Faut-il désactiver le CG-NAT ?
Ou comment utiliser le 21ème siècle contre lui-même![[Uno Reverse Card]](uno-reverse-card.gif)
03 mars 2025
Le CG-NAT - ou CGN, en bref
Le Carrier-Grade Network Address Translation (CG-NAT) est un mode de fonctionnement réseau servant à partager simultanément une unique adresse IPv4 publique entre de nombreaux clients d'un fournisseur d'accès Internet.
Il s'agit d'une évolution du NAT classique, déjà utilisé sur toutes les box aujourd'hui, et qui permet de partager une seule adresse IP publique entre tous les équipements d'un réseau domestique ou d'entreprise. Le CG-NAT fonctionne juste à un niveau bien plus important, avec un pool d'adresses publiques à partager entre un grand nombre d'utilisateurs.
Les problèmes ! A moins que...
L'adressage IP dynamique chez les fournisseurs d'accès c'était déjà pénible, et le NAT de mes roupettes non-alignées, ça avait déjà le don de nous les briser.
Mais pratiqué à une très large échelle ainsi, c'est tout un tas de problèmes qui peuvent survenir si l'implémentation du CG-NAT n'est pas correctement faite ou qu'elle est sous-dimensionnée. Et dès que l'on voudra utiliser un protocole non-standard - autre chose que TCP/UDP en gros - on n'a pas fini de rigoler... Sans compter que les méthodes de contournement qu'il est possible d'implémenter pour résoudre les problèmes amenés par le CG-NAT échapperont bien évidemment aux nain-génieurs plein de piplômes et à la compétence approximative qu'adorent employer les gros mastodontes de l'accès à Internet. Du genre des types de Linagora quoi...
Fort heureusement, tout n'est pas encore perdu ! Là où il est encore possible chez Free de demander une adresse IP fixe, il est possible chez Orange de désactiver le CG-NAT sur l'interface de configuration de la Livebox, au niveau de l'onglet « CGN » :
Cependant, faut-il se ruer immédiatement sur cette pauvre case à cocher pour se débarrasser de cette engeance de la surpopulation ? Faut-il éradiquer définitivement cette nième diablerie de CG-NAT, qui ne correspond en rien à l'esprit d'origine du réseau Internet ?
Eh bien pas forcément...
En effet, ce qu'il faut bien comprendre, c'est que ce n'est pas vous qui allez mettre en partage « votre adresse IP » avec d'autres utilisateurs, comme semble l'indiquer le texte descriptif. En pratique, chaque nouvelle communication initiée par vous ou tout autre client va emprunter des ressources disponibles sur l'une des adresses IP publiques à disposition du système de CG-NAT. C'est comme cela que l'on obtient une mutualisation maximale.
C'est là où ça commence à devenir intéressant !
Lorsqu'un fournisseur d'accès Internet a déployé un CG-NAT, il est donc possible d'en tirer un avantage inattendu.
A des fins de diagnostic, lorsque l'on se connecte à un service sur le réseau, l'adresse IP d'origine de la connexion est la plupart du temps enregistrée. De même, tous les fournisseurs d'accès connaissent, à un instant donné, l'adresse IP associée à un compte client, même si celle-ci est dynamique.
En combinant les deux on peut identifier un internaute lorsqu'il accède à un service, et les autorités ne le savent que trop. Du moins, c'est le cas lorsqu'il n'y a pas de CG-NAT.
A partir du moment où il y en a, il devient extrêmement difficile de traquer la navigation d'un utilisateur. Il serait nécessaire d'enregistrer non seulement les adresses IP, mais aussi les numéros de ports TCP/UDP utilisés pour chacune des communications. D'une part, les opérateurs de services Internet ont mieux à faire que de modifier leurs applications pour cela, et d'autre part il est inenvisageable pour les fournisseurs d'accès de tenir les journaux correspondants pour toutes les communications de chacun de leurs clients, parmi des millions.
Les administrations spécialisées dans le retraçage telles que HADOPI (pi) deviennent alors caduques avec un CG-NAT déployé à grande envergure. Quant à la censure bien-pensante des snowflakes que vous pourriez avoir critiqué sur Touittaire, elle n'a plus le moyen de vous atteindre en vous identifiant par votre adresse IP, et ce même avec l'aide de sa Police de la Pensée et des Pixels. Votre trafic Internet est noyé dans un magma de plus en plus opaque au fur et à mesure que de plus en plus d'utilisateurs partagent les adresses IP d'un CG-NAT chez votre fournisseur d'accès.
Le CG-NAT peut agir comme un moyen de protection supplémentaire contre l'espionnage d'état permanent, combiné éventuellement à d'autres services tels que Tor. Et ce, sans payer en plus pour un service de VPN commercial à la mord-moi-le-noeud, lequel de toute façon vous protège mes genoux, et balancera tout aux autorités comme un bon toutou si on le lui demande.
L'IPv6 ne va-t-il pas mettre fin à la fête ?
Probablement pas !
IPv6 rend certes le NAT obsolète. Mais il est peu probable qu'IPv4 disparaisse complètement tant que vous et moi sommes sur cette Terre. ;-) La demande de serveurs Internet ne cesse d'augmenter, et ceux-ci se doivent pour le moment d'être accessibles en IPv4 et IPv6.
Il est donc possible que les fournisseurs d'accès profitent du CG-NAT et de la disponibilité d'IPv6 pour vendre la majeure partie de leurs adresses IPv4 aux gros opérateurs de serveurs, les clouds comme disent les gens à la mode. Il y aura donc une quantité de plus en plus réduite d'adresses IPv4 à se partager entre un nombre de plus en plus important d'internautes.
Ainsi il vous suffira tout simplement de désactiver IPv6 sur votre box ou mieux, de ne le désactiver que sur une machine avec laquelle vous souhaitez naviguer sans pouvoir être traqué. Pour une discrétion maximale, veillez à ne pas laisser fonctionner de programme maintenant des sessions TCP ouvertes, ou envoyant des messages UDP régulièrement depuis la machine en question. Cela pourrait « fixer temporairement » votre adresse IPv4 publique de sortie.
![[Censure d'un compte de Rima Hassan]](rimahassan-censure.png)
Webzine : La Revue
[Pink Zone 2025]
[(Tout)2 Evangelion]
[Pages Amiga]
![[Configuration CGN Livebox]](cgnat-lb.png)