Pénurie IPv4 : comment l’Internet européen sombre dans les magouilles
De plus en plus rationnés, les opérateurs s’organisent autour de ventes aux enchères à peine légal
LeMagIT | Publié le: 08 août 2019
Bientôt la pénurie totale. Il reste tellement peu d’adresses IPv4 disponibles que le RIPE NCC, l’organisme chargé de les attribuer en Europe, en Russie et au Moyen-Orient, va bientôt réduire les rations accordées aux opérateurs : les nouveaux entrants n’auront plus droit qu’à des lots de 256 adresses contre 1024 auparavant. Quant aux FAI, hébergeurs et autres acteurs des télécoms déjà existants, ils devront racler les fonds de tiroirs pour dénicher des adresses encore libres parmi celles qui leur avaient déjà été confiées, typiquement en recyclant les IP publiques des clients qu’ils ont perdus.
Selon l’Arcep, le gendarme des télécoms en France, il restait dans le stock du RIPE NCC 2,676 millions d’adresses IPv4 au 30 juillet 2019. Avec le nouveau rationnement, ce stock devrait être épuisé le 28 avril 2020. Au-delà de cette date, plus personne en Europe, en Russie et au Moyen-Orient ne pourra avoir une nouvelle box Internet, un nouveau téléphone, ou un nouveau site web avec une adresse IPv4 publique qui n’ait pas déjà été utilisée. Le RIPE NCC avait commencé à rationner l’attribution d’IPv4 en 2015, à raison d’un bloc de 1024 adresses par nouvel opérateur, lorsque son stock était de 14,5 millions.
Avant d’être un problème pour les utilisateurs finaux, cette pénurie représente un désastre économique pour le secteur des fournisseurs d’accès : elle implique un arrêt net de leur croissance. Dans de telles conditions, les magouilles les plus inventives sont de mise.
Des services publics vendent aux enchères leurs IPv4 excédentaires
D’abord, un marché noir des adresses IPv4 s’est créé. Depuis que le rationnement a commencé, le courtier anglais Hilco Streambank a créé un site de vente aux enchères sur lequel les entreprises du monde entier peuvent acheter ou vendre anonymement des lots d’adresses libres. A l’heure où nous écrivons ces lignes, l’adresse IPv4 se négocie aux environs de 22$, soit plus de 5600$ le lot de 256. En 2015, le tarif moyen était de 1,50$. Les prix devraient encore s’envoler, au fur et à mesure que la pénurie s’accentue. Rappelons que le RIPE NCC attribue gratuitement de tels lots aux nouveaux entrants, mais moyennant une cotisation d’au moins deux ans qui coûte actuellement dans les 4000€.
« La question est de savoir qui a suffisamment d’adresses IPv4 non utilisées pour aller les vendre aux enchères. N’allez pas croire qu’il s’agit uniquement d’opérateurs historiques. Parmi les vendeurs, on trouve des universités, des réseaux de recherche, ou même des institutions publiques qui ont été généreusement servies au début d’Internet et qui voient dans la revente de leurs IP publiques un moyen de renflouer leurs caisses », s’offusque David Marciano, dirigeant de l’opérateur B2B Adenis et président de l’AOTA, l’Association des Opérateurs Télécoms Alternatifs.
Il cite en l’occurrence les cas de l’Agence Nationale de l’Informatique et de l’apprentissage danoise, qui a déjà revendu 65 536 adresses, et du Department of Work and Pensions britannique qui en a revendu 150.000.
Précisons que, par convention, la taille des lots est référencée sous la forme « /n », où n est un énième de l’adressage 32 bits. Pour retrouver le nombre d’adresses que comprend un lot, il faut calculer la formule 2^(32-n). Ainsi un lot noté « /24 », correspond à 2^(32-24), soit 256 adresses ; /23 signifie 512 adresses, /22 correspond à 1024 adresses et ainsi de suite.
Des IPv4 mal géolocalisées qui limitent les services en ligne
Ces enchères, qui se déroulent sur la place internationale, inquiètent l’Arcep. « En clair, cela signifie qu’un internaute français va se retrouver avec une adresse qui était affectée au Brésil, en Asie ou ailleurs. Dans de telles conditions, plus aucun service lié à la géolocalisaton ne fonctionne, à commencer par les paiements en ligne et les chaînes de VOD comme Netflix », s’insurge Vivien Guéant, chargé de mission à l’unité Internet Ouvert de l’Arcep !
Il parle néanmoins plutôt de marché « gris », car le NRO, l’autorité qui coordonne les cinq RIR (soit le RIPE NCC et ses équivalents en Amérique du Nord, Amérique latine, Asie-Pacifique et Afrique) est parfaitement au courant de cette pratique. Mais, face à l’enjeu économique, il laisse faire.
L’AOTA alerte quant à elle sur une « distorsion de concurrence majeure » et vient d’interpeler le Ministère de l’économie et des Finances sur ce recours aux marchés secondaires, que l’association juge précaire et injuste pour les petits opérateurs. Elle appelle le gouvernement à engager une réflexion internationale pour que la gestion des adresses IP se fasse sous l’égide des pouvoirs publics, comme cela est déjà le cas pour les noms de domaine.
Le Carrier-Grade NAT, pour attribuer jusqu’à 10.000 fois la même adresse IPv4
Selon des informations que LeMagIT a pu obtenir, les grands opérateurs de téléphonie mobile seraient également d’importants pourvoyeurs d’adresses IPv4 encore libres. Ils auraient demandé dès le départ à leurs RIR respectifs une IP publique par abonné, mais une astuce technique leur permettrait d’en utiliser bien moins que cela.
« Il s’agit de la deuxième pratique qui interroge, dite du Carrier-Grade Nat (CGN). Sachant qu’une adresse IP dispose de 65536 ports pour dialoguer simultanément avec plusieurs services sur Internet, mais que les internautes n’en utilisent jamais autant, les opérateurs ont considéré qu’ils pouvaient réduire le nombre de ports par utilisateur afin d’attribuer la même adresse IP à plusieurs de leurs abonnés », explique Vivien Guéant.
Officieusement, les opérateurs considéreraient que les lignes fixes – des boxes Internet derrière lesquelles sont reliés des postes personnels en réseau privé – auraient besoin d’un millier de ports simultanés. Les terminaux 4G – principalement les smartphones – n’en utiliserait qu’une cinquantaine. En clair, les opérateurs seraient susceptibles d’attribuer la même adresse IPv4 à 65 abonnés en ligne fixes, ou à 10.000 abonnés mobiles.
L’utilisation du CGN n’est pas sans conséquence. Pour commencer, cette technique empêche les particuliers de jouer en ligne et les professionnels de se connecter à un serveur de stockage partagé situé derrière une passerelle. Mais elle sème aussi la pagaille dans les enquêtes contre la cybercriminalité. Nice Matin rapportait en mai dernier qu’un internaute s’était retrouvé accusé à tort de télécharger des fichiers pédopornographiques, après que son opérateur lui a attribué une adresse IPv4 partagé par de nombreux autres.
« Cette solution d’économie d’IPv4 ne peut pas être viable à long terme. Partager une IP (et donc des ports) est un non-sens qui ne peut que complexifier aussi le support technique et la stabilité de certains réseaux d’accès », estime David Marciano.
L’arnaque au faux nouvel opérateur
Troisième pratique litigieuse, l’arnaque au nouvel opérateur. Le RIPE NCC a pleinement conscience de son existence mais il ne semble pas pouvoir y faire grand chose. En pratique, de petits opérateurs de lignes fixes ou mobiles, mais aussi des hébergeurs locaux qui existent déjà et ne peuvent donc plus prétendre à obtenir de nouvelles adresses, créent de toutes pièces de nouveaux opérateurs afin d’obtenir auprès du RIPE NCC de nouveaux lots d’IPv4. Puis ils fusionnent avec ces coquilles vides pour augmenter, petit bout par petit bout, le nombre d’adresses qu’ils peuvent attribuer à leurs clients.
Il n’existe pas de liste officielle des opérateurs qui s’adonnent à cette pratique, mais il est possible de les retrouver grâce à leur numéro d’AS, un dispositif qui sert à router ensemble les adresses d’un même fournisseur sur les points de raccordement. La liste des numéros d’AS est consultable en ligne. Une fois que l’on a identifié le numéro d’AS d’un opérateur, il suffit d’aller sur un moteur de recherche dédié, d’entrer le numéro en question, puis de sélectionner l’onglet « Prefixes v4 » pour lister tous les lots dont il dispose. Normalement, ils devraient être limités et tous avoir les mêmes préfixes. Dans plusieurs cas, ce n’est pas ce que le moteur affiche.
En France, une telle requête sur l’opérateur K-Net - un exemple donné sur le forum LaFibre.info - affiche plus de 50 lots avec une vingtaine de typologies d’adresses différentes. Si la plupart ont été regroupés sous son nom, certains appartiennent encore à des entités comme l’association Oxid Telecom, ou la SARL Réseau Stella.
Tous les transferts d’adresses IPv4, qu’ils soient effectués via une revente ou via une fusion d’opérateurs sont référencés dans les tableaux du RIPE NCC, qu’il s’agisse de transferts internes à sa région, comme de transferts effectués depuis ou vers sa région.
IPv6, la solution dont personne ne veut
Et pourtant, une solution définitive existe depuis la fin des années 90 : passer tout le monde à la numérotation IPv6. Avec son codage 128 bits, ce système est capable d’attribuer 667 millions d’adresses sur chaque millimètre-carré de la surface terrestre. Autant dire qu’il n’y aura jamais de pénurie. Problème, personne n’en veut.
Du côté des entreprises, on appréhende de façon discutable et discutée ce système dont la configuration en huit nombres hexadécimaux de 16 bits n’a rien à voir avec IPv4, ce qui pose, pour commencer, un gros inconvénient de sécurité.
« Avec IPv6, le NATing, c’est-à-dire la traduction d’adresses entre Internet et un réseau privé n’est plus nécessaire, puisque le nombre d’IP disponible est tel que tous les ordinateurs, appareils, capteurs, etc. pourront avoir leur propre adresse unique directement sur Internet. Mais est-ce vraiment souhaitable ? Absolument pas ! En effet, en entreprise, nous voulons cacher les IP des ordinateurs internes », lance Sébastien Boire Lavigne, à la fois DG et RSSI de l’entreprise XMedius, qui édite des solutions de communication unifiées.
Précisons que, initialement, la seconde partie d’une adresse IPv6 était par convention une dérivation de l’adresse MAC. Cette adresse MAC étant unique, cette convention posait un énorme problème de traçabilité marketing, encore plus important qu’en IPv4 : les sites commerciaux auraient pu se constituer une base commune de tous les historiques de navigation de toutes les machines, car il devenait possible de les pister même lorsqu’elles changent de point d’accès. Ce problème a été résolu par la RFC 4941 qui génère un identifiant d’interface aléatoire. Mais sa gravité a échaudé les consciences.
Sébastien Boire Lavigne sait que des techniques sont possibles pour cacher artificiellement les adresses d’un réseau interne : elles s’appellent NAT64, NAT46 et DNS64. Mais, selon lui, l’effort pour les mettre en œuvre n’est pas rentable.
« Le plus important avantage d’IPv6 sur IPv4 – l’absence de NATing - est de fait inapplicable. Ce qui nous amène donc à la question : pourquoi investir dans la migration vers IPv6 en entreprise ? Je ne vois pas de bénéfice ! Quant à la pénurie d’adresses IPv4, il s’agit d’un problème qui concerne les fournisseurs d’accès et ils semblent la gérer », évacue-t-il.
Les hébergeurs ne bougeront pas tant que Google ne privilégiera pas les sites IPv6
Même son de cloche du côté des hébergeurs de sites web. « Comme pour les entreprises, IPv6 leur coûtera en nouvelles compétences pour déployer et assurer la maintenance des règles réseau sur les adresses publiques. Mais le problème aggravant dans leur cas est que les sites en IPv6 ne sont joignables que depuis des machines configurées pour fonctionner en IPv6 », indique Laurent Boutet, ingénieur système chez F5 Networks.
« Il leur faudrait donc maintenir les deux piles en parallèle tant qu’il y aura encore des utilisateurs en IPv4. Mais le paradoxe est que si tout le monde peut accéder à leurs sites en IPv4, il n’y a donc aucun intérêt pour les hébergeurs à proposer en parallèle de l’IPv6 », ajoute-t-il.
Un constat que partage Nicolas Guillaume, Secrétaire Général de l’AOTA et dirigeant de l’opérateur B2B Netalis : « côté hébergement, il y a clairement un manque cruel d’incitation. À mon sens, les mentalités ne changeront véritablement que le jour où Google modifiera ses règles et n’indexera plus les sites que d’après leur adresse IPv6. D’ici là, il faudra patienter, à moins que l’on parvienne à inciter les hébergeurs par voie législative locale, voire par réglementation. »
Selon les estimations de l’Arcep, 70% des sites web dans le monde n’ont que des adresses IPv4. Les 30% restants ont les deux systèmes. Les sites qui n’ont qu’une adresse Ipv6 ne sont que quelques dizaines,
Les télécoms encore trop timides sur la fourniture d’IPv6 à leurs clients
Restent les opérateurs des lignes fixes et mobiles qui, au prétexte de ménager les réticences de leurs clients professionnels, ne se pressent pas non plus pour leur attribuer des adresses IPv6.
« Le principal frein technique à l’adoption d’IPv6 chez les utilisateurs est qu’elle peut empêcher un VPN configuré en IPv4 de fonctionner », remarque Vivien Guéant, en faisant référence, entre autres, aux télétravailleurs.
Selon le baromètre que l’Arcep publie pour la France, alors que Free, Orange et SFR ont installé chez leurs clients des passerelles WAN compatibles IPv6, les taux d’utilisateurs - grand public et sites professionnels confondus – chez qui la numérotation Ipv6 est activée sont respectivement de 50%, 45% et 0,9%. Bouygues active toujours IPv6, mais seuls 1% des passerelles fibres et 2,5% de modems xDSL déployés sont compatibles, soit un taux d’abonnés en IPv6 de seulement 2,5%. D’ici à la mi-2021, c’est-à-dire un an après que le stock d’IPv4 sera totalement épuisé, ces taux devraient respectivement passer à 80%, 80%, 50% et 30%.
Du côté des opérateurs alternatifs de ligne fixe, parmi la quinzaine que recense l’Arcep, seuls deux ont déployé IPv6 : K-Net (26% des clients) et Coriolis Telecom (82%).
La situation est plus critique sur le mobile : aucun abonné de Free ni de SFR ne dispose d’adresse IPv6. Seuls 1% des clients Orange et 7% des clients Bouygues en ont une.
« Le cas des mobiles est plus particulier car si presque tout le parc est compatible IPv6, l’opérateur ne peut pas modifier la configuration de l’APN pour passer en IPv6 sans une mise à jour poussée par le constructeur de l’appareil. Les smartphones qui ne reçoivent plus – ou pas encore - de mise à jour du constructeur en ce sens ne pourront pas passer à IPv6 sans une action du client, ce qui a peu de chance de se produire », remarque Vivien Guéant.
Il est à noter que dans son processus d’attribution des fréquences 5G, l’Arcep exige que chaque opérateur offre une compatibilité IPv6.
Chaque internaute pourra vérifier de lui-même que sa connexion à Internet est accolée à une adresse IPv6 en validant, par exemple, qu’il peut se connecter au site ipv6.google.com.
Une Task-Force de l’Arcep pour secouer les mentalités en faveur d’IPv6
Pour inciter entreprises clientes, hébergeurs et opérateurs à passer à IPv6, l’Arcep, en partenariat avec Internet Society France, met en place une Task-Force, censée définir le plus simplement du monde les bonnes pratiques à suivre. Elle fait suite à des ateliers IPv6 organisés jusqu’à l’année dernière.
« L’objectif de la Task-Force est de fédérer les acteurs d’Internet autour des retours d’expérience afin de d’accélérer la transition vers IPv6, ne serait-ce que pour faire tomber la résistance au changement. Le scénario le plus probable est que nous convaincrons en premier les hébergeurs et les fournisseurs d’accès. », dit Samih Souissi.
Nicolas Guillaume voit d’un très bon œil cette initiative de l’Arcep : « Face à la pénurie d’adresses IPv4, les opérateurs ont tout à perdre à bricoler différentes ingénieries ; c’est mauvais pour la cohésion du marché. Il n’y a pas de bons ou mauvais élèves, mais une absence cruelle de coordination parmi les acteurs. Le manque d’anticipation depuis 20 ans est indéniable. »
« Il faut revoir la manière de former les spécialistes des réseaux, faire tomber la nocivité de certains ayatollahs des réseaux qui empêchent de faire bouger les choses, voire prendre des décisions réglementaires fortes, quitte à froisser quelques gros opérateurs qui voient dans la pénurie d’adresses IPv4 l’opportunité de freiner les nouveaux entrants », conclut-il.