Whois d'une adresse IP

Qu'est-ce que le Whois IP ?

Le Whois est un protocole qui existe depuis les débuts d'internet. Son rôle est simple : permettre à n'importe qui de consulter les informations d'enregistrement associées à une adresse IP ou un bloc d'adresses. En gros, vous entrez une IP, et le Whois vous dit à quelle organisation ce bloc est attribué, par quel registre régional, et qui contacter en cas de problème.

Contrairement à un simple IP Lookup qui donne la localisation et le fournisseur, le Whois renvoie les données administratives brutes telles qu'elles sont enregistrées dans les bases des registres (RIPE, ARIN, APNIC...).

Tout savoir sur le WHOIS IP

Comment fonctionne une requête WHOIS sur une adresse IP, ce qu'on y trouve, et à quoi ça sert concrètement.

C'est quoi un WHOIS IP ?

Un WHOIS IP est une requête qui interroge les bases de données des registres internet régionaux pour savoir à qui appartient une adresse IP. Contrairement au WHOIS domaine qui s'adresse aux registraires, le WHOIS IP remonte directement aux RIR, les Regional Internet Registries : RIPE NCC pour l'Europe, ARIN pour l'Amérique du Nord, APNIC pour l'Asie-Pacifique, LACNIC pour l'Amérique latine et AFRINIC pour l'Afrique.

Ce sont ces organismes qui gèrent l'attribution des blocs d'adresses IP aux opérateurs, entreprises et institutions. Quand vous lancez une recherche WHOIS sur une adresse IP, vous obtenez les informations que l'organisation détentrice de ce bloc a enregistrées auprès de son RIR.

Quelles informations retourne un WHOIS IP ?

Un enregistrement WHOIS IP contient plusieurs types de données. Le plus souvent vous trouverez le nom de l'organisation ou de l'opérateur à qui appartient l'adresse, la plage CIDR qui indique l'étendue du bloc d'adresses, le numéro ASN qui identifie le réseau autonome de l'organisation, le pays d'enregistrement, et les contacts abuse à contacter en cas de signalement.

Certains enregistrements sont très détaillés, d'autres minimalistes. Un grand opérateur télécom comme Orange ou SFR aura des entrées bien renseignées. Une petite entreprise qui loue un bloc à son hébergeur peut avoir des données beaucoup moins complètes. Les dates de création et de mise à jour du bloc sont aussi souvent présentes, ce qui permet de savoir depuis quand ce bloc est attribué.

À quoi sert concrètement un WHOIS IP ?

Le cas d'usage le plus fréquent, de loin, c'est l'analyse de logs. Un administrateur système qui voit une IP inconnue tenter des connexions répétées sur son serveur va faire un WHOIS pour savoir d'où ça vient. Est-ce un datacenter connu, un opérateur résidentiel, un hébergeur de VPN ? La réponse oriente directement la décision de bloquer ou non.

Le deuxième usage important c'est le signalement d'abus. Spam, attaques, scraping agressif, chaque bloc IP a des contacts abuse enregistrés. Le WHOIS vous donne directement l'adresse email à contacter pour signaler un problème à l'organisation responsable. C'est le canal officiel, et certains opérateurs y répondent vraiment. Les équipes sécurité utilisent aussi le WHOIS IP pour contextualiser les menaces : une IP qui appartient à un hébergeur bulletproof connu en Europe de l'Est ne se traite pas de la même façon qu'une IP résidentielle française.

WHOIS IP vs géolocalisation IP : ne pas confondre

Ce sont deux choses différentes que beaucoup de gens mélangent. La géolocalisation IP cherche à déterminer où se trouve physiquement une connexion, à partir de bases de données commerciales comme MaxMind. Le WHOIS IP ne cherche pas à localiser, il dit à qui appartient le bloc d'adresses d'un point de vue administratif.

Résultat concret : le WHOIS d'une IP peut indiquer une organisation basée à Amsterdam parce que c'est là que le bloc a été enregistré, alors que la connexion vient en réalité d'un utilisateur à Paris qui passe par l'infrastructure de cet opérateur. Le WHOIS dit qui est responsable de l'adresse, la géolocalisation essaie de dire d'où elle est utilisée. Les deux sont utiles mais ne répondent pas à la même question.

Comment lire les résultats d'un WHOIS IP ?

Les résultats bruts d'un WHOIS peuvent sembler touffus au premier coup d'oeil. Les champs les plus utiles à repérer sont « org » ou « organisation » qui donne le nom de l'entité responsable, « netname » qui est le nom du bloc, « CIDR » ou « inetnum » qui délimite la plage d'adresses, « country » pour le pays d'enregistrement et « abuse-mailbox » pour les contacts de signalement.

Le numéro ASN mérite une attention particulière. Un ASN identifie un réseau autonome sur internet, et chaque opérateur ou grande entreprise a le sien. En cherchant cet ASN sur des bases comme BGPView ou Hurricane Electric, vous pouvez obtenir encore plus d'informations sur le réseau concerné : quels autres blocs lui appartiennent, avec quels opérateurs il échange du trafic. C'est utile dans un contexte de sécurité ou d'investigation réseau.

Les limites du WHOIS IP

Le WHOIS IP a ses contraintes. La première, c'est que les données ne sont pas toujours à jour. Une organisation peut avoir revendu ou réattribué un bloc sans que l'enregistrement RIR ait été mis à jour dans les délais. C'est moins fréquent que pour les domaines, mais ça arrive.

La deuxième limite concerne les plages attribuées aux grands opérateurs. Quand une IP appartient à Orange, Free ou un hébergeur cloud comme AWS ou OVH, le WHOIS vous dit juste que c'est leur bloc. Vous ne saurez pas quel client final utilise cette adresse précise, parce que cette information n'est pas publique et n'a pas à l'être. Pour aller plus loin, il faudrait contacter l'opérateur directement, ce qui nécessite généralement un cadre légal.

Questions fréquentes sur le WHOIS IP

Les réponses aux questions les plus courantes sur la consultation WHOIS d'une adresse IP.

Quelle est la différence entre un WHOIS IP et un WHOIS domaine ?

Le WHOIS domaine interroge les registraires et les registres de noms de domaine pour savoir qui a enregistré un domaine. Le WHOIS IP interroge les RIR, les organismes qui gèrent l'attribution des blocs d'adresses IP. Ce sont deux bases de données totalement séparées. Un domaine pointe vers une IP, mais le propriétaire du domaine et le propriétaire de l'IP peuvent être des entités complètement différentes.

Est-ce que le WHOIS IP permet d'identifier une personne physique ?

Non, pas directement. Le WHOIS IP retourne des informations sur l'organisation ou l'opérateur à qui appartient le bloc d'adresses, pas sur l'utilisateur final. Derrière une IP résidentielle Orange, il y a potentiellement des millions d'abonnés. Identifier la personne qui utilise une IP à un moment donné nécessite une réquisition judiciaire adressée à l'opérateur.

Pourquoi certaines adresses IP retournent peu ou pas d'informations ?

Plusieurs raisons possibles. L'adresse peut appartenir à un bloc qui n'a pas encore été attribué à une organisation finale. Elle peut faire partie d'un bloc géré en interne par un grand opérateur qui n'a pas renseigné tous les sous-blocs. Les adresses privées comme 192.168.x.x ou 10.x.x.x n'ont pas de WHOIS public du tout puisqu'elles ne sont pas routées sur internet.

C'est quoi un ASN et pourquoi c'est important dans un WHOIS IP ?

Un ASN, Autonomous System Number, est un identifiant unique attribué à un réseau autonome sur internet. Chaque opérateur, hébergeur ou grande entreprise qui gère sa propre infrastructure réseau a un ASN. Dans un contexte de sécurité, l'ASN est souvent plus utile que l'IP seule : il vous dit d'un coup si vous avez affaire à un opérateur télécom classique, un hébergeur cloud, un fournisseur de VPN ou un réseau connu pour des activités malveillantes.

Peut-on faire un WHOIS sur une adresse IPv6 ?

Oui, exactement de la même façon qu'avec une IPv4. Les RIR gèrent aussi bien les blocs IPv4 que les blocs IPv6, donc effectuer un WHOIS IPv6 fonctionne sans aucune différence de procédure. Le format des résultats est identique, seule l'adresse change. Les blocs IPv6 sont généralement beaucoup plus grands, ce qui se voit dans le champ CIDR, mais les informations retournées sont les mêmes : organisation, ASN, contacts abuse, pays d'enregistrement.

Comment signaler un abus à partir d'un WHOIS IP ?

Le WHOIS IP retourne en général un champ « abuse-mailbox » avec une adresse email dédiée aux signalements. C'est le canal officiel. Dans votre message, précisez l'adresse IP concernée, la date et l'heure de l'incident avec le fuseau horaire, et la nature du problème. Les grands hébergeurs comme AWS, OVH ou Hetzner ont des équipes abuse qui traitent ces signalements activement.

Pourquoi l'IP que je vois dans un log correspond à un pays différent de ce que j'attendais ?

Le WHOIS IP indique le pays d'enregistrement du bloc, pas forcément le pays depuis lequel la connexion a été établie. Un hébergeur allemand peut avoir des serveurs aux Pays-Bas. Un VPN peut router le trafic depuis n'importe quel pays. Et certains grands opérateurs enregistrent leurs blocs dans un pays pour des raisons administratives même si l'infrastructure est ailleurs. Croiser le WHOIS avec une géolocalisation IP donne une image plus complète.

Le WHOIS IP est-il fiable et à jour ?

Les données sont globalement fiables pour identifier l'organisation responsable d'un bloc, mais pas toujours à jour au jour près. Les RIR exigent que les membres maintiennent leurs enregistrements, mais il y a parfois des délais entre une réattribution de bloc et la mise à jour dans la base. Pour des investigations critiques, croiser le WHOIS avec d'autres sources comme BGPView ou Shodan est une bonne pratique.