Mise à jour: 09/01/2020 Auteur: Chris Carcaud Rubrique: réseau Publication: 06/01/2020

Quelles informations se cachent derriere une adresse IP

L'adresse ip est une donnée importante dès lors que l'on souhaite obtenir des informations sur une requête ou une action d'un internaute. En effet, le serveur web enregistre les ip publiques de toutes les demandes qui lui sont faites. Le whois est un moyen de localiser, d'identifier l'origine de la requete et parfois meme de détecter le type de périphérique.

Base de données Whois

Afin de s'y retrouver dans le réseau internet, les informations autour des adresses IP sont maintenues par des RIR, un pour chaque continent. Les bases de données Whois sont mises à disposition par ces cinq organismes au format Whois ou Rdap. Ces données sont essentielles pour comprendre et réguler les infrastructures réseaux des adresses ipv4 et des adresses ipv6 utlisés par le protocole TCP.

Le contenu des Whois IP est en grande partie renseigné par le LIR (Fournisseur d'accès) lui-même. Les données ne sont pas toujours à jour, par contre on trouve bien souvent des informations sur la géolocalisation, les règles d'adressage et le type d'utilisateur. Dans le cas d'une IP fixe, le fournisseur d'accès indique l'identité de l'organismation à laquelle la plage d'adrese a été allouée.

Les bases de données sont en libre accès ce qui pose parfois des problèmes pour la protection de la vie privée. D'une manière générale, seul le LIR connait l'identité de l'utilisateur finale puisque la connexion depuis une adresse publique transite au travers du réseau local du fournisseur d'accès. L'interrogation d'un whois ip s'effectue bien souvent en ligne de commande sur le port 43.

Client whois intelligent

Face à la pénurie d'adresse ipv4 et au manque de standardisation des whois, les informations changent quotidiennement dans les bases de données des Registres Internet régionaux. Une méthode de requête consiste à interroger un registre (ARIN, RIPE NCC, APNIC) pour ensuite trouver le serveur whois à interroger.

Le plus simple pour trouver des informations sur une adresse ip est d'utiliser la commande whois que l'on trouver sur les distribution Linux ou de faire ses requetes à l'aide d'un outil de whois en ligne.  Cette application automatise la sélection du RIR et l'extraction des données importantes d'un whois.

Vérifier les informations d'une adresse ip dans le whois

Les bases de données des registres internet sont destinées aux administrateurs réseaux, aux fournisseurs d'accès internet et à toutes les personnes cherchant des informations. En l'absence de normalisation des données, le standard de présentation des informations en cours est la RFC 3912 qui permet de recolter les données suivantes:

Plage des adresses

inetnum, netRange: la première ligne du whois indique la plage d'adresse concernée par les données. La liste d'adresse ip est indiqué au format CIDR (masque de sous-réseau) ou tout simplement avec une adresse de début et de fin de la plage d'ip.

Géolocalisation

country, city: le LIR indique la localisation de l'utilisateur ou du réseau sur laquelle est attribuée l'adresse. Le pays est retourné suivant la ISO norme 3166-1, à savoir le code pays sur 2 caractères.

Fournisseur d'accès

mnt-by, OrgName, address:  le nom de l'administration du réseau est probablement l'information la plus importante. Par exemple, on peut supposer que l'ip est utilisée par un site internet lorsque le LIR est OVH SAS, par un internaute si le FAI est Orange SA ou encore par un moteur de cherche si l'ip est allouée à Google LLC.

Autres données

last-modified: la date de mise à jour des données est un indice pour la confiance que l'on peut apporter aux données. Lorsqu'elles sont anciennes, cela signifie bien souvent sur le fournisseur d'accès n'actualise pas sa fiche whois.

descr: bien souvent en début de whois, la description donne des informations supplémentaires sur le type de périphérique (4G, GPRS ou mobile) et la localisation de l'utilisateur finale.

nom d'hôte:  cet identificateur est unique et retourné par le serveur DNS. Hormis pour les adresses privées de la classe A ou de la classe C, les fournisseur d'accès internet prennent la peine de renseigner l'identification.

 

Voici un apercu des données dont chaque webmaster peut se servir pour identifier le trafic ou le sérieux d'une annonce posté sur son site internet. L'outil de Crawl-tools indique également la réputation de l'adresse IP, à savoir l'interrogation des listes de confiance qui répertorient les attaques provenant de ces réseaux. Le deuxième indicateur porte sur les VPN et les proxy qui sont utilisé pour masquer l'identité de l'utilisateur, le plus connu est le réseau TOR.

Les whois d'adresse IP fournissent une base d'information sur un adresse ou un routeur qu'il convient de confirmer avec d'autres sources d'informations. Je vous conseille de vous entrainer avec votre adresse ip, veillez à prendre l'adresse public et non l'ip locale (cf ipconfig), pour laquelle des informations peuvent être vérifiées assez facilement.