L’IPv6 n’est pas moins sûr sous prétexte qu’il n’utilise pas de NAT

 (johnmaguire.me)
4 points par GN⁺ 2026-01-22 | Aucun commentaire pour le moment. | Partager sur WhatsApp
  • L’affirmation selon laquelle l’IPv4 serait plus sûr parce qu’il utilise le NAT par défaut provient d’une confusion entre sécurité et traduction d’adresses
  • NAT (Network Address Translation) n’est pas une fonction de sécurité, mais un mécanisme d’économie d’adresses destiné à pallier la pénurie d’adresses IPv4
  • Le fonctionnement du NAT consiste simplement à permettre à plusieurs appareils de partager une même IP publique sur la base du mappage de ports
  • En réalité, le blocage du trafic externe n’est pas assuré par le NAT, mais par un pare-feu à états (stateful firewall)
  • Même dans un environnement IPv6, un pare-feu bloque par défaut le trafic non autorisé ; l’absence de NAT ne signifie donc pas un affaiblissement de la sécurité

Confusion entre NAT et sécurité

  • L’idée selon laquelle l’IPv4 serait plus sûr parce qu’il utilise le NAT est une idée fausse
    • Le NAT n’est pas une fonction de sécurité, mais une technique d’économie d’adresses (address conservation)
    • On peut aussi utiliser le NAT avec l’IPv6, mais cela ne renforce pas la sécurité
  • Le NAT permet à plusieurs appareils d’un réseau interne de partager une seule adresse IP publique
    • Il effectue le routage en réécrivant (rewrite) l’IP de destination selon le port de destination du paquet
    • Il fonctionne suivant des règles de mappage de ports (port mapping) ou de redirection de ports (port forwarding) configurées par l’administrateur réseau

Fonctionnement réel du NAT

  • Dans un environnement NAT, le trafic entrant depuis l’extérieur n’est pas transmis à un appareil interne lorsqu’il possède un port de destination inattendu
    • Ce trafic reste sur l’équipement qui possède l’IP publique et n’est pas routé vers le réseau interne
  • Cela peut donner l’impression que le NAT bloque l’accès externe, mais ce n’est qu’un effet secondaire et non un objectif de conception en matière de sécurité

Le rôle du pare-feu

  • L’effet de sécurité souvent attribué au NAT provient en réalité du pare-feu à états (stateful firewall)
    • La plupart des routeurs modernes intègrent par défaut une politique de pare-feu qui bloque le trafic entrant, qu’ils utilisent ou non le NAT
    • Le pare-feu rejette (drop) le trafic vers des destinations inattendues avant même de réécrire ou de router les paquets
  • Par exemple, les règles par défaut du pare-feu IPv6 d’un routeur UniFi sont les suivantes
    • Autoriser le trafic Established/Related (trafic de réponse sortant)
    • Bloquer le trafic Invalid
    • Bloquer tout le reste du trafic

Sécurité dans un environnement IPv6

  • Même sur un réseau IPv6, les règles de pare-feu par défaut bloquent le trafic entrant non autorisé
    • Le même niveau de protection s’applique même sans NAT
  • Pour autoriser depuis l’extérieur un trafic non sollicité vers un appareil IPv6, il faut ajouter explicitement des règles de pare-feu
    • Cela s’applique de la même manière, qu’il y ait ou non usage du NAT

Conclusion

  • L’affirmation selon laquelle l’IPv6 serait moins sûr parce qu’il n’utilise pas de NAT est infondée
  • La sécurité réelle est déterminée non par le NAT, mais par les politiques de pare-feu et les règles de contrôle du trafic
  • Même dans un environnement IPv6, il est possible de maintenir une stratégie de sécurité default-deny grâce à une configuration appropriée du pare-feu

À lire aussi

Aucun commentaire pour le moment.

Aucun commentaire pour le moment.