IP Address Whois

What is IP Whois?

Whois is a protocol that has existed since the early days of the internet. Its role is simple: allow anyone to look up the registration information associated with an IP address or address block. You enter an IP, and Whois tells you which organisation the block is allocated to, by which regional registry, and who to contact if there is an issue.

Unlike a simple IP Lookup that gives you location and provider, Whois returns the raw administrative data as recorded in the registries' databases (RIPE, ARIN, APNIC...).

Tout comprendre sur le Whois IP

Ce que contient une réponse Whois, comment la lire, et dans quels cas c'est utile.

À quoi sert concrètement le Whois ?

Le Whois répond à une question précise : à qui appartient ce bloc d'adresses IP ? Pas au sens de « qui est l'abonné », mais au sens de « quelle organisation a reçu l'attribution de cette plage ». C'est une différence importante. Le Whois ne vous donnera jamais le nom d'un particulier. Il vous dira que le bloc 82.64.0.0/16 est attribué à Orange S.A., enregistré auprès du RIPE, avec tel contact technique.

Dans la pratique, on utilise le Whois quand on a besoin d'aller plus loin qu'un simple lookup. Un administrateur qui reçoit des tentatives d'intrusion depuis une IP donnée peut consulter le Whois pour trouver le contact abuse de l'organisation et signaler le problème. Un juriste peut s'en servir pour identifier l'entité responsable d'un bloc avant d'engager une procédure. C'est un outil d'investigation, pas de surveillance.

Whois et IP Lookup : deux outils, deux usages

On les confond souvent, mais ils ne servent pas la même chose. L'IP Lookup vous donne une vue synthétique et lisible : pays, ville, opérateur, ASN. C'est rapide, c'est clair, et ça suffit pour la majorité des besoins. Le Whois, lui, creuse dans les données d'enregistrement brutes. Il vous montre l'organisation titulaire du bloc, les références administratives, les dates de création et de modification, et les contacts.

Pour savoir d'où vient une IP, un lookup suffit. Pour savoir à qui s'adresser si quelque chose ne va pas avec cette IP, c'est le Whois qu'il faut utiliser. Les deux se complètent, ils ne se remplacent pas.

Les registres internet régionaux : qui gère quoi

Les adresses IP ne tombent pas du ciel. Elles sont distribuées par l'IANA (Internet Assigned Numbers Authority) à cinq registres régionaux, chacun responsable d'une zone géographique. Le RIPE-NCC gère l'Europe, le Moyen-Orient et l'Asie centrale. L'ARIN couvre l'Amérique du Nord. L'APNIC s'occupe de l'Asie-Pacifique. Le LACNIC gère l'Amérique latine, et l'AFRINIC l'Afrique.

Quand vous faites un Whois, c'est la base de données du registre concerné qui répond. Une IP française sera enregistrée au RIPE. Une IP américaine sera chez l'ARIN. Le résultat peut varier en format d'un registre à l'autre, mais les informations de base sont toujours les mêmes : organisation, plage d'adresses, contact et dates.

Lire un résultat Whois sans se perdre

Un résultat Whois brut, c'est un bloc de texte qui peut paraître intimidant au premier coup d'oeil. Mais une fois qu'on sait où regarder, c'est assez simple. Les champs clés sont toujours les mêmes. Le champ route ou inetnum donne la plage d'adresses concernée. Le champ descr décrit l'organisation. origin contient l'ASN. org-name donne le nom complet de l'entité titulaire.

Les champs created et last-modified indiquent quand l'enregistrement a été créé et mis à jour pour la dernière fois. Si un bloc a été créé en 2002 et jamais modifié depuis, c'est généralement le signe d'une attribution stable à un gros opérateur. Les enregistrements récents ou fréquemment modifiés peuvent indiquer des réattributions ou des hébergeurs qui brassent beaucoup d'adresses.

Le contact abuse : la vraie utilité du Whois au quotidien

Pour beaucoup d'administrateurs système, la raison numéro un de consulter un Whois, c'est de trouver le contact abuse. Quand un serveur reçoit du spam, des tentatives de brute-force ou du trafic malveillant depuis une IP, le Whois permet d'identifier à qui envoyer le signalement. Le champ abuse-c (chez le RIPE) ou l'adresse email abuse liée à l'organisation est justement prévue pour ça.

En théorie, chaque organisation qui détient un bloc d'adresses doit maintenir un contact abuse joignable. En pratique, certains hébergeurs réagissent vite, d'autres pas du tout. Mais avoir le contact est déjà la première étape. Sans Whois, il faudrait deviner à qui appartient l'adresse, ce qui serait nettement moins efficace.

Ce que le Whois ne contient pas (et ne contiendra jamais)

Le Whois donne les informations de l'organisation qui détient le bloc d'adresses, pas celles de l'utilisateur final. Si l'IP appartient à Orange, le Whois vous montrera les coordonnées d'Orange, pas celles de l'abonné qui utilise cette IP à un instant T. La correspondance entre une IP et un abonné précis est une donnée que seul l'opérateur détient, et qu'il ne communique qu'aux autorités dans un cadre judiciaire.

Les noms de personnes qui apparaissent parfois dans un Whois sont ceux des contacts techniques ou administratifs désignés par l'organisation, pas des utilisateurs. Et de plus en plus souvent, ces noms sont remplacés par des rôles génériques (« NOC », « Abuse Team ») pour des raisons de vie privée, conformément au RGPD.

Frequently Asked Questions about IP Whois

Answers to the most common questions about Whois lookups.

Le Whois permet-il de trouver le nom d'un abonné ?

Le Whois identifie l'organisation à qui le bloc d'adresses est attribué, pas l'utilisateur final. Si c'est une IP Orange, vous verrez Orange S.A. et ses coordonnées d'entreprise. Le nom de l'abonné qui utilise cette IP n'apparaît jamais dans un Whois. Cette information n'est accessible qu'à l'opérateur lui-même et aux autorités judiciaires.

Pourquoi le résultat vient-il d'un registre différent selon l'IP ?

Parce que les adresses IP sont gérées par différents registres selon la zone géographique. Le RIPE couvre l'Europe, l'ARIN l'Amérique du Nord, l'APNIC l'Asie-Pacifique, le LACNIC l'Amérique latine et l'AFRINIC l'Afrique. Quand vous interrogez le Whois pour une IP, c'est le registre qui a attribué le bloc qui répond. C'est automatique, vous n'avez pas à choisir.

Est-ce légal de consulter le Whois d'une IP ?

Oui, sur les deux points. Les données Whois sont publiques par définition. Les registres internet régionaux les mettent à disposition librement. Il n'y a rien d'illégal à consulter les informations d'enregistrement d'un bloc d'adresses. Ce qui peut poser problème, c'est l'utilisation qu'on en fait ensuite, pas la consultation elle-même.

Les données Whois sont-elles toujours à jour ?

Les registres régionaux exigent que les données soient à jour, mais dans les faits, certains enregistrements n'ont pas été modifiés depuis des années. Les gros opérateurs maintiennent généralement des données fiables. Les petits hébergeurs ou les organisations qui ont reçu des blocs il y a longtemps sont parfois moins rigoureux. Le champ « last-modified » vous donne une idée de la fraîcheur de l'enregistrement.

Quel est l'impact du RGPD sur le Whois ?

Depuis l'entrée en vigueur du RGPD en 2018, les registres ont adapté leurs bases pour protéger les données personnelles. Les noms individuels, numéros de téléphone et adresses email personnels sont de plus en plus remplacés par des rôles génériques ou simplement masqués. Les informations de l'organisation restent visibles, mais les contacts individuels sont souvent anonymisés.

Peut-on faire un Whois sur une adresse IPv6 ?

Oui, sans problème. Le Whois fonctionne aussi bien avec les adresses IPv4 qu'IPv6. Le principe est le même : l'outil interroge le registre concerné et renvoie les informations d'enregistrement du bloc auquel l'adresse appartient. Le format de la réponse est identique.

Comment trouver le contact abuse d'une IP ?

Dans le résultat Whois, cherchez le champ abuse-c (chez le RIPE) ou OrgAbuseEmail (chez l'ARIN). Il contient la référence du contact abuse ou directement l'adresse email. C'est à cette adresse qu'il faut envoyer vos signalements de spam, de tentatives d'intrusion ou de tout autre comportement abusif provenant de cette IP.

Quelle différence entre un Whois de domaine et un Whois d'IP ?

Le protocole est le même, mais les bases de données interrogées sont différentes. Un Whois sur un nom de domaine interroge le registre du domaine (Verisign pour .com, AFNIC pour .fr) et renvoie les infos du titulaire du domaine. Un Whois sur une IP interroge le registre internet régional (RIPE, ARIN...) et renvoie les infos de l'organisation qui détient le bloc d'adresses. Ce sont deux choses distinctes.