Sécurisation des architectures mobiles
Introduction d'IPv6 dans les réseaux mobiles - Impacts sur la sécurité

Les services proposés sur réseaux mobiles reposent de plus en plus sur l'établissement de connexions IP. Cela s'explique par l'explosion des services de type data mais aussi le déploiement des architectures LTE/EPC, généralement appelées 4G, qui reposent uniquement sur un cœur réseau « paquets ». Cette évolution en termes de services et d'architecture des réseaux mobiles est à considérer dans un contexte où les adresses IPv4 dites « publiques », c'est-à-dire routables sur l'Internet, viennent à manquer. C'est notamment le cas dans les continents américain et asiatique, voire européen dans un futur très proche et de façon moins critique, en Afrique ou en Amérique Latine. La majeure partie des grands opérateurs travaille donc sur le déploiement de la nouvelle version du protocole IPv6, certains à travers des déploiements commerciaux (T-Mobile, Verizon, Orange Pologne pour ne citer qu'eux), d'autres à travers des expérimentations et pour certains d'entre eux par des contributions à des travaux de standardisation (IETF, 3GPP, GSMA).

L'intégration d'IPv6 dans les réseaux mobiles peut reposer sur différentes stratégies et notamment sur le choix de proposer une connectivité IPv6 en complément à une connectivité IPv4 ou bien de fournir aux clients une connectivité basée uniquement sur le protocole IPv6. Quelle que soit l'option retenue, une des conditions est naturellement de maintenir une qualité d'expérience indépendante du type de connectivité et l'opérateur doit notamment s'assurer que le client pourra accéder à tous les services, notamment ceux qui sont basés sur une pile protocolaire uniquement IPv4. L'intégration d'IPv6 dans les réseaux mobiles repose naturellement sur des briques standardisées, notamment à l'IETF, mais en prenant en compte quelques spécificités liées à l'environnement mobile et notamment aux ressources radio à préserver. Cet article présente ainsi les techniques d'introduction du protocole IPv6 dans les réseaux mobiles, ainsi que les spécificités liées au recours à une connectivité double pile ou uniquement IPv6.

L'introduction d'IPv6, si elle impacte le cœur de réseau, les terminaux et les applications, suppose également de mettre à jour les architectures de sécurité. Ces impacts sur la « sécurité » seront considérés de la façon suivante dans cet article. Les principales vulnérabilités des réseaux mobiles seront décrites dans le paragraphe 3. Ces vulnérabilités reposent d'une part sur les architectures des réseaux mobiles et notamment les différentes interconnexions avec d'autres réseaux, mais aussi sur des analyses des principales attaques dont sont victimes les opérateurs mobiles.

Dans le paragraphe 4, il s'agit de présenter les vulnérabilités intrinsèques du protocole IPv6, par rapport au contexte d'un déploiement dans un environnement mobile. Dans ce paragraphe, les solutions permettant de répondre aux problèmes liés au protocole seront également décrites.

Dans le paragraphe 5, l'objectif est de préciser les principaux problèmes de sécurité liés aux choix d'introduction du protocole IPv6, double pile ou IPv6-only, ainsi que les moyens d'y palier.

Dans le paragraphe 6, l'objectif est de proposer les recommandations permettant aux opérateurs de maintenir un niveau de sécurité de leurs services mobiles au moins comparable à ce qui est aujourd'hui mis en œuvre alors que seul le protocole IPv4 est utilisé pour assurer l'accès aux services de données.

Le glossaire ci-après s'appuie sur les définitions proposées dans l'article [TE 7 507].