Sécurité IPv6
Tous les systèmes d’exploitation Apple prennent en charge IPv6 et comptent sur plusieurs mécanismes pour protéger les renseignements personnels des utilisateurs et la stabilité de la pile réseau. Lorsque la SLAAC (Stateless Address Autoconfiguration, configuration automatique d’adresse sans état) est utilisée, les adresses IPv6 de toutes les interfaces sont générées d’une façon qui contribue à empêcher le pistage des appareils d’un réseau à l’autre et qui permet en même temps d’assurer une expérience d’utilisation de qualité en garantissant la stabilité de l’adresse lorsqu’aucun changement de réseau ne survient. L’algorithme de génération d’adresse repose sur des adresses générées de façon cryptographique conformément au document RFC 3972, amélioré par un modificateur propre à l’interface qui garantit que des interfaces différentes sur un même réseau finissent par avoir des adresses différentes. De plus, les adresses temporaires sont créées en privilégiant une durée de vie de 24 heures et sont utilisées par défaut pour toute nouvelle connexion. En harmonie avec la fonctionnalité Adresse Wi-Fi privée introduite dans iOS 14, iPadOS 14 et watchOS 7, une adresse lien-local unique est générée pour chaque réseau Wi-Fi auquel l’appareil se joint. Le SSID du réseau est incorporé comme un élément supplémentaire pour générer l’adresse, d’une façon semblable au paramètre Network_ID, conformément au document RFC 7217. Cette approche est utilisée dans iOS 14, iPadOS 14 et watchOS 7.
Pour prévenir les attaques qui reposent sur des en-têtes d’extension IPv6 et leur fragmentation, les appareils Apple implémentent les mesures de protection décrites dans les documents RFC 6980, RFC 7112 et RFC 8021. Ces mesures permettent entre autres de freiner les attaques au cours desquelles l’en-tête de la couche supérieure est trouvable uniquement dans le deuxième fragment (comme indiqué ci-dessous) et qui pourraient ensuite être une source d’ambiguïté pour les contrôles de sécurité, comme les filtres de paquets sans état.
De plus, pour contribuer à garantir la fiabilité de la pile IPv6 des systèmes d’exploitation Apple, les appareils Apple appliquent plusieurs limites aux structures de données liées à IPv6, telles que le nombre de préfixes par interface.