Photo du Mont Damavand avec le côté droit manquant.||||||||||||

Comprendre la chute soudaine de l'adoption d'IPv6 en Iran

Photo of Aftab Siddiqui

Aftab Siddiqui

Senior Manager, Internet Technology - Asia-Pacific, Internet Society

Catégories:

La semaine dernière, Cloudflare Radar a signalé que la quasi-totalité de l'espace d'adressage IPv6 de l'Iran avait disparu de la table de routage mondiale, faisant chuter le taux d'adoption de l'IPv6 dans ce pays de 15-20 % à 2 %.

L'internet iranien est en mutation depuis un certain temps, la plupart des activités étant centrées sur les efforts de censure. Ne sachant pas s'il s'agit d'un résultat de ces activités, que ce soit intentionnellement ou par erreur, nous avons décidé d'enquêter.

Pourquoi l'adoption de l'IPv6 est-elle importante ?

Chaque seconde sur l'internet, plus de 100 000 recherches sont effectuées sur Google, 50 000 vidéos sont visionnées sur YouTube et 3,8 millions de courriels sont envoyés ! Le fait que ces activités puissent se dérouler facilement et sans problème témoigne des fondements et de l'architecture de l'internet et du web.

L'un des aspects essentiels de cette architecture est constitué par les adresses IP (Internet Protocol), des identifiants uniques qui permettent aux ordinateurs et aux autres appareils connectés de se reconnaître et de communiquer entre eux. La version originale du protocole Internet (IPv4) ne comptait que quatre milliards d'adresses. Une nouvelle version a donc été développée (IPv6) qui compte 340 trillions, trillions, trillions d'adresses, suffisamment pour connecter tous les objets du futur.

Internet Society Pulse présente des mesures de l' adoption de l'IPv6 afin de sensibiliser à l'adoption de l'IPv6 au niveau mondial et dans différents pays et réseaux. L'adoption de l'IPv6 donne un aperçu de la durabilité et de la résilience futures de l'internet. Actuellement, l'adoption mondiale de l'IPv6 est de 38 %, l'Inde étant en tête avec 72 %!

Graphique linéaire de séries temporelles montrant les taux d'adoption d'IPv6 au niveau mondial, tels que mesurés par APNIC, Facebook et Google.
Figure 1 - Adoption de l'IPv6 au niveau mondial. Source : Pulse.

Comme le montre le graphique ci-dessus, les taux d'adoption pour la plupart des pays ont été constants, vers le haut et vers la droite, avec quelques augmentations significatives en cours de route, grâce aux grands opérateurs des pays qui ont activé l'IPv6 sur leurs réseaux. Parfois, cependant, nous assistons à des baisses substantielles, comme en Iran, qui attirent systématiquement notre attention et nous amènent à nous poser la question suivante : pourquoi ?

Avant de tirer des conclusions

Tout d'abord, revenons quelques jours en arrière et vérifions où en était la situation avant le problème.

Graphique chronologique montrant que le nombre de routes IPv6 provenant du réseau iranien est passé de 300 à moins de 25 le 19 mai.
Figure 2 - Graphique montrant le nombre de préfixes IPv6 en Iran du 5 mai au 25 mai 2024. Source : RIPEstat : RIPEstat

Selon RIPEstat, avant l'incident, environ 300 routes IPv6 provenaient de réseaux portant le code de pays IR (IRAN). 

D'après les vidages MRT de Routeview du 19 mai 2024 à 8:00 UTC, 293 routes IPv6 uniques proviennent de 123 réseaux (numéros de systèmes autonomes, ASN) basés en Iran.

Si nous établissons une relation entre ces réseaux, nous constatons que certains d'entre eux sont plus dominants dans la fourniture de services de transit sur IPv6 à ces réseaux.
ASN Company name Number of transit connections it provides over IPv6
43754 ASIATECH 30
42337 RESPINA-AS 20
49100 IR-THR-PTE 13
49666 TIC-GW-AS 10
31549 RASANA 8

Ce manque de diversité est illustré par le profil de l'indice Pulse de résilience de l'internet en Iran (figure 3), où la "redondance du flux ascendant" est de 7 %.

Capture d'écran du profil de l'indice de résilience Internet Pulse de l'Iran montrant les résultats de 28 mesures de résilience différentes.
Figure 3 - Profil de l'indice de résilience Internet Pulse en Iran. Source : Pulse : Pulse.

Lorsque la plupart des routes ont disparu le 19 mai, les routes énumérées dans le tableau 1 sont restées dans la table de routage globale. La situation est restée inchangée pendant près de 48 heures avant que d'autres routes ne réapparaissent.
ASN Prefix AS Description (TeamCymru)
6736 2001:14e8:1::/48 IRANET-IPM Institute for Research in Fundamental Sciences IPM, IR
6736  2001:14e8::/32 IRANET-IPM Institute for Research in Fundamental Sciences IPM, IR
6736 2001:678:b0::/46 IRANET-IPM Institute for Research in Fundamental Sciences IPM, IR
39200 2001:678:b0::/48 IRNICANYCAST-AS, IR
35285 2001:678:b1::/48 IRNIC-AS, IR
60423 2a04:2f00:d::/48 DERAK-CLOUD-PJSC, IR
60423 2a04:2f00:e::/48 DERAK-CLOUD-PJSC, IR
60423 2a04:2f00:ff01::/48 DERAK-CLOUD-PJSC, IR
60423 2a04:2f00:ff02::/48 DERAK-CLOUD-PJSC, IR
60423 2a04:2f00:ff06::/48 DERAK-CLOUD-PJSC, IR
60423 2a04:2f00:ff08::/48 DERAK-CLOUD-PJSC, IR
60423 2a04:2f00:ff09::/48 DERAK-CLOUD-PJSC, IR
58192 2a05:2580::/30 DDOS-PROTECTION-GAJNET, IR
201691 2a05:cd00::/32 WEIDE, IR
205415 2a0a:3c44::/32 HOSSEINASHRAFSEMNANI, IR
216110 2a0e:97c1:8a27::/48 SOREN, IR
215154 2a0f:85c1:3b1::/48 FARDINNETWORK, IR
212248 2a10:ccc1:108::/48 AB, IR
200436 2a10:ccc1:109::/48 TEHRANGAMING-COM, IR
58192 2a13:5e40::/29 DDOS-PROTECTION-GAJNET, IR
58192 2a13:6340::/29 DDOS-PROTECTION-GAJNET, IR
58192 2a13:6fc0::/29 DDOS-PROTECTION-GAJNET, IR

Notez qu'aucun des cinq ASN les plus connectés du tableau 1 ne figure dans la liste, ce qui signifie que les ASN les plus connectés ont disparu et que les ASN situés au-dessus n'ont jamais été touchés.

Pourquoi n'ont-ils pas été arrêtés ?

La réponse n'est pas tout à fait claire. Cependant, selon , le serveur de noms (NS) de Rapport du système de noms de domaine (DNS) de Hurricane Electric pour .ir domaine de premier niveau de code de pays (ccTLD)nic.ir se trouve sur l'un de ces réseaux.

Capture d'écran d'un tableau montrant si les adresses IPv4 et IPv6 associées à nic.ir sont accessibles.
Figure 4 - Les adresses IPv4 (A) et IPv6 (AAAA) des serveurs de noms de nic.ir. Source : Hurrican Electric : Hurrican Electric.

Ces serveurs DNS résolvent toujours leurs entrées AAAA (IPv6) correctes :

% dig +short b.nic.ir aaaa 2001:678:b1:0:193:189:122:83 % dig +short b.nic.ir aaaa 2001:678:b1:0:193:189:122:83 % dig +short d.nic.ir aaaa 2001:14e8:c:0:194:225:70:83

Il est clair que ces routes ont été autorisées pour garantir le bon fonctionnement du serveur DNS .ir.

Selon la liste Tranco des 1 millions de domaines (sites web) les plus importants, environ 16 000 domaines appartiennent à l'organisation .ir ccTLD. Les résultats de la recherche WHOIS indiquent qu'aucun de ces domaines n'a d'enregistrement AAAA, ce qui signifie qu'ils ne sont pas associés à des adresses IPv6. Cela contraste avec le rapport sur le système de noms de domaine (DNS) de l'ouragan Electric, qui indique plus de 38 000 entrées AAAA mais ne couvre que certains des sites web les plus visités du pays.

Capture d'écran d'un rapport de Hurrican Electric pour le TLD .ir montrant 38 327 enregistrements AAAA.
Figure 5 - Rapport indiquant le nombre et le statut des adresses IPv4 (A) et IPv6 (AAAA) associées au ccTLD .ir. Source : Hurrican Electric : Hurrican Electric.

La figure 6 montre les cinq principaux réseaux (AS) de l'Iran sur la base du trafic internet.

Capture d'écran du widget Cloudflare Radar montrant les cinq AS les plus importants en Iran
Figure 6 - Les cinq premiers réseaux (systèmes autonomes, AS) en Iran en fonction du trafic. Source : Cloudflare Radar : Cloudflare Radar.

Si nous examinons les mesures IPv6 effectuées par APNIC Labs (figure 7), la plupart des échantillons proviennent de l'AS197207.

Capture d'écran des trois principaux réseaux IPv6 d'APNIC Labs en Iran. AS197207 a une capacité de 32,73 %.
Figure 7 - Réseaux iraniens ayant le taux d'adoption d'IPv6 le plus élevé. Source : APNIC Labs : APNIC Labs.

L'AS197207 a annoncé 21 routes IPv6 jusqu'aux alentours du 19 mai 15:30 UTC, date à laquelle elles ont toutes cessé et sont restées absentes de la table de routage globale pendant plus de 48 heures. La chute du trafic IPv6 en provenance de ce réseau est très visible dans les mesures d'APNIC Labs (figure 8) et de Cloudflare Radar (figure 9).

Graphique chronologique montrant la baisse de la capacité IPv6 pour AS197207
Figure 8 - Mesure IPv6 d'APNIC Labs pour AS197207. Source : APNIC Labs.
Graphique chronologique montrant la baisse du trafic IPv6 dans l'AS197207
Figure 9 - Graphique de trafic radar Cloudflare pour AS197207. Source : Cloudflare Radar : Cloudflare Radar.

Il est également intéressant de noter que l'AS197207 n'a qu'un seul fournisseur en amont pour le trafic IPv6 - l'AS49666 (Telecommunication Infrastructure Company). Juste avant de cesser d'annoncer ses routes IPv6, l'AS49666 a commencé à faire précéder son propre AS de multiples fois pour les annonces de l'AS197207, comme le montre la figure 10, qui présente des vidages de routes à partir de vues de routes.

Capture d'écran du vidage de route à partir des vues de route montrant que AS49666 prépare son propre AS plusieurs fois pour les annonces de AS197207.
Figure 10 - Déroulement de la visualisation des routes montrant que l'AS49666 précède son propre AS plusieurs fois pour les annonces de l'AS197207.

Il n'y a rien de suspect à cela, et AS49666 avait l'habitude de le faire avec de nombreux autres réseaux en aval, comme le montrent les dumps route-view ci-dessous à partir du 18 mai 2024 (Figure 11).

Capture d'écran du vidage de route à partir des vues de route montrant AS49666 préparant son propre AS plusieurs fois pour les annonces AS41689, AS12880, et AS205647.
Figure 11 - Déroulement de l'affichage des routes montrant que l'AS49666 précède son propre AS plusieurs fois pour les annonces de l'AS41689, de l'AS12880 et de l'AS205647.

Depuis qu'il semble s'être remis de sa panne d'IPv6, l'opérateur AS49666 n'a effectué aucun prepend vers ses clients en aval. Il pourrait s'agir d'un changement bénin dans les pratiques opérationnelles.

Bien que l'AS197207 ait recommencé à annoncer toutes les routes IPv6 qu'il annonçait avant le 19 mai, d'autres réseaux n'ont pas encore rétabli leurs routes IPv6. En outre, les modèles de trafic signalés par Cloudflare Radar indiquent que l'AS197207 préfère toujours l'IPv4 à l'IPv6, avec 100 % du trafic en faveur de l'IPv4. Le nombre total d'itinéraires IPv6 provenant d'Iran est trois fois moins élevé qu'avant le 19 mai. Actuellement, seules 78 routes IPv6 sont visibles dans la table de routage globale.

La réponse n'est pas encore claire

Il reste à comprendre pourquoi les routes IPv6 ont été brusquement retirées de la plupart des réseaux du pays, ne laissant que quelques routes sélectionnées intactes. Après quelques jours, certaines de ces routes sont réapparues, mais pas toutes. 

Des spéculations sur une éventuelle censure se font jour, mais il n'y a pas de corrélation apparente avec les données de l'Open Observatory of Network Interference (OONI). Bien que le taux d'adoption de l'IPv6 dans le pays soit faible, il a doublé au cours des deux derniers mois.

Graphique chronologique montrant l'adoption d'IPv6 en Iran, qui est passé d'une capacité de 2 % au début de l'année 2024 à 16 % en mai.
Figure 12 - Adoption d'IPv6 en Iran. Source : APNIC Labs : APNIC Labs.

Cette augmentation rapide pourrait avoir déclenché des problèmes liés à la censure ou au filtrage du contenu, des pratiques qui ont été mises en œuvre de manière agressive en Iran dans le passé. Toutefois, en l'absence d'informations concrètes, il s'agit là d'une hypothèse.

Lire : Le blocage de l'internet et des services VPN fait perdre à l'Iran plus d'un million de dollars de PIB par jour

Il est important de noter que l'IPv6, en l'absence d'un espace d'adressage IPv4 suffisant, est fondamental pour la croissance de l'internet au niveau mondial. Restreindre la croissance de n'importe quel protocole, y compris l'IPv6, entrave en fin de compte l'expansion et le développement de l'internet dans le pays. 

Si vous avez d'autres idées ou détails, n'hésitez pas à les partager avec nous à l'adresse [email protected].

Tags: