Il ne répond pas au ping.

Pourquoi un trafic important sur cette IP, surtout si elle ne répond pas depuis plusieurs années ?

Pour les systèmes de fichiers il y a /dev/null, et puis pour les réseaux il y a...

L'espace IPv4 avec ses quelques adresses collectors est unique, en comparaison les sysadmins peu futés sont légion.

On peut imaginer de nombreux cas de figure de mauvaises configurations, en sachant par exemple que tu as des réseaux (ouverts ou fermés) qui hijackent des addresses prédéfinies de type http://1.2.3.4/, comme pour citer le premier exemple qui me vient à l'esprit le proxy transparent ByteMobile (utilisé par SFR et Bouygues en France) qui héberge les fichiers JS qu'il injecte dans les pages dessus. Mais ça peut simplement être une mauvaise règle iptables.

Quoi qu'il en soit, si le trafic est massif il est possible qu'en contacter individuellement les principales sources ne soit pas une très grosse affaire.

Quand on regarde le traceroute, on voit que 2.2.2.2 est annoncé via Lyon et non Paris, vu qu'on passe "cbr01-lyo.net.bbox.fr"

Un traitement particulier pour Bouygues Telecom ?

Il y a certains FAI dont la gestion des DNS est remplie d'erreurs, tandis qu'avec d'autres c'est plus le provisioning des débits. À ce même titre, le préposé à l'application des règles de nullrouting peut très bien avoir fait quelques écarts dans l'exercice de sa fonction.

Il ne répond pas au ping.

Effectivement

traceroute to 2.2.2.2 (2.2.2.2), 64 hops max, 52 byte packets
 1  10.0.0.2 (10.0.0.2)  3.253 ms  2.120 ms  2.584 ms
 2  188.73.0.141 (188.73.0.141)  15.940 ms
    95.174.73.3 (95.174.73.3)  15.912 ms
    188.73.0.141 (188.73.0.141)  15.538 ms
 3  95.174.73.1 (95.174.73.1)  13.783 ms  13.037 ms  13.101 ms
 4  188.73.2.98 (188.73.2.98)  13.038 ms  12.862 ms  13.115 ms
 5  xe-4-0-3.ter1.eqx2.par.core.as8218.eu (83.167.52.150)  12.999 ms  12.980 ms  13.045 ms
 6  ae1.ter2.eqx2.par.core.as8218.eu (83.167.55.79)  13.112 ms  14.313 ms  14.418 ms
 7  ae7.tcr2.rb.par.core.as8218.eu (83.167.56.216)  13.115 ms  12.904 ms  13.133 ms
 8  * * *
 9  * * *
10  * * *
11  * * *
12  * *^X *
^C
/code]

Pour revenir au sujet avec la réponse ICMP de 2.2.2.2, voici le traceroute depuis FreeMobile en 4G (pas de réponse) puis Bouygues Telecom en 4G (réponse).

Dans les deux cas, je suis en mode modem depuis un Samsung :
FreeMobile en 4G (réseau en propre) :
$ mtr -rwc50 2.2.2.2
Start: Sun Dec 13 10:49:44 2015
HOST: Vivien                                    Loss%   Snt   Last   Avg  Best  Wrst StDev
  1.|-- 192.168.43.1                             0.0%    50    8.4   9.2   5.1  18.0   1.7
  2.|-- 172.31.255.248                           6.0%    50  191.2 179.7 102.2 394.5  63.0
  3.|-- 172.31.255.2                             2.0%    50  119.1 149.6  79.0 370.6  58.5
  4.|-- bzn-9k-4-be1016.intf.routers.proxad.net  8.0%    50  103.9 147.1  95.7 328.4  60.2
  5.|-- bzn-9k-5-be2100.intf.routers.proxad.net  4.0%    50  112.3 147.4  71.8 539.1  87.6
  6.|-- bzn-9k-4-be1022.intf.routers.proxad.net 10.0%    50  104.2 128.7  89.4 317.3  43.8
  7.|-- th2-9k-3-be1000.intf.routers.proxad.net  4.0%    50  104.7 140.9  55.6 558.8  88.7
  8.|-- ? ?                                     100.0    50

Bouygues Telecom en 4G :
$ mtr -rwc50 2.2.2.2
Start: Sun Dec 13 10:51:41 2015
HOST: Vivien                       Loss%   Snt   Last   Avg  Best  Wrst StDev
  1.|-- 192.168.43.1                0.0%    50    4.6   8.8   1.3 234.6  32.8
  2.|-- 10.125.12.239               0.0%    50   35.3  48.1  25.1 158.4  23.3
  3.|-- 10.125.14.164               0.0%    50   36.3  36.5  26.3 141.5  17.0
  4.|-- 10.125.14.154               0.0%    50   33.3  43.1  25.0 361.2  48.1
  5.|-- 212.194.172.228             0.0%    50   39.4  50.7  25.0 286.4  54.8
  6.|-- be18.cbr01-cro.net.bbox.fr  0.0%    50   34.4  46.2  25.9 180.3  33.5
  7.|-- be5.cbr01-lyo.net.bbox.fr   0.0%    50   44.1  45.4  35.0  94.5  11.8
  8.|-- la44.bsr01-lyo.net.bbox.fr 68.0%    50  22701 22880 22690 23178 172.4
  9.|-- 2.2.2.2                     0.0%    50   43.1  41.3  31.9 137.7  16.9

Youtube est en https, j'ai un peu de doute sur le fait qu'il soit possible de toucher au flux.

J'ai vérifié sur de grands site en http et pas de "1.2.3.4" dans le code source.

J'ai testé avec des images .jpeg :

Qualité Jpeg 80 : (à gauche en http et à droite en https)

Voici ce que cela donne : pas besoin de MD5 pour voir que la compression .jpeg est présente :

Tu veux dire, pour une vidéo YouTube dans une page Web HTTP?