Qu'est-ce que le CGNAT (Carrier-Grade NAT) ?

CGNAT (NAT de niveau opérateur), également appelée NAT à grande échelle (LSN), est une technique utilisée par les FAI dans les réseaux IPv4 pour partager un petit pool d'adresses IPv4 publiques entre des centaines d'abonnés, ce qui permet de prolonger la durée de vie de l'espace d'adressage IPv4 (Wikipédia (NAT de niveau opérateur), 2025). Une seule adresse IP publique peut desservir des centaines de clients à la fois. Ce regroupement est invisible pour les utilisateurs finaux, mais il a des conséquences réelles pour tout système qui s'appuie sur les adresses IP pour identifier, géolocaliser ou limiter le débit des utilisateurs.

Fonctionnement du CGNAT

La norme RFC 6598 de l'IETF a réservé le bloc 100.64.0.0/10 (de 100.64.0.0 à 100.127.255.255) comme espace d’adressage partagé dédié à la liaison entre les dispositifs CGN et les équipements des locaux des clients, en le distinguant des plages d’adresses privées définies par la RFC 1918 (IETF RFC 6598, 2012). Lorsqu'un abonné envoie une requête, le dispositif CGN de l'opérateur remplace l'adresse source de la plage 100.64.x.x par une adresse IP publique partagée et enregistre cette traduction. Les réponses transitent par le même dispositif et font l'objet d'une traduction inverse afin d'atteindre le bon abonné.

Cela crée une configuration à double NAT : un NAT au niveau du routeur domestique et un second au niveau de l'opérateur. Les numéros de port permettent de distinguer les sessions entre les nombreux utilisateurs partageant la même adresse IP publique.

Comment le CGNAT affecte les systèmes basés sur le protocole IP

Comme des centaines d'utilisateurs partagent une même adresse IP publique, tout système qui bloque ou attribue un score en fonction de l'adresse IP les traite tous comme une seule et même entité. Un blocage visant un seul acteur malveillant touche tous les autres abonnés du même pool. La précision de la géolocalisation s'en trouve également réduite : l'adresse IP publique correspond à l'emplacement de l'infrastructure de l'opérateur, et non à la ville ou au quartier réel de l'abonné.

La réputation IP fonctionne de la même manière. Un seul spammeur au sein d’un pool CGNAT peut faire baisser les scores de centaines d’utilisateurs qui n’ont aucun lien avec lui. Les opérateurs mobiles sont les plus grands utilisateurs de CGNAT, la plupart des réseaux 4G et 5G plaçant les terminaux derrière ce système. Les appareils réels des réseaux résidentiels et des réseaux de proxys mobiles reflètent ce comportement CGNAT, ce qui explique pourquoi leurs schémas de trafic diffèrent de ceux des adresses IP de centres de données qui disposent d’adresses publiques dédiées.

Cas d'usage

  • Analyse des réseaux mobiles. CGNAT explique pourquoi la géolocalisation par IP mobile est approximative et pourquoi de nombreuses sessions partagent une seule adresse publique.
  • Recherche de serveurs proxy et d'adresses IP. Les réseaux de proxys résidentiels, tels que Massive, proviennent d'adresses IP réelles associées à des appareils grand public, dont beaucoup sont situés derrière un CGNAT. Leur trafic sortant correspond étroitement au comportement normal des abonnés, plutôt qu'à celui du trafic sortant d'un centre de données.
  • Détection des fraudes et des abus. Les équipes de sécurité tiennent compte du CGNAT avant de procéder à un blocage en masse d'une adresse IP partagée, ce qui permet de réduire les répercussions collatérales sur les utilisateurs légitimes appartenant au même pool.
  • Planification IPv6. Le CGNAT constitue une solution provisoire pendant que les opérateurs déploient l'IPv6. L'IPv6 attribue à chaque appareil une adresse publique unique, ce qui élimine complètement le problème des adresses IP partagées.

Foire aux questions

CGNAT masque votre adresse privée derrière une adresse IP publique partagée, mais cela ne garantit pas l'anonymat. Votre FAI enregistre l'état de la traduction et peut associer n'importe quelle session à votre compte. De nombreux FAI sont légalement tenus de conserver ces enregistrements.

Les services externes voient l'adresse IP publique de l'opérateur, et non celle de votre appareil. Les bases de données de géolocalisation associent cette adresse IP à l'emplacement de l'infrastructure de l'opérateur, qui peut être éloigné de l'endroit où vous vous trouvez réellement.

Si un abonné situé derrière un pool CGNAT déclenche des règles de lutte contre les abus, l'adresse IP publique partagée est signalée. Les autres utilisateurs partageant cette même adresse IP héritent alors de cette mauvaise réputation et risquent de se voir bloqués à tort ou de devoir répondre à des CAPTCHA.

Un routeur domestique assure la traduction NAT entre vos appareils locaux et l'adresse attribuée par votre FAI. Le CGNAT constitue une deuxième couche au niveau de l'opérateur, qui traduit l'adresse 100.64.x.x attribuée par votre FAI en une adresse IP publique. Il en résulte deux traductions NAT consécutives avant que votre trafic n'atteigne sa destination.