Il y a des tonnes d'appareils qui font couramment tourner des serveurs : caméras, imprimantes, NAS, équipements multimédia, switches manageable...

Si quelqu'un a besoin d'exposer un service, il ouvre le port. Laisser tout passer par défaut c'est simplement irresponsable. Honnêtement avant de lire ce sujet je n'aurais imaginé que certain FAI le fasse, et j'ai l'impression que si ça ne pose pas plus de problème c'est 1) parce que beaucoup de devices, notamment les moins sécurisés, ne supportent pas IPv6 et 2) parce que scanner aveuglément tout IPv6 à la recherche de device vulnérables n'est pas techniquement faisable.

Quand on sait que les caméras Ring (Amazon) sont pas compatible ipv6 alors que c'est le leader

Leader de quoi ? En nombre d'appareils vendus ?

Tout ça pour dire qu'encore trop peu d'appareils utilisent l'ipv6 et je ne sais pas si demain ça va évoluer, car ils n'ont pas l'air de prendre de mesures

Pour l'IoT, il y a fort à parier que ca va évoluer très lentement... ces objets sont en grande partie concus pour ne pas vivre plus d'1 à 2 ans après leur mise sur le marché, de toute façon.

actuellement la présence d'un pare-feu IPv6 ne gene rien car 99,9999% des produits sont conçus avant tout pour marcher avec IPv4 qui par nature n'est pas ouvert a cause du NAT.

de plus, la tendance aujourd'hui est aux devices 'client Cloud' donc des appareils qui n'écoutent sur aucune port et ne font que se connecter a un serveur central pour être managé/configuré. C'est fini le temps des webcams et autre appareils qui ont besoin d'ouvrir un port sur le LAN.

Meme pour du P2P on n'a pas besoin d'enlever le pare-feu il y a des techniques de 'traversal' (UDP hole punching) qui permettre a 2 devices, chacun derriere un pare-feu IPv6 d'établir une connection IPv6 direct entre eux.

Il y a aussi UPnP-IGD v2.0 (pinhole) qui permet d'ouvrir un firewall Ipv6 a la demande d'une application mais a ma connaissance peu de box grand public supportent correctement ce standard.

Bref plutot que d'imposer au réseau de laisser passer, les éditeurs de logiciels et de services s'adaptent a l'existant et contournent c'est plus rapide que d'attendre l'évolution des réseaux (qui est par nature très lente).

La critique sur les IoT qui seraient vulnérables est a mon avis peu fondée. Je parle d'IoT récents pas des trucs qui ont 10 ans ou plus. La plupart se basent sur un Linux qui est par défaut 'fermé' (il n'écoute rien sur le réseau) et une couche logicielle, souvent basé sur de l'open source, qui n'est qu'un client web vers un serveur central. Bref niveau sécurité un IoT est souvent plus costaud qu' un PC Windows qu'un utilisateur peux dérégler ou contaminer via un malware.

En fait la sécurité c'est souvent la ou on ne s'y attend pas, par exemple aujourd'hui l'annonce d'une 0-day Cisco et la présence de plusieurs millions de routeurs Cisco avec leur port SNMP a poil sur Internet... en gros , un fail de l'humain.

C'est pour ca que les marques poussent de plus en plus pour un modele 'fully managed in the Cloud' . Non seulement ca leur permet de racketter les clients via des abonnements et du lock-in mais en plus ils ont directement la main sur la sécurité de leur produits donc la réputation de leur marque a ce niveau.

Avec IPV6, il faut aussi considéré que le nombre d'ip fait que c'est quasi impossible d'avoir, comme pour ipv4, des "bots" qui scannent X subnet+port continuellement, surtout que la plupart des produits avec support ipv6 récent ont un support des privacy extensions (RFC 4941) et donc les chances au moment du scan que l'ip d'un de vos appareil soit encore valables, réduit encore plus les probabilités..

A titre d'exemple sur mon firewall, j'ai pour 1 semaine, un peut plus de 60k "tentatives/scan etc." elles sont TOUTES en ipv4 (requête sur smb, telnet, ssh et j'en passe) pas une seul en ipv6

Je suis avec vivien que pour moi, toute machine qui à un firewall devrait l'avoir activé par défaut. Je pense cependant que pour le moment encore, les risques en ipv6 sont encores assez moindres (pas nul) et peuvent expliquer pourquoi nos opérateurs ne se bougent pas plus. Sachant qu'on est vraiment en avance sur l'ipv6 comparé a d'autre pays... Des pays comme les USA, ils sont presque refractaire a l'ipv6 et suggère toujours de le désactiver dés que possible