> Michel Py a écrit : > Si je devine correctement, c'est une des craintes que Laurent devait avoir > dans son billet original.
> Laurent Barme a écrit : > C'est tout à fait ça ! > Mais j'ignorais que le /64 était officiellement prévu par machine ; merci > pour l'information ! C'est comme ça depuis 25 ans. Faudrait chercher profond pour en retrouver l'origine, mais le subnet de base en IPv6 est un /64, et il y a des FAI qui donnent des /56 à leur machinbox, tout ce qui est à droite c'est à toi. IPv4 : ta machine est dans un subnet /24, tu as donc 2^8 (32 - 24) (moins celles déjà utilisées) adresses dispo si tu veux changer d'adresse. IPv6 : ta machine est dans un subnet /64, tu as donc 2^64 (128 - 64) (moins celles déjà utilisées) adresses dispo si tu veux changer d'adresse. > Du coup, cela ne fait plus que 2^(128 - 29 - 64) soit 1225 tickets d'attaque > par /29 gratuits ; ouf ! Hélas non, ça fait toujours 2^(128 - 29), les 64 bits de droite étant disponibles :-( (à moins de bloquer dès le départ à /64). Et puis, même si ça n'était "que" 2^(128 - 29 - 64), ça ferait quand même 2^35 soit 34.359.738.368, suffisamment pour exploser ta blacklist. Un PC peut se reconfigurer lui-même, peut-être pas avec complètement 2^64, mais suffisamment pour être trop énorme pour suivre. Je n'y connais pas vraiment grand-chose, faudrait regarder dans les environs de ça : https://tools.ietf.org/html/rfc4941 > (Par contre je ne comprends par comment cela pourrait préserver la vie privée > de changer d'adresse dans une plage /64). C'est une histoire de suivi (tracking) et de corrélation. Tout comme les cookies, big data suis ton adresse IP. Exemple typique : je suis en train de surfer dur mon PC, et le peu de pub qui passe à travers sont à propos de switch, d'optiques, ou autres. Ma femme achète un sous-tif en ligne (de son PC, pas du mien), et bam tout d'un coup les pubs que je reçois sont de la lingerie féminine. Comment tu crois que ça arrive ? On est tous les deux derrière NAT sur la même IP publique. Big data. Vu que avec IPv6 soi-disant il n'y a pas de NAT, chaque PC serait (en plus de l'IP de la famille) identifiable individuellement, l'adresse IPv6 étant une fonction de l'adresse MAC (les 64 bits de droite). Ce qui permettrait un suivi encore plus pointu et les GAFA de mettre leur nez encore plus profond. L'idée c'était donc que, dans la plage du subnet local /64, l'adresse du PC change régulièrement, ce qui en théorie empêcherait le tracking. Sauf que il y a tellement de méthodes pour tracker que l'utilité est douteuse. Michel. --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
