Extensions de confidentialité IPv6 : arrêtez le suivi d'adresses

Quand vous vous connectez à un réseau avec IPv6, votre appareil pourrait diffuser un identifiant permanent dérivé de l'adresse MAC de votre carte réseau. Cela vous rend traçable à travers différents réseaux et sites web.

Le problème de confidentialité#

Le schéma d'adressage IPv6 original utilise EUI-64 pour générer des ID d'interface depuis les adresses MAC. L'adresse MAC de votre carte réseau 00:1a:2b:3c:4d:5e devient partie de votre adresse IPv6 comme 021a:2bff:fe3c:4d5e.

Voici comment fonctionne la conversion :

Adresse MAC :       00:1a:2b:3c:4d:5e
Insérer FF:FE :     00:1a:2b:ff:fe:3c:4d:5e
Inverser 7e bit :   02:1a:2b:ff:fe:3c:4d:5e
ID d'interface :    021a:2bff:fe3c:4d5e

L'inversion du 7e bit (bit universel/local) fait partie du standard EUI-64. Le 00 devient 02 car ce bit indique si l'adresse est globalement unique.

Cela crée plusieurs problèmes :

• Suivi inter-réseaux : votre appareil porte le même ID d'interface que vous soyez à la maison, dans un café ou sur WiFi public
• Identification persistante : les sites web peuvent corréler les visites au fil du temps, même si vous effacez les cookies
• Divulgation d'adresse MAC : votre identifiant matériel est exposé dans chaque paquet

Contrairement au NAT d'IPv4 qui cache les adresses internes, IPv6 assigne généralement des adresses routables globalement directement aux appareils. Sans extensions de confidentialité, vous diffusez le même identifiant partout.

Comment fonctionnent les extensions de confidentialité#

RFC 4941 (mis à jour par RFC 8981) introduit des adresses temporaires qui remplacent les adresses dérivées d'EUI-64. Au lieu d'utiliser votre adresse MAC, votre appareil génère des ID d'interface aléatoires.

Le mécanisme crée deux types d'adresses :

Adresse stable : générée depuis votre MAC ou une graine aléatoire. Utilisée pour les connexions entrantes et reste cohérente pour le réseau. Non utilisée pour le trafic sortant.

Adresse temporaire : générée aléatoirement, utilisée pour les connexions sortantes, tourne périodiquement (typiquement toutes les 24 heures sur la plupart des systèmes).

Quand vous naviguez sur le web ou faites des connexions sortantes, votre OS utilise l'adresse temporaire. L'adresse stable reste disponible pour les services qui doivent atteindre votre appareil.

Votre appareil maintient plusieurs adresses IPv6 simultanément :

2001:db8:1234:5678:021a:2bff:fe3c:4d5e  # Stable (EUI-64 ou privé stable)
2001:db8:1234:5678:a4b2:c9d1:e3f4:5a6b  # Temporaire (actuellement active)
2001:db8:1234:5678:1234:5678:9abc:def0  # Temporaire (dépréciée, expirant)

La rotation se produit automatiquement. Les anciennes adresses entrent dans un état « déprécié » avant d'expirer complètement, garantissant que les connexions actives ne cassent pas.

Activer les extensions de confidentialité#

Windows#

Les extensions de confidentialité sont activées par défaut sur Windows depuis Vista. Vérifiez avec PowerShell :

Get-NetIPv6Protocol | Select-Object UseTemporaryAddresses

La sortie 2 signifie activé pour les connexions sortantes. Configurez manuellement :

# Activer les adresses temporaires
Set-NetIPv6Protocol -UseTemporaryAddresses Enabled
 
# Désactiver (non recommandé)
Set-NetIPv6Protocol -UseTemporaryAddresses Disabled

Vérifiez vos adresses actuelles :

Get-NetIPAddress -AddressFamily IPv6 -PrefixOrigin RouterAdvertisement

Les adresses temporaires montrent des valeurs de durée de vie Preferred qui décomptent.

macOS#

Activé par défaut sur macOS moderne. Vérifiez :

sysctl net.inet6.ip6.use_tempaddr

Retourne 1 si activé. Configurez avec :

# Activer
sudo sysctl -w net.inet6.ip6.use_tempaddr=1
 
# Rendre permanent
echo "net.inet6.ip6.use_tempaddr=1" | sudo tee -a /etc/sysctl.conf

Durée de vie d'adresse temporaire (en secondes) :

sysctl net.inet6.ip6.temppltime  # Durée de vie préférée
sysctl net.inet6.ip6.tempvltime  # Durée de vie valide

Linux#

La configuration varie selon la distribution. La plupart des distributions modernes activent les extensions de confidentialité par défaut, mais vérifiez :

sysctl net.ipv6.conf.all.use_tempaddr

• 0 = désactivé
• 1 = activé, préférer adresses publiques
• 2 = activé, préférer adresses temporaires (recommandé)

Activer correctement :

sudo sysctl -w net.ipv6.conf.all.use_tempaddr=2
sudo sysctl -w net.ipv6.conf.default.use_tempaddr=2

Rendre permanent en éditant /etc/sysctl.conf ou en créant /etc/sysctl.d/99-ipv6-privacy.conf :

net.ipv6.conf.all.use_tempaddr = 2
net.ipv6.conf.default.use_tempaddr = 2

Appliquer les changements :

sudo sysctl -p

Vérifier les adresses actives :

ip -6 addr show scope global

Les adresses temporaires sont marquées avec le drapeau temporary et montrent les valeurs preferred_lft et valid_lft.

Appareils mobiles#

iOS : extensions de confidentialité activées par défaut depuis iOS 4.3. Aucune configuration utilisateur disponible.

Android : activé par défaut sur Android 8.0+. Les versions antérieures peuvent utiliser des adresses stables. Vérifiez dans Paramètres → À propos → État, bien que vous ne puissiez généralement pas désactiver les extensions de confidentialité.

Quand NE PAS utiliser les extensions de confidentialité#

Les extensions de confidentialité cassent les scénarios nécessitant des adresses stables :

Serveurs et services : si vous exécutez un serveur web, un démon SSH ou tout service nécessitant des connexions entrantes, désactivez les extensions de confidentialité ou configurez le service pour se lier spécifiquement à l'adresse stable.

# Linux : désactiver pour interface spécifique
sudo sysctl -w net.ipv6.conf.eth0.use_tempaddr=0

Enregistrements DNS : vous ne pouvez pas pointer le DNS vers une adresse rotative. Les serveurs ont besoin d'IP stables.

Équipement réseau : routeurs, pare-feu et infrastructure réseau doivent utiliser l'adressage stable pour la gestion.

Règles de pare-feu : si vous mettez en liste blanche des adresses spécifiques, les adresses temporaires casseront quand elles tournent.

Journalisation et surveillance : corréler les journaux à travers les changements d'adresse devient difficile. Pour les réseaux internes où la confidentialité n'est pas une préoccupation, les adresses stables simplifient le dépannage.

Au-delà des extensions de confidentialité#

Les extensions de confidentialité ne protègent que l'ID d'interface. Votre préfixe /64 révèle toujours votre FAI et votre emplacement général. Mesures supplémentaires :

VPN avec support IPv6 : tunnelise tout le trafic à travers l'espace d'adressage IPv6 du fournisseur VPN. Vérifiez que votre VPN route réellement le trafic IPv6 ; beaucoup désactivent complètement IPv6, ce qui fuit votre vraie adresse IPv6.

Testez les fuites sur test-ipv6.com pendant que vous êtes connecté à votre VPN.

Rotation de préfixe : certains FAI font tourner votre préfixe /64 périodiquement. C'est rare et pas standardisé. La plupart des connexions résidentielles gardent le même préfixe indéfiniment.

Tor : Tor supporte IPv6 aux nœuds de sortie, mais beaucoup de relais sont IPv4-only. Votre trafic peut sortir en IPv4 même si vous avez de la connectivité IPv6.

NAT66 : la traduction d'adresse réseau pour IPv6 existe mais casse le principe de bout en bout et est controversée. Non recommandé.

La combinaison la plus pratique : extensions de confidentialité activées sur les appareils clients + VPN pour masquage d'adresse complet quand nécessaire.

Vérifiez votre posture de confidentialité actuelle en visitant ping6.net et en notant si votre ID d'interface change au fil du temps (il devrait avec les extensions de confidentialité activées).

Les extensions de confidentialité sont une mesure de sécurité de base qui devrait être activée sur tous les appareils clients. Elles ne sont pas une protection parfaite, mais elles éliminent le vecteur de suivi le plus évident dans l'adressage IPv6.

Articles connexes#

• Bonnes pratiques de sécurité IPv6 - Protégez votre réseau contre les menaces spécifiques IPv6
• DHCPv6 vs SLAAC - Comprendre l'attribution d'adresses et les implications de confidentialité