Bonjour, On 26/04/2021 22:02, Michel Py via frnog wrote: >> Michel Py a écrit : >> [...] > Hélas non, ça fait toujours 2^(128 - 29), les 64 bits de droite étant > disponibles :-( (à moins de bloquer dès le départ à /64). > Et puis, même si ça n'était "que" 2^(128 - 29 - 64), ça ferait quand même > 2^35 soit 34.359.738.368, suffisamment pour exploser ta blacklist. > Un PC peut se reconfigurer lui-même, peut-être pas avec complètement 2^64, > mais suffisamment pour être trop énorme pour suivre. > Je n'y connais pas vraiment grand-chose, faudrait regarder dans les environs > de ça : > https://tools.ietf.org/html/rfc4941
C'est désormais la RFC8981 qui la remplace totalement https://tools.ietf.org/html/rfc8981 "Temporary Address Extensions for Stateless Address Autoconfiguration in IPv6" >> (Par contre je ne comprends par comment cela pourrait préserver la vie >> privée de changer d'adresse dans une plage /64). > > C'est une histoire de suivi (tracking) et de corrélation. Tout comme les > cookies, big data suis ton adresse IP. Exemple typique : je suis en train de > surfer dur mon PC, et le peu de pub qui passe à travers sont à propos de > switch, d'optiques, ou autres. Ma femme achète un sous-tif en ligne (de son > PC, pas du mien), et bam tout d'un coup les pubs que je reçois sont de la > lingerie féminine. Comment tu crois que ça arrive ? On est tous les deux > derrière NAT sur la même IP publique. Big data. Je pense que ces opérateurs ont des mécanismes qui ne se basent pas seulement sur l'IP pour "caractériser" une personne. > Vu que avec IPv6 soi-disant il n'y a pas de NAT, chaque PC serait (en plus de > l'IP de la famille) identifiable individuellement, l'adresse IPv6 étant une > fonction de l'adresse MAC (les 64 bits de droite). Ce qui permettrait un > suivi encore plus pointu et les GAFA de mettre leur nez encore plus profond. > L'idée c'était donc que, dans la plage du subnet local /64, l'adresse du PC > change régulièrement, ce qui en théorie empêcherait le tracking. Sauf que il y a tellement de méthodes pour tracker que l'utilité est douteuse. Je serais plus fin en disant "chaque interface réseau" et non juste PC peut avoir au moins une adresse globalement routable (mais dans la pratique c'est souvent au moins 2). Même si je doute que tous les systèmes d'exploitation implémentent absolument la RFC 8981 à l'heure actuelle; la plupart, sinon tous, n'emploieront jamais l'adresse IPv6 générée à partir de l'adresse MAC (EUI-64) pour le traffic de *sortie*. Il y a plusieurs autres mécanismes pour générer des adresses. En terme de privacy, ici ce qui compte c'est que si mon interface réseau (ou plus grossièrement mon PC) se retrouve dans un autre LAN, chez moi ou ailleurs, les adresses générées de manière temporaire n'auront pas les mêmes "caractéristiques" d'un réseau à l'autre. La RFC https://tools.ietf.org/html/rfc7721 résume toutes les considérations à prendre en compte en terme de sécurité et privacy pour IPv6. Le tableau 1 fait un résumé de l'analyse. -- Willy Manga @ongolaboy https://ongola.blogspot.com/
OpenPGP_signature
Description: OpenPGP digital signature
