1 Introduction
Quand vous envoyez une lettre, vous inscrivez un code postal sur l'enveloppe. Ce code permet au facteur de savoir dans quelle zone géographique se trouve le destinataire, sans connaître l'adresse exacte. Sur Internet, c'est exactement le même principe : chaque appareil connecté possède une adresse IP, et cette adresse appartient à un bloc géré par un opérateur. Ce bloc s'appelle un ASN (Autonomous System Number).
L'ASN est comme le code postal d'Internet. Il identifie le réseau (Orange, Free, OVH, Amazon AWS...) qui gère un groupe d'adresses IP. En cybersécurité, connaître l'ASN d'une adresse IP permet de savoir qui est responsable de ce réseau et où il se trouve approximativement.
En résumé
- • Adresse IP = l'adresse postale d'un appareil sur Internet
- • ASN = le code postal, identifiant le réseau qui gère cette adresse
- • Géolocalisation IP = une estimation de la position géographique, pas une localisation GPS
2 Comment ça marche
Utilisez l'outil ci-dessous pour vérifier une adresse IP. Vous verrez son ASN, son fournisseur d'accès et sa géolocalisation estimée.
Comment sont attribués les ASN ?
Les ASN sont distribués par des organismes régionaux appelés RIR (Regional Internet Registries). En Europe, c'est le RIPE NCC qui gère les attributions. Chaque fournisseur d'accès (comme Orange ou Free) ou hébergeur (comme OVH) reçoit un ou plusieurs ASN avec des blocs d'adresses IP.
Comment fonctionne la géolocalisation ?
La géolocalisation IP ne repose pas sur le GPS. Elle utilise des bases de données qui associent des blocs d'adresses IP à des zones géographiques. Ces bases sont mises à jour régulièrement mais restent des estimations. La précision varie : au niveau du pays c'est fiable à 95%, mais au niveau de la ville, ça peut être très approximatif.
L'analogie du code postal
Imaginez que chaque opérateur Internet est un bureau de poste. Orange a son propre code postal (ASN 3215), Free a le sien (ASN 12322), etc. Quand un paquet de données circule sur Internet, les routeurs lisent l'ASN pour savoir vers quel "bureau de poste" envoyer le trafic. Tout comme un code postal ne donne pas l'adresse exacte d'une maison, l'ASN ne donne pas la position précise d'un ordinateur.
3 Analyse détaillée
Les limites de la géolocalisation IP
Beaucoup de gens pensent que la géolocalisation IP fonctionne comme un GPS. C'est faux. Voici les réalités :
- 1. Précision au niveau pays : fiable dans environ 95-99% des cas. Si une IP est identifiée comme française, c'est presque toujours exact.
- 2. Précision au niveau ville : fiable dans seulement 50-80% des cas. Une IP localisée à Paris peut en réalité être à Versailles ou Créteil.
- 3. VPN et proxies : un utilisateur avec un VPN apparaîtra à l'emplacement du serveur VPN, pas à son emplacement réel.
- 4. IP mobiles : les opérateurs mobiles réutilisent souvent les mêmes adresses IP pour des utilisateurs dans des villes différentes.
Organisation des FAI et hébergeurs
Chaque fournisseur d'accès Internet (FAI) ou hébergeur cloud possède un ou plusieurs ASN. En regardant l'ASN d'une adresse IP suspecte, on peut rapidement comprendre si le trafic vient d'un réseau résidentiel, d'un data center ou d'un service cloud.
| Type | Exemple | ASN | Signification |
|---|---|---|---|
| FAI résidentiel | Orange France | AS3215 | Connexion d'un particulier |
| Hébergeur | OVH | AS16276 | Serveur hébergé (site web, VPN...) |
| Cloud | Amazon AWS | AS16509 | Service cloud (peut cacher un attaquant) |
| VPN commercial | NordVPN | AS212238 | Utilisateur masqué derrière un VPN |
Essayez sur mlab.sh
Entrez une adresse IP pour obtenir instantanement son ASN, son fournisseur d'acces et sa geolocalisation estimee. Utile pour comprendre l'origine geographique d'une connexion suspecte.
Géolocaliser une IP sur mlab.sh4 Red Flags
Voici les signaux d'alerte à surveiller quand vous analysez une adresse IP :
ASN d'un hébergeur "bulletproof"
Certains hébergeurs sont connus pour tolérer les activités malveillantes. Si l'IP appartient à un ASN souvent associé au spam ou au malware, c'est un signal fort.
Géolocalisation incohérente
Un email prétendument envoyé depuis la France dont l'IP pointe vers la Russie ou le Nigeria est suspect. Attention toutefois : les VPN peuvent expliquer certaines incohérences.
IP dans un réseau résidentiel pour un "serveur"
Si un prétendu serveur d'entreprise utilise une adresse IP résidentielle (FAI grand public), c'est probablement un ordinateur compromis utilisé comme relais.
Changement récent d'ASN
Si une adresse IP a récemment changé de propriétaire ou d'ASN, cela peut indiquer une infrastructure fraîchement mise en place pour une campagne malveillante.
Multiples IP dans le même ASN suspect
Si vous observez plusieurs adresses IP malveillantes appartenant au même ASN, c'est probablement une infrastructure d'attaque coordonnée.
Tor ou proxy anonyme
Les adresses IP associées aux noeuds de sortie Tor ou à des proxies anonymes sont souvent utilisées pour masquer l'origine d'une attaque.
Modules connexes
Lire une réputation IP
Évaluer la dangerosité d'une adresse IP grâce aux bases de réputation et de threat intelligence.
C'est quoi une adresse IP ?
L'adresse postale d'Internet : comprendre comment chaque appareil est identifié sur le réseau.
Analyser un domaine suspect
Techniques pour évaluer si un domaine est légitime ou potentiellement malveillant.
Source : mlab Academy — Plateforme de sensibilisation à la cybersécurité
URL : https://academy.mlab.sh/fr-FR/page/asn-geolocalisation
Module : Comprendre les ASN et géolocalisation — Analyse réseau
Avertissement : Ce contenu est à des fins de sensibilisation uniquement.