L’Ukraine Perd le Contrôle d’Adresses IP Essentielles, Utilisées par des Proxys et des Cybercriminels

Depuis Février 2022, près d’un cinquième de l’espace Internet Ukrainien est passé sous contrôle Russe ou a été vendu à des courtiers d’adresses IP. Cette situation alarmante voit des pans entiers d’adresses IP Ukrainiennes se retrouver entre les mains de services de proxy et d’anonymisation, parfois liés à des activités cybercriminelles, et imbriqués dans de grands Fournisseurs de Services Internet (FAI) Américains.

La Vente d’Adresses IPv4 : Une question de Survie pour les FAI Ukrainiens

Une étude de Kentik révèle comment l’invasion Russe a affecté l’allocation d’adresses Protocole Internet version 4 (IPv4) en Ukraine. Alors que la majorité des FAI Ukrainiens ont maintenu leur infrastructure, certains, comme Ukrtelecom, ont dû vendre des portions de leur espace d’adressage IPv4 pour assurer leur stabilité financière.

Ukrtelecom,par exemple,ne gère plus que 29% des plages d’adresses IPv4 qu’il contrôlait avant la guerre. L’entreprise a expliqué à Doug Madory de kentik qu’elle avait été contrainte de vendre des blocs d’adresses pour “garantir la stabilité financière et continuer à fournir des services essentiels”.

Une grande partie de cet espace IPv4 a été dispersée à plus de 100 fournisseurs à travers le monde, notamment chez trois grands FAI Américains : Amazon (AS16509), AT&T (AS7018) et cogent (AS174).

La Dispersion des Adresses IP Ukrainiennes : Un Risque pour la Cybersécurité

LVS (AS43310), un autre FAI Ukrainien, avait acquis environ 6 000 adresses IPv4 en 2022. Cependant, en Novembre 2022, une grande partie de cet espace d’adressage s’est retrouvée dispersée dans plus d’une douzaine de lieux différents, principalement acheminée par AT&T.

Tvcom, un autre FAI Ukrainien, achemine actuellement près de 15 000 adresses IPv4 de moins qu’au début du conflit. La plupart de ces adresses ont été dispersées vers 37 autres réseaux en dehors de l’Europe de l’Est, notamment Amazon, AT&T et Microsoft.

Trinity (AS43554), un FAI Ukrainien, a été mis hors ligne lors du siège de Mariupol en Mars 2022. Son espace d’adressage a finalement commencé à apparaître dans plus de 50 réseaux différents à travers le monde, avec plus de 1 000 adresses IPv4 apparaissant soudainement sur le réseau d’AT&T.

Proxys et Cybercriminalité : Un Cocktail Explosif

Selon Spur, une entreprise spécialisée dans le suivi des services VPN et proxy, la quasi-totalité des plages d’adresses identifiées par Kentik sont désormais utilisées par des services de proxy commerciaux.Ces services permettent aux clients de masquer leur trafic internet via l’ordinateur d’un tiers.

Bien que ces services puissent avoir des utilisations légitimes, ils sont également massivement utilisés pour dissimuler des activités de cybercriminalité, rendant difficile le traçage du trafic malveillant vers sa source d’origine.

Les adresses IPv4 sont très demandées et donc précieuses. Des courtiers IPv4 paient entre 100 et 500 dollars par mois pour louer un bloc de 256 adresses IPv4, et les fournisseurs de proxy et de VPN sont souvent les plus disposés à payer ces tarifs.

une analyze des blocs d’adresses acheminés via AT&T révèle une prépondérance de réseaux originaires de Hongrie, Lituanie, Moldavie, Maurice, Palestine, Seychelles, Slovénie et Ukraine.

La Réaction d’AT&T et l’Avenir des Proxys

AT&T a récemment modifié sa politique concernant les itinéraires d’origine pour les blocs de réseau qu’elle ne possède pas. Cette nouvelle politique, entrée en vigueur en Février 2025, donne à ses clients jusqu’au 1er Septembre 2025 pour créer leur propre espace IP à partir de leur propre numéro de système autonome (ASN).

Un porte-parole d’AT&T a déclaré que cette modification vise à garantir la meilleure qualité de service à ses clients et qu’elle n’autorise plus les voies statiques avec les adresses IP qu’elle n’a pas fournies.

Riley Kilmer, directeur de la technologie de Spur, estime que ce changement de politique d’AT&T obligera de nombreux services de proxy à migrer vers d’autres fournisseurs Américains ayant des politiques moins strictes.

L’Ironie de la Situation : Des Adresses Ukrainiennes Utilisées Contre l’Ukraine

L’utilisation d’adresses IP Ukrainiennes par des fournisseurs de proxy a conduit à ce que certaines de ces adresses soient utilisées dans des cyberattaques contre l’Ukraine et d’autres ennemis de la Russie. Stark Industries Solutions Inc., un FAI sanctionné par l’Union Européenne, a été identifié comme une source d’attaques DDoS et de tentatives de piratage ciblé, utilisant en partie des adresses provenant de FAI Ukrainiens.

Selon Spur,le service proxy IPROYAL est un bénéficiaire actuel des blocs d’adresses IP de plusieurs FAI Ukrainiens mentionnés dans le rapport de Kentik.

Cogent Communications, un fournisseur d’épine dorsale de niveau 1 basé à Washington, DC, est également devenu une base d’attache attrayante pour les services proxy, car il est relativement facile d’obtenir un jour de mise à jour pour acheminer un bloc d’adresse.

Cogent a refusé de commenter les conclusions de Kentik.

Tableau Récapitulatif des FAI Ukrainiens Affectés

Cette situation soulève des questions cruciales sur la sécurité de l’Internet et la nécessité pour les FAI de mettre en place des politiques plus strictes concernant l’utilisation de leurs adresses IP. Comment les organisations internationales peuvent-elles aider l’Ukraine à récupérer le contrôle de son espace Internet ? Quelles mesures peuvent être prises pour empêcher l’utilisation d’adresses IP volées à des fins cybercriminelles ?