Internet Gateway Device Protocol

Internet Gateway Device Protocol (IGD Protocol) est une spécification développée par le UPnP Forum dans le cadre de l'architecture UPnP. Elle permet aux périphériques d'un réseau local de découvrir et de configurer automatiquement les passerelles réseau, comme les routeurs domestiques, notamment pour la redirection dynamique des ports (redirection de ports).

Le protocole IGD a été conçu au début des années 2000 pour faciliter la configuration réseau des particuliers, alors que l’Internet haut débit devenait accessible au plus grand nombre. Il visait à automatiser l’ouverture des ports réseau nécessaires à certaines applications comme les jeux en ligne, les logiciels de visioconférence, ou encore le partage de fichiers.

La première version, IGD v1, a été suivie par IGD v2, qui introduit de meilleures pratiques de sécurité et une compatibilité accrue avec les réseaux modernes^[1].

Le protocole IGD répond aux besoins suivants :

• Faciliter la configuration réseau sans intervention manuelle ;
• Permettre aux logiciels de demander l’ouverture de ports de manière dynamique ;
• Rendre les services auto-hébergés accessibles depuis Internet ;
• Simplifier le contournement du NAT.

IGD permet notamment :

• La redirection automatique de ports TCP et UDP ;
• La récupération d'informations réseau (IP publique, bande passante disponible, etc.) ;
• La surveillance de l’état de la connexion Internet ;
• La configuration du pare-feu du routeur via des commandes distantes.

Lorsqu’un utilisateur héberge un serveur de jeu, le logiciel peut utiliser IGD pour demander au routeur d’ouvrir un port spécifique, permettant aux joueurs externes de se connecter, sans configuration manuelle du routeur.

IGD repose sur les composants suivants :

• SSDP (Simple Service Discovery Protocol) : découverte des périphériques IGD sur le réseau ;
• SOAP (Simple Object Access Protocol) : envoi des requêtes via XML sur HTTP ;

Malgré son utilité, IGD présente des failles potentielles :

• Toute application locale peut ouvrir des ports sans authentification ;
• Certains routeurs implémentent le protocole de façon laxiste ;
• L’utilisateur n’est pas toujours informé des modifications réseau.

Des chercheurs et organismes de cybersécurité recommandent de désactiver IGD/UPnP si ces fonctionnalités ne sont pas explicitement nécessaires^[2],[3].

• Désactiver UPnP/IGD sur les équipements non utilisés.
• Mettre à jour régulièrement le firmware du routeur.
• Contrôler manuellement les redirections de ports.
• Surveiller les modifications réseau induites par les logiciels installés.

• Peu ou pas de prise en charge native de IPv6 ;
• Incohérences entre les versions IGD v1 et v2 ;
• Absence d’authentification ou de journalisation robuste.

Plusieurs technologies ont été développées pour remplacer IGD :

• NAT-PMP (NAT Port Mapping Protocol) — développé par Apple, permet la redirection sans interface web^[4] ;
• PCP — successeur de NAT-PMP, avec meilleure gestion de la sécurité^[5] ;
• IPv6 — permet une communication directe sans redirection de ports ;
• Réseaux privés virtuels automatisés : Tailscale, ZeroTier.

• UPnP
• NAT
• Port forwarding
• IPv6
• ZeroTier
• Tailscale
• SOAP
• SSDP

• Portail de l’informatique
• Portail des télécommunications