Qu’est-ce que l’usurpation d’adresse IP ?

Les paquets IP usurpés avec des adresses sources falsifiées sont souvent utilisés dans les attaques afin d’éviter leur détection.

Share facebook icon linkedin icon twitter icon email icon

Usurpation d’adresse IP

Objectifs d’apprentissage

Après avoir lu cet article, vous pourrez :

  • Définir l’usurpation d’adresse IP
  • Décrire comment l’usurpation d’adresse IP est utilisée dans les attaques DDoS
  • Décrire un moyen de se défendre contre l’usurpation d’adresse IP

Qu’est-ce que l’usurpation d’adresse IP ?

L’usurpation d’adresse IP est la création de paquets Protocole Internet (IP) contenant une adresse source modifiée afin de cacher l’identité de l’expéditeur ou pour se faire passer pour un autre système informatique (ou les deux). C’est une technique souvent utilisée par les acteurs malveillants pour réaliser des attaques DDoS contre un appareil ciblé ou l’infrastructure environnante.


L’envoi et la réception de paquets IP est un moyen fondamental de communiquer pour les ordinateurs et autres appareils en réseau, et constitue la base de l’Internet moderne. Tous les paquets IP comprennent un en-tête qui précède le corps du paquet et contient des informations importantes de routage, dont l’adresse source. Dans un paquet normal, l’adresse IP source est l’adresse de l’émetteur du paquet. Si le paquet a été usurpé, l’adresse source sera falsifiée.

Attaque DDoS par usurpation d’adresse IP

L’usurpation d’adresse IP est comparable à un pirate qui envoie un paquet à quelqu’un avec la mauvaise adresse de renvoi. Si la personne qui reçoit le paquet souhaite empêcher l’émetteur d’envoyer des paquets, bloquer tous les paquets de l’adresse falsifiée ne servira pas à grand chose, et l’adresse de renvoi peut facilement être modifiée. De même, si le destinataire souhaite répondre à l’adresse de renvoi, son paquet de réponse sera envoyé ailleurs et non au véritable expéditeur. La capacité d’usurper les adresses des paquets est une vulnérabilité majeure exploitée par de nombreuses attaques DDoS.


Les attaques DDoS utiliseront souvent l’usurpation pour submerger une cible de trafic tout en masquant l’identité de la source malveillante, limitant ainsi les efforts d’atténuation. Si l’adresse IP source est falsifiée et continuellement aléatoire, bloquer les requêtes malveillantes devient difficile. Avec l’usurpation d’identité, il est difficile pour les équipes de maintien de l’ordre et de cyber sécurité de localiser l’auteur de l’attaque.


L’usurpation est aussi utilisée pour se déguiser en un autre appareil afin que les réponses soit envoyées sur cet appareil ciblé. Les attaques volumétriques comme par amplification NTP ou amplification DNS exploitent cette vulnérabilité. La capacité de modifier l’adresse IP source est intrinsèque au design de TCP/IP, ce qui en fait un problème de sécurité permanent.

Parallèlement aux attaques DDoS, l’usurpation peut aussi permettre de se déguiser en un autre appareil afin de contourner l’authentification pour accéder ou « détourner » une session d’utilisateur.

Comment se protéger de l’usurpation d’adresse IP (filtrage de paquets)

Il est impossible d’empêcher l’usurpation d’adresse IP, mais il existe des mesures pour empêcher les paquets usurpés d’infiltrer un réseau. Une protection très répandue contre l’usurpation est le filtrage du trafic entrant, décrit dans BCP38 (un document Meilleure pratique courante). Le filtrage du trafic entrant est une forme de filtrage de paquet généralement appliquée sur un appareil en périphérie du réseau qui examine les paquets IP entrants et vérifie leurs en-têtes source. Si les en-têtes source de ces paquets ne correspondent pas à leur origine ou semblent suspects, les paquets sont rejetés. Certains réseaux mettront également en place un filtrage du trafic sortant, qui surveille les paquets IP qui quittent le réseau pour garantir que ses paquets contiennent des en-têtes source légitimes et empêcher quelqu’un du réseau de lancer une attaque malveillante en sortie en utilisant l’usurpation d’identité.