin 2032

Le , par Bruno
70 commentaires

62PARTAGES

3  0 
La République Tchèque s'engage dans une révolution technologique avec le redémarrage de DNSSEC et IPv6,
l'administration publique tchèque fixe la date de fin de l'IPv4 pour le 6 juin 2032

Le 17 janvier 2024, le gouvernement de la République tchèque a pris une décision révolutionnaire en approuvant le document intitulé Restarting the implementation of DNSSEC and IPv6 technologies in the state administration (Redémarrage de la mise en œuvre des technologies DNSSEC et IPv6 dans l'administration publique). Cette initiative marque un tournant significatif dans l'évolution technologique de l'État tchèque.

En vertu de cette décision, l'administration publique tchèque a décidé de mettre fin à la fourniture de ses services sur IPv4 le 6 juin 2032, établissant ainsi une date officielle pour la transition vers IPv6. Cette évolution est cruciale, car le protocole IPv4, utilisé depuis les années 1980 pour attribuer des adresses uniques aux appareils connectés à Internet, est devenu insuffisant en raison de la croissance exponentielle du nombre d'appareils et de services.


Dans un billet de blog, Mathew Duggan, un ingénieur DevOps, expose les défis et les raisons qui le poussent à adopter l'IPv6 en remplacement de l'IPv4 devenu rare et coûteux. Il souligne que l'utilisation des adresses IPv4 est devenue onéreuse, avec les fournisseurs de services cloud facturant les adresses IPv4 publiques à l'heure. Pour résoudre ce problème, Duggan préconise la transition vers l'IPv6, un protocole offrant un espace d'adressage plus vaste et des fonctionnalités améliorées.

L'ingénieur partage ensuite son expérience personnelle de migration de son blog exclusivement vers l'IPv6, en utilisant un CDN pour gérer le trafic IPv4. Il souligne les obstacles rencontrés, notamment l'incompatibilité de la plupart des outils et services utilisés avec l'IPv6, citant des exemples tels que Terraform, Ansible et Docker. Duggan met en lumière les difficultés des solutions de contournement qu'il a trouvées, les qualifiant de peu fiables ou peu pratiques.

Duggan souligne également la nouvelle réalité économique autour des adresses IPv4, avec des fournisseurs cloud facturant leur utilisation par heure. Il insiste sur l'urgence pour les professionnels du numérique de se former et de se préparer à l'IPv6, soulignant que le processus de migration sera difficile en raison du manque d'expérience dans ce domaine. En conclusion, il incite à passer à l'action, soulignant que l'IPv6 représente une avancée majeure dans le domaine de la mise en réseau, bien que largement négligée jusqu'à présent.

En février 2011, l’IANA a déclaré que sa réserve de blocs d’adresses publiques IPv4 est arrivée à épuisement. Pour reporter l’échéance de l’épuisement, l’IANA a réutilisé des blocs d’adressage autrefois réservés et procédé à la récupération de certains blocs d’adresses qui ont été rétrocédés volontairement. Mais ce n’était qu’une question de temps avant que les adresses IPv4 ne puissent plus être attribuées aux RIR. En 2011, l’APNIC ou Asia-Pacific Network Information Center qui dessert le continent asiatique et les pays du pacifique a déclaré qu’il était à court d’adresses IPv4.

En 2012, ce fut au tour de l’Europe (RIPE NCC, le registre régional d’adresses IP, qui alloue les IP pour l’Europe et le Moyen-Orient) d’annoncer qu’elle ne disposait plus d’un nombre important d’adresses IPv4. Depuis, le RIPE NCC rationne les blocs d’adresse à sa disposition. Avant le 14 septembre 2012, il était possible de se faire allouer plus d’un million d’IPv4 d’un coup. Mais depuis cette date, chaque LIR (registre local internet généralement un opérateur télécom qui a reçu une allocation d’adresses d’un RIR pour l’attribuer à des tiers) a droit à un seul bloc /22 soit 1024 adresses IPv4.

Le passage à l'IPv6 est impératif pour garantir l'évolutivité, la sécurité et l'efficacité de l'infrastructure Internet, offrant un espace d'adressage quasi illimité. Avec le développement technologique, le nombre d'appareils connectés à Internet augmente chaque année, selon les prévisions d'EMC et IDC, avec une croissance estimée à 40 % par an au cours de la prochaine décennie, générant environ 44 zettaoctets d'informations chaque année.

L'épuisement officiel des adresses IPv4 disponibles remonte peut-être à près de trois ans, comme l'a signalé le RIPE NCC, le registre régional d'adresses IP desservant l'Europe et une partie de l'Asie. Cette situation souligne l'urgence de la transition vers IPv6 pour répondre à la demande croissante d'adresses IP.

L'évolution du protocole Internet : du passe d'ipv4 au futur d'ipv6

Le gouvernement tchèque, conscient de ces enjeux, a émis la Résolution du gouvernement de la république tchèque no 49 du 17 janvier 2024. Cette résolution vise à redémarrer la mise en œuvre des technologies DNSSEC et IPv6 dans l'administration de l'État. Elle impose aux membres du gouvernement et aux responsables d'autres organes de garantir la conformité aux résolutions antérieures sur ces technologies.

En outre, la résolution fixe la date du 6 juin 2032 comme le moment où l'administration publique tchèque cessera de fournir des services sur IPv4. Le ministre de l'industrie et du commerce est chargé de soumettre des rapports périodiques sur la mise en œuvre de DNSSEC et IPv6, évaluant l'état des conditions pour la transition vers IPv6 et présentant un rapport sur les préparations pour cette transition.

Ainsi, la République tchèque prend des mesures significatives pour s'adapter aux défis actuels de l'Internet en adoptant des technologies modernes, assurant ainsi une connectivité continue et sécurisée pour son administration et ses citoyens.
Différence entre IPv4 et IPv6

IPv6 (IP version 6), défini dans le RFC 2460, est la dernière génération du protocole Internet (IP) définie par l'IETF (Internet Engineering Task Force). La première version stable du protocole internet (IP) était IPv4 (IP version 4). Alors que l'IPv6 est destiné à remplacer à terme l'IPv4, les deux sont étroitement liés à l'heure actuelle - la plupart des ingénieurs les utilisent ensemble.

La couche IP de la pile de protocoles TCP/IP est la pièce la plus cruciale de toute l'architecture de l'internet. Toutefois, dans les dix ans qui ont suivi la généralisation du protocole IP dans les années 1980, les limites du protocole IPv4 en termes d'évolutivité et de capacité sont devenues évidentes. L'IPv4 a besoin de plusieurs compléments comme l'ICMP et l'ARP pour fonctionner. Au milieu des années 1990, un système de remplacement a été mis au point. Le passage à l'IPv6 est nécessaire pour répondre à l'explosion des besoins de l'internet, le profil technologique de l'internet impose la coexistence de l'accès via l'IPv4 et de l'accès via l'IPv6. L'IPv6 offre les améliorations suivantes par rapport à l'IPv4 :

  • routage plus efficace sans fragmentation des paquets ;
  • qualité de service (QoS) intégrée qui distingue les paquets sensibles aux délais ;
  • élimination de la NAT pour étendre l'espace d'adressage de 32 à 128 bits ;
  • sécurité de la couche réseau intégrée (IPsec) ;
  • auto-configuration des adresses sans état pour faciliter l'administration du réseau ;
  • structure d'en-tête améliorée avec moins de surcharge de traitement.

NAT64 est une technologie qui permet aux réseaux exclusivement IPv6 de communiquer avec des serveurs exclusivement IPv4. Il convertit les adresses IPv4 en adresses IPv6 et vice versa, en utilisant un format spécial appelé IPv4-Embedded IPv6 Address Format décrit dans le RFC 6052. Cela permet aux appareils exclusivement IPv6 de communiquer avec les serveurs exclusivement IPv4 via le service NAT64 sur le réseau.

La vision positive et les précautions de la République tchèque

La décision de la République tchèque de mettre en œuvre le redémarrage des technologies DNSSEC et IPv6 dans l'administration publique, avec l'arrêt de la fourniture de services sur IPv4 d'ici le 6 juin 2032, présente des aspects positifs et des aspects à considérer.

Du côté positif, la transition vers IPv6 est une étape essentielle compte tenu de l'épuisement des adresses IPv4 et de la nécessité de répondre à la croissance continue du nombre d'appareils connectés à Internet. IPv6 offre un espace d'adressage pratiquement illimité, améliorant ainsi l'évolutivité, la sécurité et l'efficacité de l'infrastructure Internet. Cette décision montre une anticipation proactive des défis futurs liés à la connectivité.

De plus, la résolution gouvernementale souligne la nécessité d'une mise en œuvre efficace des technologies DNSSEC et IPv6, ce qui renforce la sécurité et la stabilité du réseau. Les rapports périodiques exigés du ministre de l'industrie et du commerce permettront un suivi régulier de la mise en œuvre, favorisant la transparence et l'obligation de rendre compte.

Cependant, il y a des considérations à prendre en compte. Tout d'abord, la date fixée pour l'arrêt de la fourniture de services sur IPv4, bien qu'à première vue raisonnable, pourrait nécessiter une transition en douceur pour éviter des perturbations potentielles dans les services publics. Assurer une communication efficace et une préparation adéquate est crucial pour minimiser tout impact négatif sur les utilisateurs finaux.

De plus, bien que la résolution aborde la nécessité d'évaluer les conditions pour la transition vers IPv6, il serait pertinent d'inclure des plans d'atténuation pour d'éventuels problèmes rencontrés au cours du processus. Une gestion proactive des défis potentiels renforcerait la robustesse de la mise en œuvre. La décision de la République tchèque de redémarrer l'implémentation de DNSSEC et IPv6 est un pas positif vers l'adaptation aux évolutions technologiques et à la demande croissante d'adresses IP. Cependant, une exécution prudente et une communication transparente seront essentielles pour garantir le succès de cette transition sans perturber les services publics.

Source : CZ.NIC

Et vous ?

Quels sont les impacts prévus sur les services publics et la population pendant la période de transition vers IPv6 ?

Comment la République tchèque peut-elle résoudre les problèmes potentiels liés à l'incompatibilité des infrastructures existantes avec IPv6 ?

Voir aussi :

Les modifications apportées à l'IPv4 pourraient libérer des millions d'adresses, des appels à définir les adresses réservées, invalides ou de bouclage comme des adresses de monodiffusion ordinaires

« IPv6 est un désastre, mais nous pouvons y remédier », le retour d'expérience d'un ingénieur DevOps, l'IPv6, serait une révolution incontournable, mais mal préparée

Les modifications apportées à l'IPv4 pourraient libérer des millions d'adresses, des appels à définir les adresses réservées, invalides ou de bouclage comme des adresses de monodiffusion ordinaires
Vous avez lu gratuitement 2 100 articles depuis plus d'un an.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.

Une erreur dans cette actualité ? Signalez-nous-la !

70 commentaires
Commenter Signaler un problème
fred1599
Avatar de fred1599
Expert éminent https://www.developpez.com
Le 04/01/2026 à 19:24
Historiquement, la méthode par défaut pour qu'une machine Linux (ou autre) s'attribue une adresse IPv6 (via le mécanisme SLAAC) posait un vrai problème de confidentialité.

L'identifiant de l'interface (les 64 derniers bits de l'adresse) était généré directement à partir de l'adresse MAC de votre carte réseau.

La conséquence : L'adresse MAC étant unique au monde et statique, votre adresse IPv6 devenait une "empreinte digitale" permanente. Même si vous changiez de réseau (du bureau à la maison), la fin de votre adresse restait identique, permettant de tracer vos activités à travers l'Internet.

Heureusement, ce comportement a évolué pour protéger l'anonymat des utilisateurs. Les systèmes modernes utilisent désormais des extensions de confidentialité (définies dans les RFC 4941 et 8981).

Voici comment cela fonctionne aujourd'hui sur une distribution Linux moderne correctement configurée :
  • Adresses temporaires aléatoires : Au lieu d'utiliser l'adresse MAC, le système génère une adresse aléatoire pour les connexions sortantes (comme la navigation web).
  • Rotation automatique : Cette adresse change périodiquement (souvent tous les jours). Ainsi, un site web ne peut pas vous profiler sur la durée, car votre "identité" réseau change constamment.
  • Résistance améliorée : Les algorithmes récents (RFC 8981) rendent ces adresses difficiles à prédire, même par analyse statistique.


Il existe aussi une approche intermédiaire appelée "Stable Privacy" (RFC 7217). Elle génère une adresse stable pour un réseau donné (utile pour vos logs ou pare-feux locaux) mais qui change totalement dès que vous changez de sous-réseau. Cela empêche le traçage entre différents lieux tout en gardant une certaine cohérence chez vous.

En IPv4, comme il n'y avait plus assez d'adresses pour tout le monde, on a dû utiliser le NAT (Network Address Translation).

  • Comment ça marche : Votre box internet possède la seule "vraie" adresse publique de votre maison. Vos ordinateurs, téléphones et consoles ont des adresses privées (souvent en 192.168.x.x) qui ne sont pas visibles sur Internet.
  • L'effet de masque : Quand vos appareils vont sur le web, la box remplace leur adresse privée par son adresse publique unique. Vu de l'extérieur, tout le trafic de votre maison semble venir d'une seule et même machine.


Cela crée un "anonymat de foule" : on sait que le trafic vient de chez vous, mais on ne sait pas si c'est votre PC, votre tablette ou votre frigo connecté.

IPv6 a été conçu pour restaurer la connectivité de bout en bout. L'idée est que chaque appareil devrait avoir sa propre adresse publique et être capable de parler directement à n'importe quel autre appareil, sans traduction au milieu.

  • La crainte : Si chaque appareil a sa propre adresse publique (Global Unicast Address), on pourrait théoriquement identifier précisément quel appareil communique. Fini l'anonymat de foule du NAT.


C'est ici que les Privacy Extensions dont nous avons parlé (les adresses aléatoires qui changent) renversent la table.

Comparons les deux situations pour un traceur publicitaire qui essaie de vous suivre :
  • Scénario IPv4 : Il voit tout le trafic de votre foyer venir d'une seule adresse IP publique. Cette adresse change rarement (selon votre FAI). Il peut profiler le "foyer" assez facilement sur la durée.
  • Scénario IPv6 (avec Privacy Extensions) : Il voit votre appareil avec une adresse précise... mais cette adresse change demain, et encore après-demain.


À votre avis, qu'est-ce qui protège le mieux votre vie privée à long terme : être fondu dans la masse de votre foyer mais avec une adresse fixe (IPv4), ou être unique mais changer de visage (d'adresse) tous les jours (IPv6) ?
8  1 
phil995511
Avatar de phil995511
Membre éprouvé https://www.developpez.com
Le 04/01/2026 à 20:50
Citation Envoyé par ericb2 Voir le message
Quelqu'un pourrait expliquer ce qui se passe au niveau confidentialité avec IPV6 ?

Je veux dire en termes de "privacy".

Merci d'avance :-)

N.B. : actuellement, j'ai désactivé IPV6 (c'est pas si simple sous Linux), mais je peux le réactiver sans problème.
Salut,

Le principal frein à son adoption pour moi c'est ça :

Dans un environnement IPv6 pur, chaque dispositif peut potentiellement être directement accessible depuis Internet, augmentant sa surface d’attaque.

Mais y en a d'autres aussi, je te laisserai découvrir les faiblesses générales de l'IPV6 via l'article ci-dessous :

https://www.delta-systemes.fr/ipv6-e...-du-protocole/

Je suis aussi sous Linux, je n'utiliser que de l'IPV4 et comme tu l''auras compris, je ne compte pas en changer.
7  0 
fred1599
Avatar de fred1599
Expert éminent https://www.developpez.com
Le 04/01/2026 à 22:39
Dans l'écosystème IPv4, la pénurie d'adresses a imposé l'utilisation ubiquiste du NAT (Network Address Translation), et plus spécifiquement du NAPT (Network Address Port Translation). Bien que conçu pour la conservation d'adresses, le NAT est devenu, par accident historique, un mécanisme de sécurité de facto pour de nombreux réseaux résidentiels et d'entreprise. Le NAT agit comme un pare-feu à sens unique : il autorise les connexions sortantes tout en rejetant implicitement tout trafic entrant non sollicité qui ne correspond pas à une entrée dans la table de traduction d'états. Cette "sécurité par obscurité" a conduit à une complaisance dangereuse, où la topologie interne est masquée et où l'on suppose que l'inaccessibilité routable équivaut à une sécurité firewall.

Avec IPv6, le NAT est obsolète. Chaque appareil dispose d'une adresse Global Unicast Address (GUA) routable sur l'Internet public. Cette restauration du principe de "connectivité de bout en bout" effraie souvent les administrateurs habitués au bouclier du NAT. Cependant, il est crucial de comprendre que la routabilité n'implique pas l'accessibilité. Un paquet peut avoir une route valide vers une destination, mais cela ne signifie pas que le pare-feu de l'hôte ou du périmètre doit l'accepter. La sécurité dans un environnement IPv6 repose entièrement sur le filtrage de paquets avec état (Stateful Packet Inspection - SPI), une fonctionnalité mature et robuste dans le noyau Linux via Netfilter. En réalité, une configuration IPv6 bien conçue, libérée des complexités de traversée de NAT et intégrant IPsec de manière native, peut offrir une posture de sécurité supérieure à celle d'IPv4, à condition de maîtriser les nouvelles surfaces d'attaque introduites par le protocole.

Obtenir sous Linux une sécurité IPv6 "au moins aussi robuste" qu'IPv4 ne relève pas de l'impossible, mais exige un effort conscient de réapprentissage. La sécurité "gratuite" offerte par l'effet de bord du NAT en IPv4 doit être remplacée par une sécurité "explicite" en IPv6, construite sur trois piliers :
  1. Le Filtrage d'États (Stateful Firewalling) : C'est le mécanisme vital qui permet de distinguer le trafic légitime du trafic hostile. Sans règle ct state established accept, IPv6 est inutilisable ; sans politique DROP par défaut, il est exposé.
  2. La Gestion Intelligente d'ICMPv6 : Contrairement au réflexe de "tout bloquer" d'IPv4, la sécurité IPv6 nécessite une approche chirurgicale, autorisant les fonctions vitales (ND, PMTUD) tout en filtrant les vecteurs d'abus.
  3. L'Hygiène du Noyau : La désactivation des Annonces de Routeur sur les serveurs et l'activation des Extensions de Confidentialité sur les clients garantissent que l'OS ne trahit pas la présence de l'utilisateur par des comportements par défaut trop bavards.
7  1 
fred1599
Avatar de fred1599
Expert éminent https://www.developpez.com
Le 05/01/2026 à 13:23
je ne vois pas en quoi les adresses IPv6 stateless ont des problèmes de confidentialités. Je te rappelle que ces 56 premiers bits correspond à la délégation du préfixe IPv6, permettent déjà de d'identifier d'une manière unique.

Le NAT (Network Address Translation) ne sert pas à faire du filtrage, mais à faire correspondre (ou traduire) une adresse IPv4 publique à une adresse privée. En IPv6 le problème ne se pose pas car chaque hôte peut avoir une adresse publique (connexion de bout en bout).

Si une adresse IPv6 n'est pas accessible dans votre réseau local, pour la simple raison qu'elle n'existe pas, il n'y a aucun problème de sécurité.
Vous avez raison de souligner que les premiers bits (généralement le préfixe /56 ou /64 délégué par le FAI) suffisent à identifier l'abonné ou le foyer. C'est exact : vis-à-vis d'un serveur web, que votre adresse se termine par ::1 ou par une suite aléatoire, on sait que cela vient de "chez vous".

Cependant, le problème de confidentialité des adresses IPv6 "stateless" (SLAAC) basées sur l'adresse MAC (EUI-64) ne concerne pas l'identification du foyer, mais le traçage du matériel (l'appareil spécifique) et sa mobilité :
  • Le traçage transversal (Tracking) : Si votre ordinateur portable utilise une adresse basée sur son adresse MAC (qui est unique au monde et immuable), l'identifiant d'interface (les 64 derniers bits) restera le même que vous soyez chez vous, au travail, ou dans un café. Un tiers (régie publicitaire, tracker) peut donc corréler vos activités à travers différents réseaux simplement en observant ce suffixe constant, même si le préfixe change.
  • L'identification au sein du foyer : Avec un suffixe fixe, il est possible de distinguer l'activité du smartphone de celle de l'ordinateur au sein du même foyer. Les extensions de confidentialité (Privacy Extensions, RFC 4941/8981) servent à masquer quel appareil communique et à empêcher la corrélation de vos déplacements géographiques, pas à masquer d'où (quel abonnement) vous communiquez.


Le NAT est un mécanisme de translation (pour économiser des adresses), pas de filtrage, vous avez raison !

Toutefois, le NAT IPv4 a un "effet de bord" sécuritaire : il agit comme un pare-feu à états (stateful) rudimentaire. Par défaut, tout trafic entrant non sollicité est rejeté car le routeur ne sait pas vers quelle IP privée le rediriger s'il n'y a pas d'entrée dans la table de translation.

En IPv6, la connectivité de bout en bout signifie que chaque appareil (votre frigo, votre imprimante, votre caméra IP) possède une adresse routable publiquement. Si on enlève le NAT sans ajouter de protection explicite, ces appareils deviennent directement joignables de l'extérieur. C'est pourquoi :
  • Le standard pour les routeurs grand public (CPE) impose désormais le respect de la RFC 6092 ("Simple Security"). Cette norme oblige le routeur IPv6 à implémenter un pare-feu stateful qui bloque par défaut tout trafic entrant non sollicité, répliquant ainsi le comportement protecteur auquel le NAT nous a habitués, mais sans briser l'architecture protocolaire.


Votre dernier point ("si l'adresse n'existe pas, il n'y a pas de risque") est intuitivement logique, mais il se heurte à une faille spécifique au fonctionnement d'IPv6 : l'épuisement du cache de voisins (Neighbor Cache Exhaustion).En IPv4, scanner un sous-réseau /24 (256 adresses) est trivial. En IPv6, scanner un /64 (18 x 10^18 adresses) semble impossible.

Mais voici le danger :
  • Si un attaquant envoie des milliers de paquets par seconde vers des adresses aléatoires inexistantes dans votre sous-réseau, votre routeur est obligé de traiter chaque paquet.
  • Pour chaque adresse cible, le routeur doit déterminer si la machine existe localement. Il va créer une entrée "INCOMPLETE" dans sa table de voisins et envoyer une requête Neighbor Solicitation (équivalent ARP Request) en Multicast sur le réseau local.
  • Si l'attaque est massive, la mémoire du routeur (le cache de voisins) sature, ou son CPU s'effondre sous la charge de génération des requêtes NDP. Le routeur ne peut plus gérer les vrais voisins, provoquant une coupure de service pour tout le réseau, même si les adresses visées n'existent pas.


En résumé : Vous avez raison sur le principe (l'identification de l'abonné reste possible), mais les mécanismes comme les adresses temporaires et les pare-feux stateful sont indispensables pour combler les nouveaux vecteurs de risques (traçage matériel, exposition des IoT, attaques par épuisement de ressources) induits par la vaste architecture d'IPv6.

https://www.mdpi.com/2073-431X/12/6/125

Ni l'un ni l'autre car dans tous les cas, il faut un pare-feu justement pour faire le tri de ce qui est autorisé ou pas.
Il y a une confusion fondamentale entre sécurité (protection contre les attaques) et vie privée (protection contre le pistage/traçage).

Un pare-feu est un gardien de porte : il décide qui a le droit d'entrer ou de sortir de votre réseau (filtrage de paquets). C'est un outil de sécurité indispensable pour empêcher un pirate d'entrer.

Cependant, un pare-feu ne masque pas votre identité. Lorsque vous autorisez une connexion sortante (par exemple, pour visiter un site web), votre pare-feu laisse passer le trafic, et le serveur distant doit voir votre adresse IP pour pouvoir vous renvoyer la réponse (la page web).

En résumé : Un pare-feu vous protège contre le piratage, mais il ne protège absolument pas votre vie privée vis-à-vis des sites que vous visitez. Ils voient votre adresse IP, que vous ayez un pare-feu ou non.
4  0 
der§en
Avatar de der§en
Membre expérimenté https://www.developpez.com
Le 04/01/2026 à 22:01
Dans un environnement IPv6 pur, chaque dispositif peut potentiellement être directement accessible depuis Internet, augmentant sa surface d’attaque.
C’est exactement pour cette raison que je désactive SYSTÉMATIQUEMENT IP V6 !
4  1 
fred1599
Avatar de fred1599
Expert éminent https://www.developpez.com
Le 05/01/2026 à 16:48
@Artemus,

Nous sommes parfaitement alignés sur la distinction technique entre le NAT (translation) et le pare-feu (filtrage). C'est effectivement une confusion courante de croire que le NAT est un outil de sécurité, alors que, comme vous le dites très bien, la sécurité repose sur le rejet des connexions non sollicitées par le routeur ou l'OS. Sur ce point, nous disons la même chose.

Cependant, là où nos analyses divergent, c'est sur la définition du « modèle de menace » concernant la vie privée (Privacy).

Vous dites : "Il est facile de m'identifier par mon FAI. Donc, la vie privée est un leurre."

C'est exact vis-à-vis de votre FAI (SFR). Il détient votre identité civile liée à votre abonnement (et donc votre préfixe). Mais les Privacy Extensions (RFC 8981) ne sont pas conçues pour vous cacher de votre FAI. Elles sont conçues pour vous protéger du traçage transversal par des tiers (régies publicitaires, GAFAM, serveurs web).

Voici la nuance très importante :

  • Sans Privacy Extensions (SLAAC pur avec adresse MAC) : Si vous allez sur le Site A le matin et sur le Site B le soir, les deux sites voient le même suffixe (les 64 derniers bits). Ils peuvent techniquement échanger cette info et dire : « La machine avec l'ID xyz est passée chez nous deux ». Ils profilent votre matériel spécifique.
  • Avec Privacy Extensions : Le Site A voit un suffixe aléatoire. Le Site B en voit un autre. Pour eux, ce sont deux visiteurs différents (ou du moins, la corrélation est bien plus complexe).


Ne pas faire de distinction entre « sécurité » (se protéger des attaques) et « vie privée » (se protéger du profilage) est risqué. Un pare-feu parfaitement configuré assure votre sécurité (personne ne rentre), mais n'assure aucune confidentialité (quand vous sortez, vous affichez votre IP).

L'IPv6 moderne permet justement d'avoir les deux : la connectivité de bout en bout (sans NAT) et l'anonymat vis-à-vis des tiers (grâce à la rotation d'adresses), à condition de ne pas désactiver ces mécanismes par fatalisme.
3  0 
fred1599
Avatar de fred1599
Expert éminent https://www.developpez.com
Le 07/01/2026 à 10:35
Tu me dis que ton PC ou ton frigo à la même IP toute la journée, ça me laisse toute la journée pour l'attaquer.
Je pense que vous n'avez pas compris, le NAT ne protège pas ! Ce n'est pas un outil de sécurité c'est un "bricolage" pour économiser des adresses IPv4. Ce qui le protège réellement, c'est le pare-feu (Stateful Firewall) intégré à sa box qui bloque les connexions entrantes non sollicitées.

En IPv6 : On retire le NAT, mais on garde le pare-feu. Votre routeur bloque par défaut tout trafic entrant vers vos appareils IPv6, exactement comme en IPv4. Si quelqu'un essaie d'attaquer votre "frigo", il se heurtera au pare-feu du routeur avant même d'atteindre l'appareil.

En IPv4, scanner tout un réseau pour trouver qui est connecté prend quelques minutes. En IPv6, c'est mathématiquement impossible.
  • Un réseau local standard IPv6 (/64) contient 18 446 744 073 709 551 616 adresses possibles.
  • Même en scannant 1 million d'adresses par seconde, il faudrait 500 000 ans à l'attaquant juste pour balayer votre seul réseau Wi-Fi domestique et espérer tomber par hasard sur l'IP de votre PC.


C'est ce qu'on appelle la sécurité par l'immensité de l'espace d'adressage. Contrairement à l'IPv4, on ne peut pas deviner où se trouvent les machines.

J'ajoute, que si vous configurez votre pare-feu de l'OS, vous avez deux murs à passer, le routeur et le pare-feu de votre OS.

l'IPv6 rappelle l'informatique des "débuts" (années 80) dans le sens où chaque machine a sa propre adresse publique (le principe de "bout en bout"). C'est l'architecture originale d'Internet, vous avez raison, cependant dire que c'est moins sécurisé est faux. Avec un pare-feu actif (ce qui est le standard aujourd'hui), l'IPv6 est structurellement plus robuste contre le balayage réseau que l'IPv4.

Perso, ma configuration IPv6 actuelle est plus "furtive" que n'importe quelle configuration IPv4 classique.
3  0 
fred1599
Avatar de fred1599
Expert éminent https://www.developpez.com
Le 12/01/2026 à 17:26
Il manque une information : Quel est votre FAI ?

Même sans connaître le FAI, trois points dans votre configuration actuelle sont techniquement conflictuels avec les standards (RFC) :

  1. LAN IPv6 assignment length (60) : SLAAC (Stateless Address Autoconfiguration) exige impérativement un préfixe de 64 (RFC 4862). Mettre 60 ici va empêcher l'autoconfiguration sur la plupart des OS. Un /60 est un bloc de préfixes, pas un segment réseau.
  2. RA flags (M, O) vs Services :
    • Vous avez mis RA flags: M, O (Managed, Other). Cela dit aux clients : "Demandez une adresse et des DNS à un serveur DHCPv6".
    • Or, vous avez mis DHCPv6-Service: disabled.
    • Conséquence : Vos clients vont attendre une réponse DHCP qui ne viendra jamais, créant des latences ou des échecs de connexion, surtout si SLAAC est aussi activé.
  3. Firewall : "accept forward" pour ICMPv6 vers tout est correct (RFC 4890), mais il faut s'assurer que vous ne laissez pas passer tous les types ICMP (seulement Echo Request/Reply, Packet Too Big, Time Exceeded, etc.).
3  0 
ericb2
Avatar de ericb2
Membre averti https://www.developpez.com
Le 04/01/2026 à 15:19
Quelqu'un pourrait expliquer ce qui se passe au niveau confidentialité avec IPV6 ?

Je veux dire en termes de "privacy".

Merci d'avance :-)

N.B. : actuellement, j'ai désactivé IPV6 (c'est pas si simple sous Linux), mais je peux le réactiver sans problème.
2  0 
fred1599
Avatar de fred1599
Expert éminent https://www.developpez.com
Le 10/01/2026 à 12:31
Pour une PME, le matériel est souvent déjà compatible IPv6 sans surcoût. Le vrai risque est financier :
  • Coût d'acquisition : Les adresses IPv4 publiques s'achètent désormais entre 30€ et 60€ l'unité sur le marché secondaire.
  • Complexité du NAT : Le NAT (Network Address Translation) complique la téléphonie IP (VoIP) et le télétravail (VPN), nécessitant des pare-feu plus complexes et du dépannage fréquent.


Les grandes entreprises ne passent pas à l'IPv6 pour le plaisir, mais pour la pérennité.
  • Performance Cloud : Les fournisseurs comme AWS commencent à facturer les IPs IPv4 publiques à l'heure, rendant l'IPv6 bien plus rentable pour les micro-services.
  • Simplification : En IPv6-only (avec NAT64), la gestion réseau devient plus fluide car il n'y a plus de conflits d'adresses privées (RFC 1918) lors des fusions/acquisitions.


Contrairement aux idées reçues, les stacks IPv6 sont extrêmement performantes dans l'embarqué.
  • Zephyr & Contiki-NG : Ces OS temps réel (RTOS) intègrent des piles IPv6 certifiées très légères (quelques Ko de RAM).
  • 6LoWPAN : Ce protocole permet de faire passer de l'IPv6 sur des réseaux basse consommation (comme le Zigbee ou le Thread), rendant l'IoT massivement scalable sans NAT.
2  0 
Commenter Signaler un problème