Voilà des années que l'on parle et qu'on annonce l'épuisement des stocks d'adresses IPv4 aux Etats-Unis. On y est arrivé.
L'ARIN, qui gère les pools d'IPv4, a pour la première dû refuser une demande d'attribution de nouveaux blocks à une société dans le courant de la semaine dernière.

On passe donc dans une gestion de crise où l'ARIN va distribuer au compte-gouttes les IPv4 qui lui restent en fonction des besoins les plus pressants.

Il devient donc très urgent de passer à l'IPv6. Or, si certains s'y sont mis très tôt, d'autres traînent et tergiversent encore.
Au niveau des systèmes d'exploitation et des ordinateurs il n'y a pas de problèmes particulier. Il en va autrement pour d'anciens équipements réseau incompatibles et surtout d'opérateurs qui ne distribuent pas encore d'IPv6 à leurs clients.
Selon Google, la France, après un bon départ, s'est faite dépasser par de nombreux autres pays. Il faut dire que la situation est un peu moins critique chez nous et l'on a encore des stocks d'IPv4 pour tenir un petit moment. Il est toutefois temps de s'occuper réellement de cette transition plutôt que de devoir la gérer dans la précipitation.

Lien vers le billet original

Il y a quelques jours, j'ai activé l'IPv6 sur ma Freebox Revolution.
Depuis, il me semble que le débit moyen est un peu meilleur, par contre j'ai l'impression que la vidéos sur le wifi de ma Freebox sur mon iPhone est moins bon.

L'avance de la France en matière d'IPv6 vient surtout de son déploiement très tôt par free, depuis quels opérateurs ont fait le pas ?

Relire cet article de ZDnet sur le sujet: http://www.zdnet.fr/actualites/ipv6-en-a-p...rd-39818812.htm

Il faut penser plus globalement. À partir du moment où des demandes d'IPv4 ne sont plus satisfaites dans un pays, ça devient potentiellement un problème de ne pas avoir l'IPv6 quelque soit l'endroit où on est : ceux qui n'ont pas obtenu d'IPv4 seront accessibles uniquement en IPv6, d'où qu'on soit.

Possible en effet que dans certains cas les routes IPv6 soit différentes des routes IPv4 et soient moins encombrées. Mais ça peut aussi avoir parfois l'effet inverse.

Là y a sans doute aucun lien avec l'IPv6.

SFR et OVH côté gros opérateurs nationaux. Et un gros paquet de petits opérateurs. Orange prévoit de s'y mettre cette année, et l'option pour l'activer est déjà présente dans l'interface de configuration de la Livebox Play.


Par contre l'IPv6 semble parfois faire des siennes... Il y a peu j'ai fini par désactiver l'IPv6 de mon serveur OVH, car de nombreux utilisateurs n'arrivaient pas à accéder au site en IPv6

Salut,

Tu as pu identifier l'origine exacte du problème ?

Non, c'est pour ça que j'ai fini par désactiver complètement l'IPv6. J'ai pas une audience énorme, et les visiteurs occasionnels qui n'arrivent pas à accéder au site ne savent pas forcément comment me contacter pour me signaler le problème...

Sur un de mes domaines, j'ai un sous-domaine ipv4.domaine et un ipv6.domaine, qui résolvent respectivement uniquement en v4 et uniquement en v6, j'ai fait essayer à quelqu'un qui avait le problème de connexion au site, il arrivait bien à aller sur ipv4.domaine, pas sur ipv6.domaine, avec une connexion Free.
Sauf que dans le même temps, moi avec ma connexion Free j'arrivais bien à me connecter au deux...

Mais ce n'était pas non plus spécifique à son poste, parce que j'ai aussi reproduit plusieurs fois le problème sur ma connexion Free.

J'ai aussi constaté que le problème semblait moins fréquent avec des serveurs DNS alternatifs, mais en même temps j'ai du mal à comprendre la logique derrière ce constat. À la limite, que ça marche avec un serveur DNS ne donnant que des IPv4, je le comprendrais, mais tant que le DNS répond avec l'IPv4 et l'IPv6, je vois pas trop pourquoi un changement de DNS permettrait de résoudre le problème...

Et j'ai eu un témoignage d'un utilisateur qui avait le problème en n'étant ni en IPv6 ni chez Free... Mais c'est un témoignage unique, donc peut-être qu'il avait un autre problème...


Pour moi l'hypothèse la plus probable est un problème au niveau de l'interconnexion entre Free et mon hébergeur (OVH), mais c'est pas impossible non plus que le problème soit uniquement chez Free ou uniquement chez OVH (mais pas en interne en tout cas, car j'ai deux serveurs chez eux, dans deux datacenter différents, qui se pigent mutuellement toutes les 5 minutes en v4 et en v6 et je reçoit une alerte par mail en cas de non réponse).

Pour quand le support de l'IPv6 pour MacBidouille ?

De mon coté j'ai ajouté de l'IPv6 sur mes serveurs le mois dernier, rien à signaler, par contre j'me demande si j'vais pas tout passer en IPv6 only en ne gardant juste quelques load balancers / passerelles en IPv4...

Pour moi peu de choses sont matures pour IP v6, et c'est principalement le problème, incluant les outils, l'éducation tant des utilisateurs finals que des administrateurs systèmes, mais aussi la plupart des sites web et outils associés qui sont conçus pour IP v4 (ie: stockage de l'IP v4 du client, ou des IP v4 renvoyés par les proxy).

Et on sait déjà qu'il y a aura des impacts en termes de sécurité, sans pouvoir en mesurer exactement la portée, mais avec depuis longtemps des conseils pour le désactiver sur les routeurs à la maison pour éviter d'exposer ses devices connectés depuis l'extérieur.

Le passage à l'IP v6 se fait vraiment à reculons!

Si ton proxy / outil stocke une IPv4 pour une connexion, c'est que cette dernière n'est pas de l'IPv6... pour le reste je ne vois pas vraiment le problème ni ce qui n'est pas mature aujourd'hui (autre le fait d'avoir ou non de l'IPv6, ce qui n'est pas le cas de tous les FAI / hébergeurs).
Pour la sécurité, le NAT n'est pas une protection et que tu sois en v4 ou en v6 il est conseillé d'utiliser un firewall sur ton réseau ou sur ta machine (et si tu y tiens tu peux faire du NAT en v6)

Bref pour moi si le passage à l'IPv6 ne s'est pas encore fait, c'est plus par flemme des admin sys / réseau et un manque de besoin, mais bientot il sera "necessaire" pour un service/site d'être accessible en v6.
Le plus vite on passera en IPv6, le plus vite ou pourra abandonner l'IPv4 (bon ça va prendra du temps par contre ça)

Au passage :
- il y a des opérateurs mobiles full ipv6 dans certains pays
- bientot pour avoir un app sur iOS, il faudra que ton service soit compatible IPv6

Je pense que ce qu'il veut dire, c'est que certains outils ne sont pas adaptés pour stocker autre chose que de l'IPv4.
Par exemple, un outil de tracking/stats pourrait stocker l'adresse sous forme de chaîne limitée à 15 caractères où dans un int 32 bits, dans les deux cas ça va pas marcher avec une IPv6.

+1. Le NAT n'a jamais été conçu comme une protection, mais comme un moyen de palier certaines limitations de l'IPv4 (besoin de se faire attribuer des adresses, contourné via des classes d'adresses privées utilisables librement, mais nécessitant du coup un NAT pour accéder au réseau public).

Et en IPv6, il y a un mécanisme de sécurité prévu par la norme et activé par défaut sur la majorité des ordinateurs, qui consiste à avoir pour chaque machine au moins deux IPv6 publiques : une fixe, configurée par l'utilisateur ou par DHCPv6, utilisable pour recevoir des requêtes entrantes, une dynamique changée régulièrement et utilisée pour toutes les requêtes sortantes. Ainsi, l'adresse IPv6 visible lorsqu'on se connecte à un service distant devient rapidement inutilisable pour un attaquant, il faudrait qu'il connaisse l'IPv6 "fixe".

Sous Windows par exemple, une nouvelle IPv6 temporaire est générée à chaque initialisation de la stack IPv6 si la dernière IPv6 temporaire utilisée a été générée il y a plus de 24h, et une nouvelle est générée au bout de 7 jours si la stack IPv6 n'est pas réinitialisée. Ces valeurs peuvent être configurées, soit au niveau de l'OS, soit au niveau du routeur (le protocole Router Advertisement prévoit la possibilité de définir la durée de validité des IP temporaires).

Bah du moment que les fans assurent eux-même le support sur les forums, poru tous les utilisateurs à qui ça posera problèmes, et payent de leur propres deniers les surcout engendrés, incluant les cas d'attaques informatiques et tout ce qui s'y rapporte, moi je veux bien vous croire

Justement, en le prevoyant un peu c'est pas si difficule de mettre de l'IPv6 en plus de l'IPv4, il faut juste bousculer un peu ses habitudes et ne plus faire "comme on a toujours fait", c'est tout. L'IPv6 c'est pas vraiment différent de l'IPv4 en soi !
Après si le but est de migrer un parc entier du jour au lendemain en v6 juste pour migrer, ce n'est pas très interessant ok mais avec la première solution on se rend compte qu'un jour on a plus besoin de v4 en interne par ex (hormis quelques passerelles v4 en cas de besoin)

Tu penses que les Facebook, Google, Microsoft etc.. qui sont compatibles IPv6 le font pour s'amuser par ce qu'ils sont fans ? Que la plupart des OS le supportent parce qu'ils ont du temps à perdre pour développer des features inutiles ? Que les opérateurs le déploient pour faire cool ? :-)

Chez Bouygues Télécom, le déploiement ipv6 est prévu courant 2016 (sauf sur les abonnés fibre via le réseau de Numéricable).

+1. Et faut pas oublier avant de parler de "surcoût engendré" que le coût d'un réseau ne se limite pas à son déploiement...
IPv4 n'a pas été conçu pour des réseaux aussi massifs que ceux qu'on a actuellement, alors qu'IPv6 a été conçu dans cette optique, avec du coup des optimisations pour réduire la capacité de calcul nécessaire au niveau des routeurs : plus de checksum dans les en-tête (en IPv4, l'en-tête comporte un checksum, mais comme l'en-tête change à chaque traversée de routeur, ce checksum doit être recalculé par chaque routeur...), plus de découpage des gros paquets par les routeurs (c'est à l'émetteur de faire le découpage), en-tête de taille fixe, MTU maximal plus élevé (plusieurs centaines de Mo au lieu de 64 Ko), simplification de la mise en œuvre du multicast... Et le NAT, ça a un coût aussi au niveau du routeur...
Bref, il y a un coût pour la migration vers l'IPv6, mais à terme, ça se traduira par des économies à l'usage.

Je peux vous citer quand les gens ici vont avoir des problèmes, incluant le piratage? Juste comme ça

Franchement tu tournes au troll IPv6 là... les gens en IPv4 sont sécurisés et ne se font pas hacker d'après toi ?
Après si tu y tiens vraiment tu peux faire du NAT en IPv6... (même si encore une fois niveau sécu ça change pas grand chose et que si on peut éviter de le faire, ce qui est un des avantages de l'IPv6, il faut mieux éviter !)

Que ce soit en v4 ou en v6, si tu veux sécuriser ta connexion internet il te faudra un firewall !

C'est vrai, le piratage a attendu l'IPv6 pour commencer

D'ailleurs, faudrait pas aussi bannir l'IP fixe et les connexions permanentes pour réduire les risques de piratage ? Revenons au temps du RTC, avec des connexions qui sautent trois fois par heure et l'IP qui change à chaque connexion, là au moins on craignait rien


L'IPv6 n'est pas fondamentalement moins sécurisé que l'IPv4.

Et avec le système d'IPv6 temporaire, il peut même l'être plus dans certains cas... Par exemple, quand tu as une box en mode bridge (ou avec une DMZ activé... le truc que plein de gens pas connaisseurs font parce que c'est plus simple que de rediriger des ports...) et une IP fixe (en France, ça concerne au moins 25% des abonnés Internet...), en IPv4 tu laisses trainer ton IP partout où tu te rends, et ça pourra intéresser des gens qui veulent te nuire, surtout qu'il est facile de savoir qu'il s'agit d'une IP fixe et donc que c'est toujours la même personne qui est derrière. En IPv6, avec la configuration par défaut d'au moins 90% des ordinateurs, l'IP que tu laisses trainer partout est une IPv6 temporaire, qui change à chaque redémarrage de l'ordinateur et au minimum une fois par semaine. Et ce, sans perdre le bénéfice de l'IP fixe si tu veux faire de l'auto-hébergement (tu as toujours une IP fixe qui te permet de te connecter à distance à ton ordinateur, c'est juste que c'est pas celle là que tu communiques aux serveurs quand tu es le client...).

Et retrouver l'IPv6 fixe à partir de la temporaire, c'est quasiment impossible... Si ton opérateur t'attribue un bloc IPv6 en /64 (ce qui est le cas en France avec Free et devrait être le cas chez la majorité des opérateurs grand public, vu que c'est la taille minimale préconisée par la norme), tu as 2^64 adresses disponibles pour ton réseau local. Même en tenant compte des quelques adresses spéciales, c'est absolument impossible de trouver ton IPv6 fixe à partir de là, le nombre d'adresses à tester est beaucoup trop grand (4 milliards de fois le nombre total d'adresses IPv4...). Bon, faut éviter de faire du ::1, ::2, etc... mais ça tombe bien, là encore par défaut les suffixes d'adresse sont construits à partir de l'adresse MAC, donc pas facile à deviner, sachant que l'adresse MAC est totalement invisible pour un utilisateur extérieur au réseau local). Et comme IPv6 est plutôt bien foutu, tu peux définir des adresses IPv6 locales simples (si tu veux pouvoir accéder facilement à tes machines sur le réseau local sans avoir à les nommer), tout en gardant des IP externes non triviales : il suffit d'utiliser des adresses en fc00. Sur mon réseau local, j'accède ainsi facilement à mes machines (fc00::3 pour mon HTPC par exemple... c'est encore plus rapide à taper que son 192.168.84.3 en IPv4), mais par contre son adresse IPv6 fixe externe n'est pas <mon /64 IPv6>::3.


Tiens, poussons l'exemple encore un peu plus loin... Imaginons un père de famille qui a une connexion en IPv4 fixe, et qui a sur cette IP un serveur web/mail, en redirigeant via NAT les ports qui vont bien vers son serveur domestique. Pas de chance, ce père de famille un a fils un peu Kevin qui traîne sur des forums peu recommandable et s'y fait remarquer par son comportement, au point d'énerver les propriétaires (tout aussi peu recommandables) de ces forums. Comme ces propriétaires tracent les IP des utilisateurs, ils peuvent s'amuser à aller attaquer cette IP, tombant ainsi sur le serveur du papounet, qui ne résistera pas bien longtemps s'il n'est pas correctement sécurisé et à jour.
En IPv6, ce scénario est facile à parer. Les propriétaires du forum n'auront que l'IPv6 temporaire du PC de Kevin... Et si par malheur le serveur et le PC avec lequel Kevin va sur son forum ne font qu'un (ça arrive dans un contexte familiale, la machine allumée 24h/24 qui fait office de serveur et de PC partagé...), comme c'est que l'IPv6 temporaire, ça ne leur permet pas d'accéder au serveur web/mail du papa, qui aura pris garde de ne mettre les services en écoute que sur l'IPv6 fixe (soit en configurant une adresse d'écoute sur chaque service, soit en bloquant au niveau du firewall tout le trafic entrant sur autre chose que l'IPv6 fixe), pas sur l'IPv6 temporaire...

En clair, avec le système d'IPv6 temporaire et des services en écoute uniquement sur l'IP fixe, l'IPv6 vue par les serveurs distants auxquels un utilisateur se connecte a la même utilité que l'IPv4 d'un réseau naté sur lequel AUCUNE redirection de port et aucune DMZ ne sont configurées. Sauf que dans le cas de l'IPv4, cette situation implique de n'héberger aucun service accessible de l'extérieur sur ce réseau naté, alors qu'en IPv6 on peut quand même avoir des services accessibles depuis l'extérieur, c'est simplement qu'ils le sont uniquement via une autre adresse, qui n'est pas communiquée aux serveurs auxquels on se connecte. Et comme le système d'IPv6 temporaire est le comportement par défaut sur une écrasante majorité des machines (certain pour Windows hors serveurs, également sous Android (depuis la 4.0), à priori aussi pour OS X, et donc probablement aussi sous iOS), la configuration par défaut d'IPv6 te donne le même niveau de "sécurité" (si tu considères le NAT comme de la sécurité...) qu'un NAT IPv4 : certes, l'IP vue de l'extérieur permet d'adresser directement ta machine, mais comme il n'y a absolument rien en écoute dessus, c'est pas un problème...

Eh bien vu les conseils de désactiver l'IP v6 sur les bornes Wifi Apple, pour protéger ses machines à l'intérieur de son réseau, on pourrait penser que ce n'est pas si simple. Et que ton bon conseil avec un Firewall sous pfSense (par exemple), un routeur avec des réseaux virtuels, bien sur si tu as une appliance accessible de l'extérieur, rajouter un autre Firewall dédié et bien sur un WAP (Web Application Firewall), je pense que tu vas devoir l'expliquer à ma mère (77ans) qui veut juste consulter le web et lire ses emails, puis partager les photos de famille.

Tu ne penses pas que tu es décalé de la réalité de la majorité des utilisateurs?

Je suis content que tu te sentes à l'aise avec ça, je ne le suis pas, pourtant j'ai du architecturer et protéger des très gros sites, et je ne pense pas que la majorité des utilisateurs de Mac présents ici soient au courant ni puisse faire face aux modifications nécessaires, pour garder le même niveau de sécurité (ou d'insécurité).

PS: Ce qui a toujours, de tout temps, été le pire des trous de sécurité, c'est l'arrogance de celui qu'il pense qu'il sait. De nombreux sites ont été hackés grâce à des Security Ass-Hole qui pensait être en sécurité. Et j'ai été des deux coté de la barrière.

Ce message a été modifié par iAPX - 7 Jul 2015, 00:29.

Et penser qu'un NAT c'est de la sécurité, tu en penses quoi ?

À quelques pouillèmes près, toutes les attaques qui ciblent le profil de ta mère qui veut juste consulter le web et lire ses mails, ce sont des attaques par malwares diffusés par mail ou via des sites web. Donc NAT ou pas NAT, IPv4 ou IPv6, ça ne change rien. L'attaque vient de l'intérieur et trouvera un moyen de sorti (c'est toujours plus facile de sortir que de rentrer).

J'ai eu pendant des années une VM Windows 7 en configuration par défaut en DMZ de mon IPv4 fixe (seuls quelques ports étaient redirigés vers d'autres machines, parce que j'en avais besoin pour me connecter à ces machines), juste pour voir... J'ai jamais trouvé la moindre trace d'activité suspecte sur cette VM. Parce que y a vraiment pas grand monde qui tente des attaques aléatoires sur des IP de particuliers, y a trop peu à y gagner par rapport à la lourdeur de la tâche... Soit on vise une personne en particulier, parce qu'on a des raisons de la viser, et là un NAT ne protègera pas plus qu'une IPv6 temporaire, soit on vise personne en particulier et on attaque plutôt de l'intérieur avec des malwares.

C'est bien ce que je disais, tu es un troll anti IPv6 et je suis vraiment désolé que ta mère ait loupé ce coche, elle qui arrive visiblement parfaitement à sécuriser son ordi en IPv4 c'est con qu'elle ne maitrise pas un peu plus l'IPv6 par ce qu'un peu plus elle pourrait switcher !

Quand tu parles d'arrogance... rassure moi tu parles de toi ? Parce qu'à te lire on a simplement l'impression que tu ne connais pas l'IPv6 (outre le fait de savoir le désactiver ) et que tu n'as jamais vraiment joué avec, parce que n'importe quel admin sys / réseau qui aura bien fait son taff n'affirmerait pas que l'IPv6 est "moins sécurisé" que l'IPv4 ou que c'est fondamentalement plus compliqué, sauf si il veut troller !

Les implémentations me paraissent moins matures, les implémentations.
Mais tant que l'IP v6 ne sera pas massivement utilisé, on n'aura pas de vision sur les risques réels à grande échelle, ni sur l'ingéniosité des attaquants à exploiter le protocole lui-même.

Traiter quelqu'un de Troll car il n'est pas du même avis est un peu limitant non?

Si tu justifiais un peu ton avis je ne te traiterais pas de troll ! (après si tu préfères je peux faire comme toi et te traiter d'incompétent ?)
Pour l'instant on a l'argument du NAT qui n'en est pas un (et qui existe aussi en v6 si tu veux en faire) et un resenti : "les implémentations me paraissent moins matures" qui va à l'encontre de ce qu'on voit aujourd'hui : pas de problèmes particuliers pour Facebook, Microsoft, Google et pas mal d'opérateurs !

Et chez les particuliers lambda ça se passe comment???

Et dans la plupart des sites qui fonctionnent en IP v4, ça se passe comment?

Le particulier lambda, il n'a pas trop à se poser de questions. Pour ce qu'il en fait, sa connexion marche pareil en IPv4 et en IPv6.

Le particulier un peu moins lambda, qui commence à toucher avec les "ouvertures de port" de son NAT, il a juste à faire la même chose. C'est juste que s'il a pas de NAT, au lieu d'ouvrir les ports en créant des redirections dans la configuration du NAT, il va ouvrir les ports en configurant le firewall pour qu'il laisse passer les requêtes entrantes vers tel port de telle machine. Aucune complexité supplémentaire, tu dois renseigner un numéro de port, un protocole de transport (TCP/UDP) et une machine destination, exactement comme avec un NAT. C'est juste qu'au lieu de s'appeler "Redirections de port", ça va s'appeler "Firewall", et éventuellement ça se configurera localement sur chaque poste concerné au lieu d'être regroupé dans l'interface du routeur (mais techniquement rien n'empêche de le faire au niveau routeur).

Et en fait, même pour ça, l'IPv6 peut simplifier les choses... Par exemple, le particulier lambda qui a deux PC Windows et qui veut pouvoir y accéder en Remote Desktop (RDP), aujourd'hui il doit faire une redirection "complexe", avec PAT en plus du NAT : comme les deux serveurs RDP écoutent sur le même port n, il faut au niveau du routeur faire une translation de port, pour rediriger le port n1 vers le port n du premier PC et le port n2 vers le port n du second PC. Et quand il veut se connecter à distance, il doit spécifier la même adresse quelque soit la machine ciblée, en précisant le bon port. Ce qui n'est pas logique.

En IPv6, il ouvre le port n vers chacun des PC, et il se connecte avec une adresse différente pour chaque PC. Bien plus logique.

IPv6 et IPv4 ne sont pas exclusifs, on peut utiliser les deux en parallèle sur une même interface réseau. On peut donc avoir de l'IPv6 tout en continuant d'accéder en IPv4 à des sites accessibles uniquement en IPv4.

Et une machine connectée physiquement uniquement en IPv6 peut également accéder à des machines connectées uniquement en IPv4 via un tunnel et une passerelle (et inversement, une machine IPv4 peut utiliser un tunnel + passerelle IPv6 pour adresser des machines IPv6).


Tiens, un autre exemple de sécurité que peut apporter l'IPv6 : aujourd'hui, du fait du nombre d'adresses IPv4 disponibles, il y a parfois des centaines de sites web qui se partagent une même IPv4. Et il y a des sites qui recensent les sites partageant une même IP. Si deux sites sont accessibles via la même IPv4 et le même port, tu as une très très forte probabilité que les deux tournent sur le même OS/serveur web (cas général, pas de reverse proxy). Ce qui veut dire que si tu veux attaquer un site donné, tu peux avoir une surface d'attaque (et donc des failles potentielles) bien plus large, en regardant du côté des autres sites hébergés sur la même IP.
Avec IPv6 et son nombre d'adresses disponibles "illimité", ce n'est plus un problème d'attribuer une adresse IP différente à chaque site, même s'ils sont sur un même serveur...

Par extension, ça simplifie aussi grandement l'isolation entre sites hébergés sur un même serveur. Aujourd'hui, si tu as cinquante sites à héberger sur un même serveur, si tu veux les isoler (donc une VM par site), soit il faut utiliser un port différent pour chaque site (inenvisageable, puisque ça rend la majorité des sites inaccessibles en tapant juste leur nom de domaine, voir même complètement inaccessibles sur certains réseaux d'entreprise avec des proxy filtrant sur le port plutôt que le protocole...), soit il faut mettre en place un reverse proxy (ce qui n'est pas sans impact sur les performances, voir parfois sur le bon fonctionnement de certains applicatifs, et qui peut vite devenir un casse-tête à configurer) soit il faut avoir 50 adresses IP. La deuxième solution est beaucoup plus simple à mettre en place et plus performante. Et beaucoup plus facile à envisager en IPv6, avec des milliards de milliards d'adresses disponibles, qu'en IPv4 où les adresses libres sont une denrée de plus en plus rares.

Encore une autre. Tu as un serveur chez un héberger, dans une gamme de prix où tu n'as droit qu'à une IP (ce qui veux dire en général qu'en v6 tu as un /64...). Comment tu fais si tu veux servir une partie du contenu avec Apache et une partie avec nginx sans utiliser deux ports différents ? En IPv4, tu dois, là encore, monter un reverse proxy (qui peut être nginx, jouant les deux rôles) qui va forwarder ce qu'il faut vers Apache (surcoût en ressources et en temps de traitement). En IPv6 tu met Apache en écoute sur une IP de ton /64, nginx en écoute sur une autre, et c'est réglé.

Bref, les "surcoûts engendrés" par IPv6, dans énormément de cas d'usage courant, ce sont des "surcoûts négatifs". Avec en prime des avantages côté sécurité...

Comment il fait un particulier aujourd'hui avec l'IPv4 ?? Le particulier lambda ne sait pas ce que c'est qu'une IP, alors une IPv4 ou IPv6 ça ne lui changera pas grand chose
Comme le fait remarquer SartMatt, un particulier il branche et c'est tout !


Pour un site qui ne fonctionne qu'en v4... bah ça ne fonctionne qu'en v4 même si il existe des solutions : double stack, tunnels etc..

Comme je le disais plus haut, je pense que le plus gros problème de l'IPv6 aujourd'hui, c'est la flemme des admin sys / réseau et leur ignorance / réticence à regarder quelque chose de "nouveau".
Et de dire aujourd'hui que l'IPv6 est inutile / compliqué / pas sécurisé etc.., j'appelle ça troller ou ne pas maitriser le sujet !

De ce que je comprends, on a donc 2 solutions :
- soit le modem/routeur, fourni par le FAI, propose un firewall en IPv6 de façon à ouvrir les ports vers telle ou telle machine en IPv6 => est-ce déjà le cas sur les box ? Je ne me souviens pas avoir vu ça, à moins que le réglage du NAT sur les box opérateurs font les 2 "en même temps" ?
- soit toutes les machines du réseau local doivent être équipées d'un firewall afin de parer à tout attaque potentielle (même si la probabilité est trèsproche de 0).

J'ai bon ?

Presque.

Il y a bien ces deux solutions (et, par exemple, la Freebox n'a effectivement pas de firewall), qui règlent déjà très bien le cas de l'écrasante majorité des ordinateurs (puisque le firewall, ça fait aujourd'hui partie des composants de base d'un OS).

Il y a aussi une troisième solution, comme ça a été dit plus haut : faire du NAT en IPv6. C'est tout a fait possible. Les IPv6 ne sont pas toutes routables, il y a des plages réservées à un usage local (le adresses en fc00 par exemple), comme c'était le cas en v4 (les 192.168.* par exemple). On peut donc avoir un réseau local IPv6 avec une passerelle NAT qui serait le seul poste du réseau à disposer d'une adresse IP publique, exactement comme avec un réseau local IPv4 NATé. Et à partir de là, faire des redirections de ports pour ce qu'on veut ouvrir vers l'extérieur. Comme en IPv4.

En effet, j'ai oublié cette possibilité.
Mais je ne me souviens pas avoir vu non plus d'interface NAT IPv6 associée à un DHCP local IPv6 (afin d'attribuer des IPs non routables sur le réseau local) sur les box des FAI. Bref, si les possibilités techniques sont là, la mise en oeuvre n'est quand même pas triviale sur l'essentiel des box utilisées par nos FAI.

Yep. Mais ce n'est pas un problème de norme. C'est un problème de manque de motivation des opérateurs à faire leur boulot correctement...

J'ai bien peur que comme trop souvent, au lieu d'anticiper et de prendre le temps de faire les choses bien, ça va être fait à l'arrache quand on sera au pied du mur... Ça doit faire pas loin de 10 ans que des opérateurs proposent de l'IPv6, c'est quand même lamentable qu'un gros opérateur comme Orange ou Free n'ait pas encore une solution digne de ce nom à ce niveau (voir pas de solution du tout dans le cas d'Orange, qui n'a toujours pas activé l'IPv6).