Si securite = bloquer toutes les connexions entrantes, SI, en IPv6 c'est totalement acceptable de ne pas bloquer.
Comme disait corrector, deja que chaque endpoint est suppose gerer sa securite tout seul.
Personellement, je peux confirmer que rester avec du windoze (XP - !!!, 8, 8.1 et 10) en configuration par default (modulo activation de l'IPv6 sur XP) n'a aucune consequence en terme de securite. Avec 64 bits par subnet et des "privacy addresses", bonjour pour trouver quelle adresse du LAN il faut attaquer...
Le probleme c'est pas trop Windows (encore que) mais les objets connectés par exemple, les imprimantes, etc.
La conf de base de ces appareils présuppose un environnement 'IPv4 privé derrière un NAT' c'est a dire inaccessible de dehors sauf si explicitement ouvert manuellement ou via UPnP.
Quand ces memes appareils activent IPv6, le plus souvent, ils ne changent pas leur stratégie de conf et donc autorise tout accès (au niveau réseau du moins, après peut y a voir des mots de passe niveau application ou autre mais c'est la même problématique avec IPv4).
exemple simple: une web cam réseau.
en IPv4 elle va chope une IP privée sur le LAN et ne sera accessible que du LAN (via
http://ip_de_la_webcam). Il faut explicitement ouvrir une redirection sur son IP dans la box/routeur pour quelle soit accessible de dehors.
en IPv6 la code dans la webcam va souvent etre le meme et une fois l'IP obtenue, ca sera une IP public donc accessible du monde entier...Elle n'embarque pas un firewall qui permet de limiter les ranges IPv6 qui peuvent lui parler par exemple.
Dans un contexte grand public il est rare que l'administrateur (= l'usager) verrouille la sécurité lui-même, rare qu'il change le mot de passe par defaut de sa cam ou de son imprimante réseau, (on parle pas des PC).
Le probleme il est la. "IPv4 privé+ NAT" a donner des mauvaises habitudes non seulement au fabricants mais aussi aux usagers grand public.
Avec IPv6, les FAI n'ont que 2 choix: soit on attend les drames et problèmes en laissant passer IPv6 a 100% (Free a fait ce choix), soit on reproduit le comportement de 'IPv4 privé+ NAT' en IPv6: on ferme tout les ports non explicitement ouverts (Orange a fait ce choix).
Y'a pas vraiment d'alternatives a ces 2 choix et c'est simplement un calcul du FAI en terme de risque/image de marque/cout prod et SAV/etc. Free ne propose que des connexions Internet donc ils s'en tapent un peu. Mais Orange propose d'autres services autour, notamment
Homelive avec des appareils de sécurité ou surveillance , de la domotique, etc. Ils ne peuvent prendre le risque d'un souci de sécurité chez leur clients. Leur choix se comprend donc.
Apres en théorie il est vrai que le routeur/box du FAI ne devrait que router et rien d'autre mais ca reste de la théorie.
Moi je pense qu'il manque un standard/norme pour pouvoir depuis un point centralisé (une interface web unique) paramétrer et configurer la sécurité embarqué dans chaque appareil du LAN, un peu comme UPnP mais décentralisé. Les FAI ont peut-etre quelque chose a inventer la mais bon c'est pas leur fort d'innover techniquement...
Actus Bouygues