Que sont les adresses IP privées et le NAT ?
Lorsque vous regardez les réglages réseau d'un smartphone ou d'un PC, une adresse IP peut être affichée.
Mais cette adresse IP n'est pas forcément celle qui est visible telle quelle depuis un site web.
Dans les réseaux domestiques ou professionnels, les appareils reçoivent souvent une adresse IP destinée au réseau interne. Et lorsqu'ils communiquent avec Internet, le routeur utilise un mécanisme appelé NAT pour faire correspondre les communications internes et externes.
Cet article organise l'idée selon laquelle « l'adresse IP affichée sur l'appareil » et « l'adresse IP visible depuis un site web » peuvent être différentes.
Les adresses IP ont une portée de visibilité
Une adresse IP n'est pas forcément visible de la même manière depuis partout.
L'adresse IP affichée sur un smartphone ou un PC à la maison est utilisée dans le réseau domestique. En revanche, l'adresse IP visible du côté d'un site web est l'adresse IP source vue depuis Internet.
Ces deux adresses peuvent coïncider, mais dans les Wi-Fi domestiques et les réseaux professionnels, elles ne coïncident souvent pas.
Par exemple, même si 192.168.1.10 est affichée sur votre PC à la maison, cela ne signifie pas que 192.168.1.10 est visible depuis le site web. En général, ce qui est visible pour un site web extérieur est l'adresse IP extérieure utilisée du côté du routeur ou de la ligne.
Qu'est-ce qu'une adresse IP privée ?
Une adresse IP privée est une adresse IP réservée pour les réseaux internes, comme les réseaux domestiques, professionnels ou d'organisation.
Les plages représentatives d'adresses IPv4 privées sont les suivantes.
| Plage | Notation | Exemple fréquent |
|---|---|---|
| 10.0.0.0 à 10.255.255.255 | 10.0.0.0/8 | 10.0.0.5 |
| 172.16.0.0 à 172.31.255.255 | 172.16.0.0/12 | 172.16.1.20 |
| 192.168.0.0 à 192.168.255.255 | 192.168.0.0/16 | 192.168.1.10 |
Les routeurs domestiques utilisent souvent des adresses comme 192.168.0.x ou 192.168.1.x.
Ces adresses IP privées servent à identifier les appareils à l'intérieur d'un domicile ou d'un lieu de travail. Toutefois, elles ne sont normalement pas utilisées telles quelles comme destinations sur Internet.
Autrement dit, même s'il existe chez vous un appareil dont l'adresse IP est 192.168.1.10, cela ne signifie pas qu'une personne située ailleurs sur Internet peut indiquer 192.168.1.10 et accéder directement à cet appareil. Des adresses IP privées similaires sont réutilisées dans des domiciles et lieux de travail partout dans le monde.
Qu'est-ce qu'une adresse IP globale ?
Une adresse IP globale est une adresse IP utilisée sur Internet.
Les sites web, serveurs de courrier, serveurs DNS et autres équipements ou lignes qui communiquent sur Internet utilisent des adresses IP identifiables depuis l'extérieur.
Dans un réseau domestique, même si le smartphone, le PC, la tablette, la console de jeu, etc. possèdent chacun une adresse IP privée, un site web extérieur peut les voir comme accédant depuis la même adresse IP globale.
C'est parce que les appareils ne sortent pas directement sur Internet, mais communiquent en passant par le routeur.
Différence entre l'IP affichée sur l'appareil et l'IP visible depuis un site web
Supposons que l'adresse IP suivante soit attribuée à un PC dans le réseau domestique.
192.168.1.10
C'est l'adresse IP du PC dans le réseau domestique.
Lorsque ce PC accède à un site web, ce qui est normalement visible du côté du site n'est pas 192.168.1.10. Dans de nombreux cas, ce qui est visible du côté du site web est l'adresse IP extérieure du routeur ou de la ligne.
| Lieu d'observation | Adresse IP visible | Signification |
|---|---|---|
| Réglages réseau du PC ou du smartphone | 192.168.1.10, etc. | IP de l'appareil dans le réseau domestique |
| Intérieur du routeur | 192.168.1.x, etc. | IP utilisée pour gérer les appareils du domicile |
| Extérieur du routeur ou de la ligne | Adresse IP globale, etc. | IP utilisée pour communiquer avec Internet |
| Côté site web | IP extérieure | IP facilement enregistrée comme source d'accès |
Le point important ici est qu'il existe une « IP vue de l'intérieur » et une « IP vue de l'extérieur ».
Regarder seulement l'adresse IP affichée sur l'appareil ne permet pas de juger comment vous apparaissez depuis le côté du site web.
Qu'est-ce que le NAT ?
NAT est l'abréviation de Network Address Translation, c'est-à-dire traduction d'adresses réseau.
Dans un réseau domestique, les appareils internes reçoivent des adresses IP privées. Mais lorsqu'ils sortent vers Internet, le routeur communique en utilisant l'adresse IP extérieure.
À ce moment-là, le routeur traduit la communication partie d'un appareil interne en communication extérieure, puis renvoie la réponse reçue au bon appareil.
Par exemple, supposons qu'il y ait les appareils suivants dans un domicile.
| Appareil | Adresse IP privée dans le domicile | IP facilement visible depuis le site web |
|---|---|---|
| PC | 192.168.1.10 | IP extérieure |
| Smartphone | 192.168.1.11 | IP extérieure |
| Tablette | 192.168.1.12 | IP extérieure |
Dans le domicile, le PC, le smartphone et la tablette ont des adresses IP privées différentes.
Mais depuis un site web extérieur, ces appareils peuvent sembler accéder depuis la même adresse IP extérieure.
Le NAT gère une table de correspondance des communications
Avec le NAT, le routeur fait correspondre les appareils internes et les communications externes.
Par exemple, lorsque le PC accède à un site web, le routeur gère l'information « cette communication a commencé depuis le PC 192.168.1.10 ». Puis il renvoie au bon PC la réponse revenue du site web.
Si le smartphone accède à un autre site web, le routeur le gère comme une autre communication.
Dans le NAT couramment utilisé par les routeurs domestiques, la correspondance inclut souvent non seulement les adresses IP, mais aussi les numéros de port TCP ou UDP.
Ainsi, même si plusieurs appareils utilisent la même IP extérieure, le routeur peut distinguer « à quel appareil renvoyer quelle réponse ».
Strictement parlant, le mécanisme qui associe plusieurs adresses IP internes à une adresse IP extérieure et à plusieurs numéros de port peut être appelé NAPT ou PAT. Toutefois, dans les explications courantes, il est souvent regroupé sous le nom NAT.
Plusieurs appareils peuvent partager une seule IP extérieure
Grâce au NAT, plusieurs appareils du domicile peuvent partager une seule IP extérieure pour accéder à Internet.
Par exemple, même si un PC et un smartphone connectés au même Wi-Fi accèdent chacun à un site web différent, vus depuis les sites web, ils peuvent sembler communiquer depuis la même IP extérieure.
Ce mécanisme permet à tous les appareils d'un domicile d'utiliser Internet sans posséder chacun une adresse IP globale individuelle.
Comme le nombre d'adresses disponibles en IPv4 est limité, les adresses IP privées et le NAT sont largement utilisés dans les réseaux domestiques et les réseaux d'organisation.
L'extérieur ne peut pas toujours entrer directement vers les appareils domestiques
Dans un environnement utilisant le NAT, les appareils domestiques peuvent commencer une communication vers l'extérieur.
En revanche, commencer directement une communication depuis l'extérieur vers un appareil domestique n'est normalement pas possible tel quel.
La raison est que, du côté du routeur, il n'existe pas de correspondance indiquant « à quel appareil interne remettre cette communication venant de l'extérieur ».
Cependant, cela ne signifie pas « complètement sûr ». Le risque change selon les réglages du routeur, ceux de l'appareil, les applications utilisées, les vulnérabilités, l'état de connexion, etc.
Le NAT peut avoir pour effet de rendre plus difficile le passage de communications venant de l'extérieur, mais son objectif premier n'est pas l'anonymisation ni la défense elle-même ; il consiste à faire correspondre les communications internes et externes.
Le NAT n'est pas une technologie d'anonymisation
Avec le NAT, l'adresse IP privée de l'appareil domestique peut ne pas être visible directement depuis un site web extérieur.
Cependant, le NAT n'est pas une technologie d'anonymisation.
Le rôle principal du NAT est de faire correspondre les adresses IP privées internes avec les communications extérieures. Ce n'est pas un mécanisme destiné à cacher une identité.
Du côté d'un site web ou d'un service, l'adresse IP extérieure, l'heure d'accès, les informations du navigateur, les informations de l'OS, les cookies, les informations de connexion, les informations de compte, etc. peuvent rester.
De plus, même lorsque plusieurs appareils partagent la même IP extérieure, le service peut parfois distinguer l'appareil ou l'utilisateur avec des cookies, l'état de connexion, etc.
Ainsi, le fait que « l'adresse IP privée ne soit pas directement visible par le site web » et le fait de « communiquer anonymement » sont deux choses différentes.
Une conversion peut aussi avoir lieu côté ligne
Une adresse IP globale dédiée à l'utilisateur n'est pas toujours attribuée à l'extérieur du routeur domestique.
Un NAT peut aussi être effectué du côté de l'opérateur de ligne. Dans ce cas, l'adresse IP extérieure affichée dans l'interface d'administration du routeur domestique et l'adresse IP visible depuis un site web peuvent ne pas coïncider.
Ce mécanisme s'appelle CGNAT.
Le point important à retenir ici est simple.
L'adresse IP affichée sur l'appareil, l'adresse IP extérieure du routeur et l'adresse IP visible depuis un site web ne sont pas toujours identiques.
Résumé
Les appareils d'un domicile ou d'un lieu de travail peuvent recevoir des adresses IP privées.
Les adresses IP privées servent à identifier les appareils dans un réseau domestique ou professionnel. Les plages représentatives comprennent 10.0.0.0/8, 172.16.0.0/12 et 192.168.0.0/16.
En revanche, les services extérieurs comme les sites web voient souvent non pas l'adresse IP privée de l'appareil, mais l'adresse IP extérieure du routeur ou de la ligne.
Le NAT est un mécanisme qui fait correspondre les appareils internes et les communications extérieures. Dans les routeurs domestiques, il associe souvent non seulement les adresses IP mais aussi les numéros de port, afin que plusieurs appareils puissent partager une seule IP extérieure.
Toutefois, le NAT n'est pas une technologie d'anonymisation.
La distinction importante est la suivante.
| Élément | Signification | Point d'attention |
|---|---|---|
| Adresse IP privée | IP utilisée dans un domicile ou un lieu de travail | Elle n'est normalement pas directement visible côté site web |
| Adresse IP globale | IP utilisée sur Internet | Elle est souvent visible côté site web comme source d'accès |
| NAT | Mécanisme qui fait correspondre les communications internes et externes | Ce n'est pas un mécanisme d'anonymisation |
| NAPT/PAT | Mécanisme qui distingue les communications de plusieurs appareils avec adresses IP et numéros de port | Couramment utilisé dans les routeurs domestiques |
L'adresse IP affichée sur l'appareil et l'adresse IP visible depuis un site web peuvent être différentes.
Comprendre cette différence aide à organiser correctement la vision depuis le réseau domestique et la vision depuis Internet.
Spécifications de référence
RFC 1918 - Address Allocation for Private Internets URL : https://datatracker.ietf.org/doc/html/rfc1918
RFC 3022 - Traditional IP Network Address Translator URL : https://www.rfc-editor.org/info/rfc3022/
Outils liés
WhatIsMyIP
Ressource externe liée à cet article. Ouvrez-la seulement si elle correspond à votre situation et à votre modèle de menace.
Pourquoi il est listé ici: Elle peut aider sur le sujet de l’article, mais elle se situe hors d’Anonymity Sense et doit être vérifiée avant usage.