[Toulibre] IPv6 et MAC adress

Lcaracol lcaracol at riseup.net
Ven 26 Juin 16:13:26 CEST 2020 

Le Fri, 26 Jun 2020 13:34:16 +0000,
Adrien Destugues via Toulouse-ll <toulouse-ll at toulibre.org> a écrit :

> 26 juin 2020 15:03 "Lcaracol via Toulouse-ll"
> <toulouse-ll at toulibre.org> a écrit:
> 
> > Le Fri, 26 Jun 2020 13:28:45 +0200,
> > Lcaracol via Toulouse-ll <toulouse-ll at toulibre.org> a écrit :
> >   
> >> Le Fri, 26 Jun 2020 06:17:42 +0000,
> >> Adrien Destugues via Toulouse-ll <toulouse-ll at toulibre.org> a
> >> écrit :
> >> 
> >> Donc:
> >> - Oui, une adresse IPv6 peut contenir l'adresse MAC
> >> - Mais, non, une telle adresse ne circulera pas sur Internet.
> >> 
> >> C'est ton dernier mot?
> >> Tu es vraiment prêt à miser ce que tu as de plus précieux là
> >> dessus?  
> >   
> 
> Pour être un peu plus précis:
> - L'adresse link-local qui utilise (toujours) l'adresse MAC ne
> circule pas sur internet, c'est une adresse locale.
> - Il est possible d'attribuer une adresse "globale" (visible sur
> internet) à partir de l'adresse MAC. Ceci, dans 2 cas:
>   * Un serveur DHCP du réseau auquel on se connecte,
>   * Par la méthode SLAAC, ou c'est la machine qui choisit toute seule
> son adresse IPv6 (puis vérifie qu'elle n'est pas utilisée par
> quelqu'un d'autre)
> 
> Dans le cas du DHCP:
> Ça dépend de la configuration du serveur DHCP. En principe, rien ne
> l'empêche d'utiliser l'adresse MAC, mais il n'y a pas spécialement de
> raison pour qu'il le fasse non plus. Cela dit je ne peux pas garantir
> la configuration de tous les serveurs DHCP de l'univers.
> 
> Dans le cas de SLAAC:
> - La solution utilisant l'adresse MAC était la première proposée,
> mais le problème de confidentialité que cela pose a été depuis
> corrigé. C'est encore récent: une RFC de 2017 recommande de ne plus
> utiliser cette méthode (source:
> https://fr.wikipedia.org/wiki/IPv6#Attribution_des_adresses_IPv6 )
> - L'autre solution est d'utiliser un nombre aléatoire.
> 
> L'avantage avec SLAAC c'est que chaque machine qui se connecte se
> débrouille toute seule pour choisir son adresse. Par exemple dans le
> cas de Debian, c'est bien une valeur aléatoire qui est utilisée
> (source:
> https://debian-handbook.info/browse/fr-FR/stable/sect.ipv6.html). Là
> aussi, je ne peux pas garantir la bonne configuration de toutes les
> machines IPv6 existantes. 

Ça veut dire que jusqu'en 2017, tous les Monsieurs et Madame Michu du 
monde on fait circuler à travers le vaste internet l'adresse MAC de 
leurs appareils (TV et autres) qui fonctionnaient avec un système 
Linux réglé par défaut sur l'attribution SLAAC par EUI-64 de l'IID 
contenu dans les 64 derniers bits de leurs adresses IPv6?

J'imagine que les appareils achetés avant 2017 ne sont pas tous 
forcément mis à jour. Surtout si "Deprecated" ne veut pas vraiment 
dire "Forbidden".

Ce lien de 2013 me semble suggérer qu'à l'époque tous les OS à part 
Windows utilisait un IID généré avec l'EUI-64:

  http://jaredheinrichs.com/windows-ipv6-eui-64-fix.html

  " So, here’s how to make Windows behave as per every other OS… "

Un bon point pour Windoz finalement.

> Mais c'est facile à vérifier en regardant
> si les derniers chiffres de l'adresse IPv6 et de l'adresse MAC sont
> identiques, et à corriger le cas échéant (ajout de l'option privext
> dans /etc/network/interfaces pour Debian par exemple, voir le lien
> ci-dessus). Et une fois la machine configurée, le problème ne se pose
> plus.
> 

Dans ce cas un moyen de le savoir supplémentaire est d'après le lien 
de formip que les octets 5 et 6 en partant de la fin devraient avoir 
toujours la valeur ":FFFE:". Qui serait un trait distinctif de ces 
IID générés par EUI-64. Et ensuite les 4 derniers octets sont donc 
ceux de la fin de la MAC.

Plus d'informations sur la liste de diffusion Toulouse-ll