On croit être couvert, et pourtant. Votre VPN est bien activé, votre adresse IPv4 a changé, les tests vous donnent le feu vert. Mais en arrière-plan, l’IPv6 continue parfois de faire sa vie en dehors du tunnel sécurisé si le client ne s’en occupe pas correctement. Un écueil plus fréquent qu’on ne le pense.
La plupart des VPN grand public savent parfaitement gérer l’IPv4, et c’est d’ailleurs souvent ce que l’on vérifie en premier. Ce qui l’est un peu moins, c’est l’IPv6. Or, avec la pénurie d’adresses IPv4 et la généralisation progressive d’IPv6, de plus en plus de FAI activent les deux protocoles sur une même connexion. En clair, votre PC peut se voir attribuer une adresse IPv6 en plus d’une adresse IPv4, et utiliser l’une ou l’autre selon les sites et services contactés. Et si votre VPN ne tient pas compte de cette double connectivité, une partie du trafic peut continuer à circuler en dehors du tunnel sécurisé, parfois sans faire sourciller le kill switch. C'est ce qu'on appelle… une fuite IPv6.
IPv6, le protocole que votre VPN ne gère peut-être pas
Le problème n’a donc rien d’un bug, mais tient à un choix d’implémentation. Depuis les débuts du VPN grand public, l’IPv4 a servi de référence, tandis que l’IPv6, moins utilisé, a logiquement été relégué au second plan, faute de support généralisé sur les serveurs, les clients ou les infrastructures. Aussi, plutôt que de l’intégrer proprement, de nombreux services ont préféré le désactiver en bloc, ou s’en remettre aux réglages par défaut du système.
Aujourd’hui, ce modèle a atteint ses limites. Car entre un blocage total bien géré et une prise en charge partielle déléguée au système, il n’y a pas de demi-mesure. Soit le trafic IPv6 est maîtrisé, soit il ne l’est pas. Et quand il ne l’est pas, il peut révéler aux sites consultés l’adresse IP publique d’origine, et avec elle le nom du fournisseur d’accès à Internet et une géolocalisation approximative, le FAI retrouvant également toute sa visibilité sur les destinations contactées.
Or, une fuite IPv6 ne saute pas forcément aux yeux. D’abord, parce que le kill switch n’est pas systématiquement conçu pour bloquer ce type de trafic, à plus forte raison quand il a été pensé pour surveiller l’état du tunnel VPN (actif/inactif) et couper la connexion s’il tombe, plutôt que pour bloquer automatiquement toute connexion qui n’emprunte pas l’interface du réseau privé virtuel. Ensuite parce que la plupart des tests d’IP en ligne mettent encore l’accent sur la vérification des IPv4, et qu’une bonne partie des internautes, peu au fait de l’existence des IPv6 et de leur format, s’en contentent.
Mais au fait, à quoi ça ressemble une adresse IPv6 ?
Une adresse IPv4, c’est celle que tout le monde a en tête. Quatre groupes de nombres séparés par des points, du type 192.0.2.12. Une adresse IPv6 n’a pas du tout la même tête. Elle est plus longue et s’écrit en hexadécimal, composée de huit groupes de caractères séparés par des deux-points, par exemple 2001:db8:85a3:0000:0000:8a2e:0370:7334.
Dans la pratique, vous la verrez souvent sous une forme abrégée. Les zéros en tête d’un groupe peuvent être supprimés (0370 devient 370), et la plus longue suite de groupes « 0000 » peut être remplacée par un double deux-points, ce qui donne quelque chose comme 2001:db8:85a3::8a2e:370:7334.
Pour vérifier votre IPv6, vous pouvez vous rendre sur BrowserLeaks, et peut-être même constater que votre appareil bénéficie aussi d’une IPv4 (ligne Public IP Address).
Comment éviter les fuites IPv6 avec un VPN
La solution la plus propre consiste à utiliser un VPN qui gère réellement l’IPv6, en vous attribuant une adresse IPv6 et en faisant passer ce trafic dans le tunnel, comme pour l’IPv4. À ce jour, peu de services grand public vont aussi loin. On peut citer Mullvad, qui prend complètement en charge la tunnelisation des IPv6 depuis une dizaine d’années, ou encore Proton VPN, qui travaille à en étendre le support encore partiel.
À l’inverse, d’autres fournisseurs préfèrent bloquer l’IPv6 dès la connexion au service pour éviter les fuites, à l’image du trio CyberGhost, ExpressVPN, NordVPN. Ce n’est pas forcément un problème, mais ce n’est pas la même promesse, et la protection effective dépend de l’application, du protocole et des options activées, généralement précisés dans la documentation officielle des services concernés.
Vous pouvez aussi choisir de le faire vous-même, si vous estimez ne pas avoir besoin d’IPv6 au quotidien. Dans ce cas, désactivez-le au niveau du système, dans les paramètres réseau, ce qui vous évite de dépendre du comportement de l’application VPN, du protocole utilisé ou d’un kill switch plus ou moins strict.
Enfin, si vous préférez ne pas toucher aux paramètres réseau et que votre client VPN vous le permet, vous pouvez aussi activer le kill switch renforcé pour bloquer toutes les connexions qui ne passent pas par le VPN, plutôt que de simplement couper Internet quand le tunnel décroche.
Dans tous les cas, soyez cohérent. Sécuriser son PC, c’est bien, mais si vous ne faites pas de même avec votre smartphone connecté au même réseau Wi-Fi, l’intérêt de la démarche atteindra vite ses limites.
