En 2018, à Nice, un internaute a été placé en garde à vue pour avoir téléchargé du contenu pédopornographique. La police était remontée jusqu’à son adresse IP, l’identifiant que possède obligatoirement toute personne qui se connecte à internet. Problème, il était innocent. Ils étaient en fait plusieurs, dont le coupable, à partager, sans le savoir, une même adresse. C’est une des nombreuses conséquences de la pénurie du format traditionnel d’adresse IP.

Ce format, c’est l’adresse IPv4. Il s’agit de la version 4, la première grand public, accessible depuis 1983. Lorsqu’un appareil se connecte à internet, il est identifié sur le réseau par une plaque d’immatriculation qui lui est propre, et qui ressemble à cela : 216.58.209.238 (il s’agit de l’adresse IP de Google.com). Pour les particuliers et la plupart des entreprises, ce sont les Fournisseurs d’Accès Internet (FAI), Orange, SFR, Bouygues, Free pour les plus importants, qui attribuent une adresse IP publique. Normalement il y en a une pour la box, puis une pour l’ordinateur de la famille, une pour chaque smartphone, et encore d’autres pour les nombreux appareils connectés au réseau. C’est là que le bât blesse. Les 4,3 milliards d’adresses IP, dont 83 millions en France, ont été distribuées ou vont l’être. Dans la zone Europe-Moyen-Orient, l’ensemble des combinaisons disponibles se sont épuisées le 25 novembre 2019. En cause, la multiplication d’appareils connectés à internet, smartphones, tablettes, montres, frigos, enceintes, stores, etc. Il était impossible de prévoir l’arrivée de toutes ces innovations, mais les risques de pénurie ont été anticipés.  Dès 1998 un nouveau protocole a été développé : l’IPv6 (l’absence de version 5 est purement fortuite, le nom était déjà pris). Introduis en 2003, ce protocole à tout pour plaire. Avec une adresse plus grande, 128 bits au lieu de 32, l’IPv6 est plus sécurisé et propose un meilleur routage, c’est-à-dire une meilleure redirection des données sur le réseau. Cerise sur le gâteau : le nombre d’adresses disponibles est quasi infini, 667 millions pour chaque millimètre carré de la surface terrestre.

L’IPv6 incompatible avec l’IPv4

L’IPv6 peine à s’imposer. 16 ans après son introduction, et alors que la pénurie d’IPv4 est actée, seuls 38% des appareils connectés utilisent des IPv6 en France. La moyenne mondiale est de 27% selon l’Arcep, le gendarme des télécoms français. Pourtant, dans son baromètre « de la transition vers l’IPv6 en France » l’institution se fait pressante, « La transition vers un nouveau protocole de communication sur internet apparaît comme un enjeu majeur de compétitivité et d’innovation ». Sans IPv4 impossible de lancer un nouvel opérateur ou toute sorte d’activités pouvant nécessiter l’utilisation d’adresses.

La raison de la lenteur de cette transition de l’IPv4 vers l’IPv6 est l’incompatibilité directe entre les deux protocoles. Ils ne peuvent pas communiquer entre eux en tant que tels. Samih Souissi, membre de l’Unité “Internet Ouvert” de l’Arcep, nous explique les problèmes que cela pose : « Un routeur qui ne connaît qu’IPv4 ne va pas comprendre l’IPv6 et ne pourra pas router les paquets réseau correspondants ». En clair l’ordinateur ne pourra pas être guidé correctement. Ce n’est pas tout, poursuit Samih Souissi, « Certaines applications doivent manipuler des adresses IP. L’IPv6 impose donc de mettre à jour pas mal d’applications (certaines applications et logiciels métiers pour l’entreprise, etc.) parce qu’on a besoin d’un espace plus grand pour l’IPv6 (128 bits pour une adresse IPv6, contre seulement 32 bits pour une adresse IPv4) ».

Schéma de chaque élément qui compose internet

Ce schéma montre l’état d’avancement de la transition vers l’IPv6 aux différents maillons techniques qui font internet. Crédit : Arcep

Pour Vivien Guéant, également membre de l’unité Internet Ouvert à l’Arcep et interrogé par Siècle Digital, la conséquence est sans appel, « La transition entre le protocole IPv4 et IPv6 est très lente, car mettre de l’IPv6 ne dispense pas de devoir acheter des IPv4 tant que la grande majorité de l’Internet n’a pas fait sa transition ». Les appareils IPv6 fonctionnent, pour beaucoup, en “dual-stack”, en parallèle avec une IPv4, avec la pénurie certains dispositifs sont dit IPv6-Only, posant le risque de deux internet distincts.

graphique sur l'évolution du taux des sites accessibles en IPv6

Graphique sur l’évolution du taux des sites web accessibles en IPv6 sur divers nom de domaine : .fr, .re, .pm, .yt, .tf et .wf

Des bribes de solution non pérennes

En attendant le basculement de l’internet mondial vers l’IPv6, les adresses IPv4 restent indispensables. Chaque acteur fait comme il peut pour faire durer ses stocks. Les principaux opérateurs français ont déjà distribué entre 94% et 99% des IPv4 qu’ils possédaient.

Pour faire face, les opérateurs peuvent faire appel à une technique au nom barbare de “Carrier-Grade NAT”. Le principe est de partager une même immatriculation entre plusieurs clients, généralement voisins. Si l’on se fit au baromètre de l’Arcep, Free est l’opérateur qui a le plus recours à cette pratique : 65% de ses clients fibres partagent leurs connexions avec un voisin, ou autre. Bouygues et SFR feraient des tests pour s’y mettre, et Orange pourrait y être contraint par la pénurie. Cette technique, pour Nicolas Guillaume, Secrétaire générale de l’Association des Opérateurs Télécoms Alternatifs (AOTA), ne relève que du « bricolage ». Pour le cofondateur de Netalis, un opérateur télécom spécialisé dans le service aux entreprises, l’utilisation d’un NAT est inenvisageable, « Sur le marché des entreprises, c’est cauchemardesque si on commence à découper le truc, c’est inefficace du point de vue opérationnel, c’est hors de question ».

Si votre voiture partage une plaque d’immatriculation avec une autre personne en France et qu’il commet une infraction, il existe une chance que la contravention termine dans votre boite aux lettres. Le problème du Carrier-Grade Nat est similaire. Le fait divers que nous décrivions en début d’article l’illustre. Le quotidien local, Nice-Matin, raconte le placement en garde à vue d’un homme soupçonné d’avoir téléchargé des contenus pédopornographiques. Identifiée par une cellule de lutte contre la cybercriminalité de la police, la personne interpellée était en réalité tout à fait innocente. Abonné Free, il partageait son adresse IP avec trois inconnus, dont le réel responsable. Normalement le FAI doit fournir les noms des propriétaires d’une IP partagée, pour éviter ce type de confusion. Pour une raison inconnue, cela ne semble pas avoir été le cas ici. Contacté, Free n’a pas souhaité faire de commentaire.

Cet incident semble, heureusement, relativement isolé jusqu’à aujourd’hui. Le risque de voir se multiplier ce type de confusion est cependant bien réel. Gregory Mounier, du Centre Européen de lutte contre la cybercriminalité estime que le Carrier-grade NAT « porte ainsi atteinte à la vie privée de nombreuses personnes qui pourraient être citées en procédure alors même que les enquêteurs ne s’intéressent qu’à un seul suspect »

Qui distribue les adresses IP ?

Cette solution étant imparfaite, le besoin d’IPv4 supplémentaire est criant. En temps normal, pour se fournir en IPv4, il faut s’adresser, en Europe et au Moyen-Orient au RIPE NCC. Le même interlocuteur que pour obtenir des IPv6.

Le RIPE NCC est ce qu’on appelle un Registre Internet Régional (RIR). Il en existe cinq dans le monde qui dépendent tous de l’Internet Assigned Numbers Authority, IANA. C’est cette dernière institution qui répartit les “blocs” d’adresses IP, que le RIPE NCC va ensuite découper en sous-bloc pour les redistribuer. Actuellement quatre des cinq RIR manquent cruellement d’adresses, quand il en reste.

Carte du monde représentant les RIR

Cette carte du monde représente les zones couvertes par chaque RIR.

Pour pouvoir obtenir du RIPE NCC un ou plusieurs blocs d’adresses IP, il suffit de s’inscrire et de devenir un LIR, un “Local Internet Registry”. Il vous en coûtera 2 000 euros de frais d’inscription, ainsi qu’une cotisation annuelle variable. En 2019 elle était de 1400 euros. Le RIPE NCC n’est pas une organisation à but lucratif, très transparent, ses prix varient selon ses besoins de l’année pour remplir ses missions.

Les LIR les plus connus en France sont les opérateurs télécoms, mais il en existe environ 1 500. Administration, université, entreprise, « Toute personne morale ou physique peut devenir membre du RIPE NCC » explique le site de l’organisation. Parmi les LIR français, se trouve, par exemple, la Métropole de Lyon. Contacté, Jean-Vincent Bayarri architecte système d’information de la collectivité, a expliqué à Siècle Digital pourquoi il vaut mieux être LIR pour une institution comme la sienne plutôt que passer par un abonnement auprès d’un FAI, « ce sont des adresses [celles données par le FAI] qui ne vous appartiennent pas : vous changez de contrat, de FAI, toutes les adresses vont changer. C’est valable pour le particulier, l’entreprise, l’administration publique. J’ai paramétré tous mes équipements, au bout de 4 ans si je change, je dois changer mes DNS, c’est-à-dire ce qui fait la correspondance entre les noms et les adresses IP, éventuellement tout mes paramètres réseaux, mes firewall… et derrière en matière de visibilité il n’apparaît pas que ce sont des adresses de la Métropole de Lyon, mais que ce sont des adresses de mon fournisseur x ou y. On est tributaire de l’opérateur, on passe par le réseau de l’opérateur, on ne peut pas choisir plusieurs fournisseurs en même temps qui partagent les mêmes adresses ». Ce sont ces raisons qui ont incité la Métropole de Lyon à devenir un LIR en 2018.

Marché secondaire, marché gris ?

Inscrite avant la pénurie de novembre 2019, la Métropole a pu obtenir un “bloc /22” qui correspond à 1024 adresses IPv4. Un nombre très faible, mais Jean-Vincent Bayarri s’estime heureux d’être arrivé à temps. Le RIPE NCC a constaté “une augmentation spectaculaire du nombre de nos membres en raison de l’épuisement d’IPv4, car de nombreuses organisations voulaient obtenir un /22 avant que le pool IPv4 ne soit entièrement épuisé”. 

Heureusement pour la Métropole de Lyon, leurs 1024 adresses comblent leurs besoins. Ce n’est pas le cas pour les 50 membres de l’Association des Opérateurs Télécoms Alternatifs (AOTA) qui ne peuvent faire autrement que de se fournir en IPv4 pour les distribuer à leurs clients.

En cette période de pénurie, plusieurs possibilités existent pour les entreprises de l’AOTA, “On peut avoir des IPv4 en passant par le circuit officiel, c’est-à-dire se redéclarer auprès du RIPE qui gère les adresses IP en Europe”. Malgré la pénurie, le RIPE NCC peut momentanément en récupérer comme l’explique l’un de ses porte-paroles : “nous encourageons les organisations à retourner leur espace IPv4 inutilisé lorsque cela est possible. Nous recevons fréquemment des espaces d’adresses inutilisés et les remettons dans notre pool IPv4”. Elles sont cependant réservées, dans un souci de distribution de la ressource, aux nouveaux arrivants et seulement pour un bloc /24, soit à peine 256 adresses, “Quand un LIR est mis en place, il a 4 fois moins d’adresses pour le même prix, donc cela diminue fortement le rapport quantité d’IPv4 / prix” constate Vivian Guéant de l’Arcep. Cette voie officielle n’attire pas comme l’atteste la liste d’attente mise en place par le RIPE NCC.

courbe montrant les demandes d'adresses IPv4

Après la pénurie le RIPE NCC a mis en place une liste d’attente pour distribuer les adresses IPv4 récupérée. La courbe la plus clair représente le nombre de LIR en attente d’adresses. La courbe plus foncée montre le nombre de jour que le LIR devra patienter avant d’obtenir les précieuses adresses. Crédit : RIPE NCC

Loi de l’offre et de la demande, lorsqu’une ressource s’épuise, sa valeur augmente. Les agents de l’Arcep ont constaté l’émergence d’un marché défini comme tantôt secondaire, tantôt gris. En clair un marché qui s’épanouit dans un flou juridique.

Théoriquement les adresses IP sont prêtées aux LIR. Hormis la cotisation annuelle et les frais d’inscription au RIPE, les IP ne coûtent rien. Lorsqu’une entreprise disparaît, elle doit renvoyer ses blocs au RIPE, mais selon Vivien Guéant “de plus en plus de plages IPv4 sont vendues quand un opérateur fait faillite”. La revente d’IP n’est pas formellement interdite par le RIPE NCC, elle est “légale et réglementée par les politiques de transfert définies par la communauté RIPE” expliquent ces derniers, qui ajoutent, “Nous ne bloquerons et ne saisirons les ressources d’un membre que s’il y a une violation grave du contrat signé par le LIR”.

De fait, la revente d’adresses est un phénomène qui ne date pas d’hier. Dès 2011 une plateforme, aujourd’hui fermée, proposait de racheter et revendre des droits d’utilisation d’adresse IP. La même année, dans le RIR d’Amérique du Nord, Microsoft rachète à Nortel, une entreprise de télécommunication canadienne disparue, 666 624 adresses pour 7,5 millions de dollars, soit environ 10€ l’unité. Ironiquement, l’ex-directrice de Nortel, Sandra Brown, a flairé le filon et ouvert sa propre entreprise de revente d’adresse IPv4. Elle se décrit comme “une pionnière de la monétisation des IPv4”.

Depuis, de nouveaux métiers sont apparus. Thomas Brenac est devenu en 2016 un courtier d’adresse IPv4 dans les 5 registres internet du monde. Chose rare, puisque les adresses IP ne sont pas forcément compatibles entre les RIR. Il met en relation les entreprises qui recherchent des adresses avec celles qui en vendent, “je suis devenu broker [courtier] un peu par hasard : j’ai pas mal de relation en Russie et quelqu’un souhaitait revendre des adresses et je me suis lancé”. Il dispose d’un contrat avec le RIPE où il s’engage à le représenter, à respecter son règlement. En réalité le RIPE NCC autorise les transferts d’adresses, mais ne prend pas en compte les parties tiers, les courtiers. C’est le cas à l’ARIN, l’équivalent nord-américain du RIPE NCC qui compte beaucoup sur les courtiers, “mais cela va changer” dans le RIPE croit savoir Thomas Brenac.

Graphique représentant les transferts d'IPv4 entre le reste du monde et la France

Transferts d’adresses IPv4 vers la France et sortant de la France, avec les pays de provenance et de destination des adresses. Crédit : Arcep

Plus que de nouvelles opportunités, la marchandisation des adresses IP a provoqué une augmentation des prix. “Quand vous avez acheté 1 000 adresses IP à 13 euros l’unité il y a quelques mois, il faudra maintenant débourser entre 18 et 20 euros. Qui dit pénurie dit inflation des prix” constate, Nicolas Guillaume de l’AOTA. Marco Hogewoning, du RIPE NCC, confirme une fourchette allant de 18 à 24$ l’adresse. Certains sites, comme IPv4.GLOBAL, proposent directement de vendre des adresses. Sur ce dernier il est possible de consulter une courbe des ventes réalisées sur les cinq dernières années. Les données sont très parcellaires, ne concernent qu’un seul site, beaucoup moins actif en 2015 que récemment, néanmoins elles donnent une idée de l’évolution des prix sur le marché de l’IP.

Graphique représentant la hausse des prix IPv4

La hausse des prix de l’adresses IPv4 sur la plateforme IPv4.GLOBAL du 12 juin 2015 au 12 juin 2020. Crédit : IPv4.GLOBAL

Courbe sur la baisse du stock d'adresses IPv4

Historique de l’épuisement des adresses IPv4 du 1er avril 2016 au jour de l’épuisement définitif de la ressource, le 25 novembre 2019. Crédit : Arcep

Les dangers du marché gris

Selon le RIPE NCC “la communauté RIPE (le RIPE NCC est distinct de la communauté RIPE, elle lui apporte un soutien, notamment administratif), a décidé d’autoriser les transferts IPv4 et en a toujours besoin, car l’IPv4 devient une ressource rare”. Ce choix a une conséquence immédiate que subissent de plein fouet les membres de l’AOTA, le prix peut devenir une barrière d’entrée sur le marché et entraver la concurrence.

De plus, cette marchandisation ne va pas sans quelques risques de dérive. Vivien Guéant nous indique notamment que “les adresses IPv4 ont été attribuées rapidement en 2019 potentiellement du fait de spéculation. On peut imaginer que des personnes ont acheté des blocs en espérant les revendre plus tard”. Le RIPE NCC confirme avoir “constaté une augmentation spectaculaire du nombre de nos membres [LIR]”, mais affirme ne pas avoir “remarqué de spéculation concernant les ressources IPv4”.

De son expérience de courtier, Thomas Brenac ne pense pas qu’il existe beaucoup d’organisation qui thésaurise leurs IPv4, “ce n’est pas spéculatif. Il y a quelques petites organisations qui se disent “quand ce sera à 23$, je vendrais”, mais ce sont de petites ressources, des /22[1024 adresses, ndlr], ça ne change pas grand-chose, dans les 1 000 $”. Pour lui, le vrai drame du marché des IPv4 vient des grosses structures, celle qui ont obtenu des adresses lorsqu’elles étaient encore abondantes, “les universités, des grandes entreprises, elles ont des blocs /16 [65 536 IPv4] et elles n’en utilisent qu’une infirme partie, 256 adresses”.

L’autre dérive, plus crainte que la spéculation, est tout simplement la fraude. La forte demande a amené un certain nombre de personnes à vouloir jouer les courtiers. “Il y’en a des dizaines et des dizaines. Vous avez un petit gars, dans un coin en Belgique ou ailleurs qui du jour au lendemain a monté son petit business de revente d’IPv4” témoigne Nicolas Guillaume de l’AOTA. Le risque c’est “que le broker encaisse le cash et qu’il ne livre pas la plage d’adresses IP” continu-t-il. Pour y parer, le RIPE NCC tient une liste publique de courtiers, 86 actuellement sont considérés comme officiel et donc fiable. On y retrouve notamment IPv4.GLOBAL, ainsi que Thomas Brenac.

C’est ici que s’arrête la responsabilité du RIPE NCC selon ce dernier, “ils tiennent, quelque part, une base de donnée à jour disant telle adresse IP appartient à Untel et telle autre à truc, ensuite ils ne veulent pas savoir ce qu’il se passe derrière”. Ce qu’il se passe derrière, c’est que les transactions peuvent donner lieu à toute sorte de tricherie. Thomas Brenac se trouve parfois confronté à des blocs, souvent en provenance de Russie, Biélorussie, ou Turquie, contenant des adresses frelatées, des adresses blacklistées après avoir été utilisées pour commettre des attaques informatiques ou des envois de spams. Autre péripétie rencontrée par le broker, des inconnus qui s’accaparent des adresses allouées à d’autres : récemment Orange et T-Mobile ont envisagé de créer une filiale commune, ils ont demandé des ressources, mais le projet a capoté. Thomas Brenac explique amusé que “des Turcs avaient remonté une entreprise avec le nom de l’ancienne filiale puis ils avaient dit que les adresses IP étaient à eux”. Thomas Brenac a alors prévenu Orange sans obtenir de réponse. Nous n’avons, pour le moment, pas pu contacter Orange pour confirmer cette histoire.

Aucun des interlocuteurs de Siècle Digital n’a en tête de fraude de grande ampleur sur le secteur du RIPE NCC, mais ils surveillent de près un autre RIR, AFRINIC en Afrique. Plusieurs appropriations frauduleuses d’adresses IP ont causé des préjudices de plusieurs dizaines de millions de dollars à différents organismes. Le dernier en date, le plus marquant, implique un ancien cadre d’AFRINIC. Ce dernier contactait des organisations qui s’étaient vu refuser l’attribution d’IPv4 n’étant pas installée sur le continent africain pour leur attribuer illégalement des blocs d’adresses IP. Le préjudice s’élèverait à 54 millions de dollars selon le journaliste américain Ron Guilmette qui a enquêté sur le sujet.

IPv6, que faire pour accélérer la transition ?

Les intervenants contactés par Siècle Digital sont unanimes : pour éviter les dérives, une congestion d’internet, un frein à l’innovation, voire une séparation en deux internet distincts, il faut passer à l’IPv6 le plus rapidement possible.

L’AOTA, dont les membres sont parmi les plus exposés à l’augmentation des prix des adresses IPv4, a interpellé Bercy en 2019, pour que des mesures fortes soient prises. “On peut inciter, y compris du point de vue législatif, c’est-à-dire à l’échelle de l’UE, à prendre une disposition qui s’applique à tous les pays, et qui oblige à minima les institutions publiques à migrer vers l’IPv6, ou en tout cas de rendre compatible leurs services IPv6, ce qui est une possibilité. On peut obliger que cette disposition intègre aussi le code des marchés publics, ce qui est une autre solution”. La réponse de l'administration expliquant prendre en considération le problème laisse Nicolas Guillaume sur sa fin, "elle est en demi-teinte la réponse. Elle nous satisfait parce que l’on sent qu’il y a un frémissement dans les préoccupations à ce sujet. Hélas il n’y a pas de grandes décisions qui impactent on va dire adoption native d’IPv6« .

La Métropole de Lyon fait partis de ces agglomérations qui ont décidé de montrer l’exemple, sous la férule de Jean-Vincent Bayarri. “À la Métropole de Lyon, cela fait une quinzaine d’années que nous sommes tenus d’exiger des matériels réseau qui soient compatibles IPv4 et IPv6. Nous n’acceptons plus d’IPv4 only”, nous précise-t-il. À titre personnel, ce dernier estime possible qu’une législation finisse par voir le jour pour forcer les institutions françaises à faire leur transition.

Aurore Tual cheffe de l’Unité “Internet Ouvert” de l’Arcep, a expliqué à Siècle Digital que pour l’attribution des bandes fréquences 5G les opérateurs avaient pour obligation “de rendre leur réseau mobile compatible avec le protocole IPv6 d’ici le 31 décembre 2020. Des opérateurs, au Japon notamment, ont déjà pris le taureau par les cornes pour rendre leur réseau 100% IPv6. C’est le cas de Rakuten.

Autrement, les leviers de l’Arcep comme du RIPE NCC consistent essentiellement à de la pédagogie. Le gendarme des télécoms français a mis en place avec l’Internet Society une task-force le 15 novembre 2019. Elle est chargée de réfléchir aux leviers pouvant accélérer la transition vers l’IPv6, comme l’accompagnement et la sensibilisation des entreprises à cette transition. Elle préconise également une exemplarité de l’état dans la transition.

Le RIPE NCC, qui a pris part à la task-force de l’Arcep, joue également la carte de la pédagogie. “Nous proposons des formations et des webinaires à nos membres. Nous disposons également d’une plateforme de formation en ligne appelée RIPE NCC Academy et nous travaillons sur un nouveau programme éducatif appelé « Certified Professionals ». Nous disposons également de nombreuses ressources sur notre site web concernant l’IPv6 et la manière de se préparer au déploiement. Du côté de la communauté, il existe un groupe de travail sur l’IPv6 qui se réunit à chaque réunion du RIPE et élabore des politiques relatives à l’IPv6 par le biais de sa liste de diffusion,” détaille le porte-parole de l’organisation.

Aujourd’hui l’Arcep explique ne pas avoir d’estimation chiffrée sur le temps que prendra la transition vers l’IPv6. Sur le forum spécialisé lafibre.info, certains internautes parlent d’une quarantaine d’années voire davantage, sans prise de conscience collective du problème que pose la pénurie d’IPv4. Le RIPE NCC explique qu’il ne peut pas “prédire pendant combien de temps l’IPv4 sera encore le protocole dominant. Toutefois, nous constatons une nette augmentation du déploiement IPv6 au cours des 6 ou 7 dernières années et nous espérons que l’IPv4 disparaîtra lentement dans les années à venir”. Dans une interview récente accordée à The Register, Marco Hogewoning, responsable de la politique publique du RIPE NCC, a estimé que cela pourrait durer cinq à dix ans. Le plus tôt sera le mieux.