Qu’est-ce que l’usurpation d’adresse IP ?

Des paquets IP usurpés avec des adresses sources falsifiées sont souvent utilisés dans les attaques afin d’éviter leur détection.

Share facebook icon linkedin icon twitter icon email icon

Usurpation d’adresse IP

Objectifs d’apprentissage

Après avoir lu cet article, vous pourrez :

  • Définir l’usurpation d’adresse IP
  • Décrire comment l’usurpation d’adresse IP est utilisée dans les attaques DDoS
  • Décrire un moyen de se défendre contre l’usurpation d’adresse IP

Qu’est-ce que l’usurpation d’adresse IP ?

L'usurpation d'adresse IP est la création de paquets IP (Internet Protocol) qui ont une adresse source modifiée afin de masquer l'identité de l'expéditeur, d'usurper l'identité d'un autre système informatique, ou les deux. Il s'agit d'une technique souvent utilisée par des personnes malveillantes pour lancer lancer des attaques DDoS contre un appareil cible ou l'infrastructure environnante.


L'envoi et la réception de paquets IP est le moyen principal par lequel les ordinateurs en réseau et d'autres appareils communiquent. Il constitue le fondement de l'Internet moderne. Tous les paquets IP contiennent un en-tête qui précède le corps du paquet et contient des informations de routage importantes, y compris l'adresse source. Dans un paquet normal, l'adresse IP source est l'adresse de l'expéditeur du paquet. Si le paquet a été falsifié, l'adresse source sera falsifiée.

IP Spoofing DDoS Attack

L'usurpation d'adresse IP est analogue à un attaquant envoyant un colis à une personne en utilisant une fausse adresse de retour. Si la personne qui reçoit le colis veut empêcher l'expéditeur d'envoyer des colis, le fait de bloquer tous les colis en se basant sur la fausse adresse ne servira pas à grand chose, car l'adresse de retour est facilement modifiable. De même, si le destinataire veut répondre à l'adresse de retour, son colis renvoyé ira à une autre adresse que celle du véritable expéditeur. La possibilité d'usurper les adresses des paquets est une vulnérabilité de base exploitée par de nombreuses attaques DDoS.


Les attaques DDoS utilisent souvent l'usurpation d'identité dans le but de submerger une cible de trafic tout en masquant l'identité de la source malveillante, ce qui a pour effet d'empêcher les efforts d'atténuation. Si l'adresse IP source est falsifiée et randomisée en continu, le blocage des requêtes malveillantes devient difficile. L'usurpation d'adresse IP complique également la tâche des équipes chargées de l'application des lois et de la cybersécurité pour retrouver l'auteur de l'attaque.


L'usurpation d'identité est également utilisée pour se faire passer pour un autre appareil afin que les réponses soient envoyées à cet appareil cible. Les attaques volumétriques du type par amplification NTP et par amplification DNS utilisent cette vulnérabilité. La possibilité de modifier l'IP source est inhérente à la conception du TCP/IP , ce qui en fait un problème de sécurité permanent.

Parallèlement aux attaques DDoS, l’usurpation peut aussi permettre de se déguiser en un autre appareil afin de contourner l’authentification pour accéder ou « détourner » une session d’utilisateur.

Comment se protéger de l’usurpation d’adresse IP (filtrage de paquets)

Bien que l'usurpation d'adresse IP ne puisse pas être empêchée, des mesures peuvent être prises pour empêcher les paquets usurpés d'infiltrer un réseau. Une défense très courante contre l'usurpation d'identité est le filtrage de trafic entrant, décrit dans BCP38 (un document qui présente les bonnes pratiques en matière de filtrage du réseau). Le filtrage du trafic entrant est une forme de filtrage de paquets généralement mis en œuvre sur un dispositif à la périphérie du réseau qui examine les paquets IP entrants et regarde leurs en-têtes source. Si les en-têtes source de ces paquets ne correspondent pas à leur origine ou s'ils semblent douteux, les paquets sont rejetés. Certains réseaux appliqueront également un filtrage du trafic sortant, qui examine les paquets IP sortant du réseau, ce qui garantit que ces paquets ont des en-têtes de source légitimes pour empêcher une personne du réseau de lancer une attaque malveillante sortante à l'aide de l'usurpation d'adresse IP.