Du point de vue du pare-feu, il est important de réaliser qu'IPv4 et IPv6 (s'il est activé) sont configurés sur un système et que ce n'est pas toujours le cas.
D'après mon expérience, j'ai pu contourner les pare-feu (internes). Dans un scénario, sur une machine Linux, iptables était configuré, mais pas ip6tables, ce qui exposait des services (vulnérables) qui n'étaient pas disponibles sur IPv4.
Étant donné que la plupart des services sont liés à 0.0.0.0 et [::]:[port] (chaque interface), ces services sont également disponibles sur IPv6.
Donc, oui, il est important d'envisager de désactiver IPv6 si vous ne l'utilisez pas. Si vous l'utilisez, vous ou les administrateurs en général devez savoir que (au moins sur les serveurs Linux) une configuration de pare-feu supplémentaire est requise.
Et avant de commencer, les administrateurs doivent en être conscients, vous avez tout à fait raison. Cependant, d'expérience, il manque beaucoup de connaissances IPv6 parmi les administrateurs système.
Il n'y a pas d'avantage spécifique à désactiver IPv6. En particulier, IPv6 n'est pas plus vulnérable qu'IPv4, je dirais plutôt qu'il est plus sécurisé (par exemple :IPv6 suggère de prendre en charge IPSec).
Le fait est que tout en renforçant votre système d'exploitation, la philosophie générale recommande de supprimer tous les services/outils inutilisés. Cela permet un meilleur contrôle sur votre système d'exploitation, améliore les performances (de manière générique) et réduit la probabilité que des attaquants puissent exploiter d'éventuels bogues logiciels ou des erreurs de configuration et obtenir un contrôle/accès (partiel) du/au système. Ainsi, la suppression d'une IPv6 inutilisée n'est qu'une action généralement recommandée pour finaliser le durcissement.
Le conseil est bien intentionné mais daté.
IPv6 est spécialement conçu pour être très facile à configurer et à administrer, beaucoup plus simple qu'IPv4. Il possède de nombreuses fonctionnalités destinées à faire en sorte que des hôtes et des réseaux entiers soient automatiquement configurés ou facilement configurés de manière centralisée. Dans de nombreux cas, il est possible que des réseaux entiers obtiennent soudainement une connectivité IPv6 à Internet dès qu'ils sont amenés à la périphérie du réseau, ce qui peut surprendre certaines personnes.
Ce conseil était historiquement destiné à protéger les administrateurs à la fois d'eux-mêmes - car ils ne sont peut-être pas familiers avec les fonctionnalités IPv6 - et des acteurs malveillants - car lorsqu'ils obtiennent enfin la connectivité IPv6 à Internet, les appareils tenteront de se configurer automatiquement et réussiront parfois. De plus, certaines versions de Windows tentent d'établir des tunnels IPv6 à Internet prêt à l'emploi, surprenant à nouveau certains utilisateurs et administrateurs. (Soit dit en passant, désactiver ces tunnels est presque toujours une bonne idée à moins qu'ils ne soient spécifiquement souhaités.)
Et comme d'autres l'ont mentionné, certains anciens pare-feu d'il y a 5 à 10 ans ou plus ne se sont pas correctement configurés pour pare-feu IPv6 en plus d'IPv4. Ce n'est pas un problème aussi important aujourd'hui, car ces appareils anciens deviennent de plus en plus rares chaque jour qui passe.
De nos jours, la plupart des gens utilisent IPv6 même s'ils n'ont pas de connectivité IPv6 globale. Windows 8 et versions ultérieures utilisent largement IPv6 sur les réseaux domestiques, et certaines fonctionnalités Windows exigent absolument IPv6.
Du point de vue de l'équilibre entre fonctionnalité et sécurité, il serait préférable de conseiller aux utilisateurs de s'assurer qu'IPv6 est protégé par un pare-feu correspondant à IPv4, même s'ils ne disposent pas d'une connectivité IPv6 globale. Cela préserverait la fonctionnalité IPv6 qui existe déjà tout en protégeant les utilisateurs lorsqu'ils obtiendraient enfin une connectivité IPv6 globale.