Sur Internet, il est possible d'émettre en utilisant des adresses IP qui ne nous ont pas été attribué. Tout comme il est possible d'envoyer des courriers postaux avec une fausse adresse d'expédition. Cela permet parfois le contournement d'une politique de sécurité basée sur du filtrage par IP. Cela permet (trop) souvent de conduire des attaques par déni de service larvées. Comme toujours, le NAPT n'est pas une protection.
Différentes contre-mesures existent depuis fort longtemps mais elles sont très peu déployées car c'est chiant, ça demande du temps et ça ne rapporte pas immédiatement des sousous, comme toute la sécurité (informatique) d'ailleurs.
Ce projet vise à recenser les réseaux qui autorisent l'usurpation de l'adresse source afin d'en faire un mur de la honte. Il fournit un logiciel sous licence libre (GPL) que chacun⋅e peut exécuter sur son ordinateur afin de tester le réseau de son opérateur et de contribuer à ce mur de la honte. Et si tu participes à l'administration d'un réseau informatique, cela permet d'avoir un test extérieur des contre-mesures mises en œuvre. :)
Les tests sont vraiment complets : envoi de paquets avec une IP source usurpée depuis l'intérieur du réseau, en IPv4 et en IPv6, avec des adresses voisines, avec des adresses n'appartenant pas au réseau et avec des adresses privées puis envoi de paquets avec une IP source usurpée depuis l'extérieur du réseau (les rapports publics ne font pas état de ces tests), en IPv4 et en IPv6, avec des adresses privées et des adresses publiques n'appartenant pas au réseau.
Pour ARN et Grifon, fournisseurs d'accès à Internet associatifs, le premier en Alsace, le second en Bretagne, tout est OK : https://spoofer.caida.org/as.php?asn=60630 et https://spoofer.caida.org/as.php?asn=204092 \o/ Pour la documentation sur notre manière de mettre cela en œuvre, c'est ici pour ARN : https://wiki.arn-fai.net/technique:bcp38. Et ici pour Grifon : https://www.swordarmor.fr/mettre-en-oeuvre-bcp38-avec-un-routeur-freebsd-en-utilisant-pf.html .
Je note que les personnes derrière ce projet sont accessibles et répondent rapidement : un bug signalé le 24 août était corrigé le 29 août. \o/