Aller au contenu principal

NAT opérateur (CGNAT)

Le NAT opérateur (CGNAT, Carrier-Grade NAT) est une architecture de traduction d'adresses réseau à grande échelle déployée par les FAI et les opérateurs mobiles pour partager un pool restreint d'adresses IPv4 publiques entre des milliers d'abonnés simultanément, affectant directement la précision de la déduplication par IP dans les concours en ligne.

Définition

Le NAT opérateur — également appelé NAT à grande échelle (LSN, Large-Scale NAT) ou NAT444 — est une architecture de partage d’adresses IP définie par la RFC 6598 de l’IETF (publiée en avril 2012) qui permet à un fournisseur d’accès Internet ou à un opérateur mobile de servir un grand nombre d’abonnés en utilisant un pool d’adresses IPv4 publiques bien plus restreint que ne l’exigerait l’attribution d’une adresse dédiée à chaque abonné. Le terme « opérateur » distingue cette échelle de déploiement du NAT au niveau d’un foyer effectué par une box domestique : le CGNAT opère sur l’infrastructure de l’opérateur et peut traduire le trafic de dizaines de milliers d’abonnés simultanés via une seule adresse IP publique.

Le CGNAT est apparu en réponse à l’épuisement de l’espace d’adresses IPv4. L’IANA (Internet Assigned Numbers Authority) a alloué les derniers blocs d’IPv4 aux Regional Internet Registries en février 2011. Les opérateurs mobiles, dont la base d’abonnés se développait rapidement, devaient choisir entre déployer IPv6 — qui résout définitivement l’épuisement — ou mettre en place du CGNAT pour prolonger la vie opérationnelle de l’infrastructure IPv4. La plupart ont déployé les deux.

Comment fonctionne le CGNAT

Dans un déploiement CGNAT, l’appareil de l’abonné reçoit une adresse IP privée issue de l’espace d’adresses partagé RFC 6598 — le bloc 100.64.0.0/10 spécifiquement réservé au CGNAT — ou d’une plage privée RFC 1918 conventionnelle (10.0.0.0/8, 172.16.0.0/12, ou 192.168.0.0/16). C’est l’adresse de l’abonné au sein du réseau interne de l’opérateur.

Lorsque l’abonné initie une connexion sortante, le trafic transite par l’équipement CGNAT de l’opérateur — généralement de grandes plateformes de routage Cisco, Juniper ou A10 Networks. L’équipement CGNAT traduit l’adresse source privée en l’une des adresses IPv4 publiques de l’opérateur et attribue un port source dynamique pour distinguer cette connexion d’autres connexions simultanées partageant la même IP publique. Cette technique est appelée Port Address Translation (PAT) ou Network Address Port Translation (NAPT).

Le serveur de destination — un site de concours, par exemple — reçoit un paquet dont l’IP source appartient à l’opérateur et dont le port source a été attribué par le dispositif CGNAT. Il n’a aucun moyen, à partir de cette information seule, de déterminer l’adresse privée ou l’identité de l’abonné. Tous les abonnés partageant la même IP de sortie CGNAT sont indiscernables au niveau IP du point de vue de la destination.

À la fin de la session, l’équipement CGNAT récupère le port et peut le réattribuer à un autre abonné en quelques minutes. Cette réutilisation d’adresses signifie que deux abonnés totalement différents peuvent paraître provenir de la même IP à des moments différents au cours d’une même journée — voire d’une même heure.

La RFC 6264 documente les implications des approches transitionnelles à grande échelle entre IPv4 et IPv6, dont le CGNAT est l’une des briques. L’IETF a publié plusieurs documents d’orientation sur les considérations opérationnelles du CGNAT pour les fournisseurs de services.

Où vous le rencontrez

Le CGNAT est omniprésent dans les réseaux mobiles. Orange, Free Mobile, SFR, Bouygues Telecom, mais aussi T-Mobile, AT&T, Vodafone, Jio, et la quasi-totalité des grands opérateurs utilisent le CGNAT pour le trafic IPv4 abonné. Les FAI fixes des régions où la rareté IPv4 est critique — certaines parties d’Asie-Pacifique, d’Afrique subsaharienne — déploient également le CGNAT sur les connexions haut débit.

Dans les concours en ligne, le CGNAT crée une tension fondamentale avec la déduplication par IP. Une politique naïve « un vote par IP » sur un concours dont la majorité des participations vient d’appareils mobiles empêchera incorrectement plusieurs votants légitimes partageant une adresse de sortie CGNAT de voter. Inversement, un fraudeur sur un réseau CGNAT pourrait théoriquement soumettre des votes depuis de nombreuses adresses IP privées qui apparaissent toutes comme la même IP publique, sans que la plateforme puisse les distinguer d’un seul votant.

Exemples concrets

Une compétition caritative ciblant une audience en Inde — où Jio Platforms sert des centaines de millions d’abonnés — observe que certaines adresses IP apparaissent chacune sur des milliers de soumissions pendant la fenêtre du concours. L’enquête technique révèle qu’il s’agit des adresses de sortie CGNAT du réseau 4G de Jio. L’équipe d’analyse de fraude détermine que les données de cookies et de session montrent des instances de navigateur distinctes derrière chaque soumission, cohérentes avec une participation authentique de plusieurs abonnés. Le signal de regroupement IP, qui indiquerait normalement de la fraude, est correctement attribué au CGNAT plutôt qu’à une manipulation de votes.

Une plateforme de concours en France reçoit une réclamation d’un participant affirmant que la plateforme bloque des votes légitimes de ses soutiens. L’enquête révèle que ces soutiens sont tous sur le réseau CGNAT du même opérateur mobile, et que le rate limiter de la plateforme a appliqué une limite par IP qui touche tous les abonnés partageant l’IP de sortie. La plateforme adapte sa logique pour utiliser la déduplication par cookie comme contrôle principal lorsque la géolocalisation IP indique un réseau d’opérateur mobile.

Une équipe de recherche universitaire travaillant sur la fraude au vote en ligne utilise les plages d’adresses RFC 6598 comme classifieur dans son processus d’étiquetage de jeux de données, en séparant les votes d’origine CGNAT des votes véritablement à IP unique avant d’entraîner son modèle de détection d’anomalies. Cette séparation améliore la précision du modèle en empêchant que le motif de regroupement CGNAT soit étiqueté à tort comme comportement frauduleux dans les données d’entraînement.

Concepts liés

L’IP d’opérateur mobile décrit les caractéristiques côté abonné des adresses IP des réseaux mobiles, dont le CGNAT est le mécanisme sous-jacent de partage d’adresses. L’IP résidentielle englobe à la fois les adresses fixes et mobiles, par opposition aux IP de centre de données, mais le CGNAT est une caractéristique distinctive du sous-ensemble mobile. Le rate limiting est le contrôle de concours le plus directement affecté par le CGNAT : les limites par IP doivent tenir compte des environnements à adresse partagée pour ne pas bloquer à tort les votants légitimes.

Limites / Mises en garde

Le déploiement massif du CGNAT signifie que les adresses IP seules constituent une base peu fiable pour la déduplication des votes dans tout concours visant une audience mobile significative. L’adoption d’IPv6 résout partiellement ce problème — IPv6 attribue généralement une adresse globale unique à chaque appareil — mais le CGNAT IPv4 restera un facteur significatif dans le trafic des concours tant qu’IPv4 dominera l’accès Internet grand public. Les concepteurs de plateformes doivent traiter l’IP comme l’un de plusieurs signaux de déduplication plutôt que comme un identifiant définitif.

Du blog — guides & études de cas

Guides pratiques, analyses techniques et études de cas anonymisées.60+ articles. Sélection tourne.

Tout 60 articles → Parcourir par sujet
Victor Williams — founder of Buyvotescontest.com
Victor Williams
En ligne · réponse en 5 min

Salut — envoie l'URL de ton concours, je te chiffre dans l'heure. Pas besoin de carte.

💬 Ouvrir le chat ️ Chat sur Telegram 📋 Commander ou e-mail à [email protected]