Sympa l'analogie, j'adore!

Bon de toute façon si une implèmentation IPv6 route en linerate mais fait de l'IPsec au 1/20 de ce débit parce que la crypto est programmée en Turbo Pascal, personne ne va l'utiliser, mais juste on pourra dire : voilà c'est implèmenté.

Bonjour,
Merci pour vos réponses. Cela n’empêche qu'au final je ne sais toujours pas si IPSec (sur IPv6 ou même IPv4) permet ou pas une implèmentation plus "simpliste" de la sécurité entre A et B.
Sans aller jusqu'au contrôle d'intégrité (hash) et authentification complète, est-ce qu'il existe un mode ou R1 et R2 ont une sécurité avec authentification et intégrité (R1 et R2 sont bien ceux qu'ils prétendent être), puis ensuite s’échangent juste des informations entre leurs sous-réseaux ("Tiens salut R2, c'est R1! Mon A veux dire bonjour à ton B, tu me prêtes une clés temporaire STP ?"). Certes toutes données venant de A vers B ne sera authentifié, ni l'intégrité vérifié, mais juste chiffré.
En gros un mode tunnel moins protégé mais sans l'overload de l'intégrité ni l'authentification (seulement entre R1 et R2).

Sinon, je rejoins corrector sur le fait que l'on utilise pas assez https avec vérification du certificat client. D'ailleurs ça me saoul que tout les produits/soft qui utilisent https ne permettent pas simplement de générer des certificats clients + CA à ajouter dans son navigateur. Obligé de faire ça à la main....et surtout chez moi c'est cassé à chaque mise à jour du serveur http, sympa après quand on s'en rend compte des jours plus tard.

Effectivement, ce serait du chiffrement opportuniste. Par contre ton exemple ne concerne pas l'exemple d'une configuration bien plus simple entre 2 routeurs qui chiffrent les communication entre leurs clients (avec leur propres IP, sans NAT) sans DNS(sec) ni rien.
Et au passage supprimer aussi les overload liés à l'intégrité et l'authentification sur une connexion établie.
Bon, en tout cas merci, aujourd'hui j'ai une piste pour googler ce qui m’intéresse: chiffrement opportuniste. Même si ce n'est pas la panacée niveau sécurité, ce n'est pas non plus une sécurité de paranoïaque traqué par les chinois de la NSA qui m'intéresse. Je veux juste éviter par exemple que le mot de passe d'un ftp entre A et B passe en clair sur le net en IPv6, sans avoir besoin d'établir un tunnel complet entre R1 et R2 (auquel cas on ne verra rien que R1 et R2 blablater), mais un tunnel plus léger ou quand A veut communiquer avec B, R1 et R2 s'échangent les clés par leur lien sécurisé, puis qu'on voit bien A et B blablater (juste en AES par exemple, pas de SHA).
Bon, bref je pense que ce que je cherche n'existe pas. Et que si je ne cherche pas le top du top niveau sécurité je peux aller me brosser.