À quoi sert une recherche Whois sur une adresse IP ?
Le Whois IP permet d'identifier l'organisation responsable d'une adresse IP et de trouver les bons contacts en cas de besoin.
Cas d'usage courants :
- Signalement d'abus : Trouver l'email abuse pour signaler du spam, une attaque DDoS ou un scan de ports
- Investigation sécurité : Identifier l'origine d'une connexion suspecte dans vos logs
- Configuration pare-feu : Obtenir la plage CIDR complète pour bloquer ou autoriser un réseau
- Vérification partenaire : Confirmer que l'IP d'un prestataire appartient bien à son organisation
Comment interpréter les résultats Whois ?
Organisation et Netname
Le champ organisation indique l'entité légale propriétaire du bloc IP. Le netname est l'identifiant technique de la plage réseau.
Exemples :
Google LLC→ Bloc appartenant à GoogleOVH SAS→ Serveur hébergé chez OVHCLOUDFLARENET→ IP derrière le CDN Cloudflare
Plage CIDR et Netrange
La plage CIDR (ex: 203.0.113.0/24) définit le bloc d'adresses attribué. Le netrange indique la première et dernière adresse du bloc.
Utilisation :
# Bloquer toute la plage sur un pare-feu Linux
iptables -A INPUT -s 203.0.113.0/24 -j DROP
Contacts (abuse, admin, tech)
- abuse-mailbox : Email pour signaler les abus (spam, attaques, etc.)
- admin-c : Contact administratif de l'organisation
- tech-c : Contact technique pour les questions réseau
Les 5 registres régionaux (RIR)
Les adresses IP sont gérées par 5 registres régionaux qui délèguent des blocs aux opérateurs et organisations :
| Registre | Région | Exemple de plage |
|---|---|---|
| RIPE NCC | Europe, Moyen-Orient, Asie centrale | 193.0.0.0/8 |
| ARIN | Amérique du Nord | 74.0.0.0/8 |
| APNIC | Asie-Pacifique | 1.0.0.0/8 |
| LACNIC | Amérique latine, Caraïbes | 200.0.0.0/8 |
| AFRINIC | Afrique | 41.0.0.0/8 |
L'outil identifie automatiquement le bon registre selon l'adresse IP recherchée.
Limites du Whois IP
Ce que le Whois ne montre PAS
- L'utilisateur final : Derrière une IP résidentielle, le Whois montre le FAI, pas l'abonné
- La localisation exacte : Le pays indiqué est celui de l'organisation, pas du serveur physique
- L'activité en temps réel : Le Whois décrit la propriété, pas l'état BGP ou le routage actuel
Données potentiellement obsolètes
Les bases Whois sont mises à jour par les organisations elles-mêmes. Certaines informations peuvent dater. En cas de doute, croisez avec RDAP (format moderne normalisé).
FAQ - Questions fréquentes
Q : Quelle est la différence entre Whois domaine et Whois IP ?
R : Le Whois domaine identifie le propriétaire d'un nom de domaine et son registrar. Le Whois IP identifie l'organisation qui détient un bloc d'adresses IP et l'opérateur réseau responsable.
Q : Comment trouver le contact abuse d'une adresse IP ?
R : Effectuez une recherche Whois sur l'IP. Dans les résultats, cherchez le champ 'abuse-mailbox' ou 'abuse-c'. C'est l'adresse email dédiée aux signalements.
Q : Pourquoi certaines informations Whois sont masquées ?
R : Certaines organisations utilisent des services de protection de la vie privée. Les opérateurs cloud et CDN masquent souvent les détails de leurs clients finaux.
Q : Comment identifier si une IP appartient à un VPN ou proxy ?
R : Recherchez le nom de l'organisation dans les résultats. Les fournisseurs VPN connus apparaissent généralement dans le champ organisation ou netname.
Outils complémentaires
| Outil | Utilité |
|---|---|
| Reverse DNS (PTR) | Trouver le nom d'hôte associé à une IP |
| Mon adresse IP | Afficher votre IP publique actuelle |
| Calculateur Netmask | Calculer les plages réseau et masques |
Ressources utiles
- RIPE Database - Registre européen
- ARIN Whois - Registre nord-américain
- RFC 3912 - WHOIS Protocol - Spécification du protocole