mlab mlab Academy
Analyse réseau

Lire une réputation IP

Évaluer la dangerosité d'une adresse IP grâce aux bases de réputation et de threat intelligence.

1 Introduction

La reputation d'une adresse IP, c'est comme le casier judiciaire d'une adresse postale. Si un immeuble a ete utilise pour des activites illegales, la police le surveille de pres. Sur Internet, c'est pareil : chaque adresse IP accumule un historique. Si elle a ete utilisee pour envoyer du spam, lancer des attaques ou heberger des malwares, sa reputation se degrade. Les bases de donnees de reputation IP permettent de savoir instantanement si une adresse est fiable ou suspecte.

100+

Bases de donnees de reputation dans le monde

Temps reel

Mise a jour continue des scores

0 a 100

Echelle de score typique

2 Comment ca marche

Utilisez l'outil ci-dessous pour verifier la reputation d'une adresse IP. Vous obtiendrez son score de risque, sa geolocalisation, son fournisseur et son historique de signalements.

Comment lire un score de reputation

0 - 25 : Propre

Aucune activite malveillante connue. L'IP est fiable.

26 - 50 : Suspecte

Quelques signalements. A surveiller mais pas forcement malveillante.

51 - 75 : Risquee

Signalements multiples. Forte probabilite d'activite malveillante.

76 - 100 : Malveillante

Confirme malveillante par plusieurs sources. A bloquer immediatement.

Les principales bases de donnees

AbuseIPDB

Base communautaire ou chacun peut signaler une IP abusive. Score base sur le nombre et la frequence des signalements.

Spamhaus

Reference mondiale pour les listes noires d'IP liees au spam et aux botnets. Utilisee par la majorite des serveurs email.

VirusTotal

Agregateur qui interroge des dizaines de moteurs de detection pour donner un verdict sur une IP, un domaine ou un fichier.

Shodan / Censys

Moteurs de recherche pour appareils connectes. Permettent de voir quels services sont exposes sur une IP.

3 Analyse detaillee

Ce qui rend une IP suspecte

Signalements de spam ou de phishing

L'IP a ete utilisee pour envoyer des emails non sollicites ou des tentatives d'hameconnage. C'est le critere le plus frequent.

Participation a des attaques (DDoS, brute force)

L'IP a ete detectee en train de scanner des ports, de tenter des connexions par force brute ou de participer a des attaques par deni de service.

Hebergement de malware ou de C2

L'IP heberge des fichiers malveillants ou sert de serveur de commande et controle pour des botnets.

Appartenance a un reseau Tor ou un proxy anonyme

Bien que Tor soit legitime, les noeuds de sortie Tor sont frequemment associes a des activites malveillantes du fait de l'anonymat qu'ils offrent.

Le role de la geolocalisation

La geolocalisation d'une IP n'est pas une preuve en soi, mais elle fournit un contexte precieux. Une tentative de connexion sur votre compte depuis un pays ou vous n'avez aucun client ni collaborateur est un signal d'alerte. Combinee aux autres indicateurs (type de reseau, ISP, historique), elle aide a evaluer le niveau de risque global.

Les listes noires (blacklists)

Les listes noires sont des bases de donnees d'IP connues comme malveillantes. Elles sont utilisees par les pare-feu, les serveurs email et les outils de securite pour bloquer automatiquement le trafic provenant de ces adresses. Une IP peut apparaitre sur plusieurs listes noires simultanement, ce qui renforce le verdict.

Exemple de lecture d'un rapport de reputation

IP :185.220.101.34
Score de risque :87/100
Pays :Allemagne
ISP :Hetzner Online
Type :Datacenter / Noeud Tor
Signalements :1 247 dans les 30 derniers jours
Listes noires :Spamhaus, AbuseIPDB, DNSBL
Activites :Brute force SSH, scan de ports

Verdict : IP clairement malveillante. Score eleve, signalements nombreux, noeud Tor dans un datacenter, presente sur plusieurs listes noires.

Essayez sur mlab.sh

Verifiez la reputation de n'importe quelle adresse IP : score de risque, presence sur les listes noires, historique des signalements et type de reseau. Indispensable pour trier les alertes.

Vérifier la réputation d'une IP

4 Red Flags

Score de risque superieur a 75

Un score eleve sur plusieurs bases de donnees confirme une menace reelle. Bloquez cette IP dans vos pare-feu sans hesiter.

Presence sur plusieurs listes noires

Une IP apparaissant sur une seule liste peut etre un faux positif. Sur trois ou plus, c'est un signal fort de malveillance confirmee.

IP de datacenter contactant vos services

Un utilisateur normal se connecte depuis un FAI residentiel. Une connexion depuis un datacenter (OVH, Hetzner, DigitalOcean) merite investigation car c'est souvent un serveur automatise.

Pic soudain de signalements recents

Une IP avec peu d'historique mais des centaines de signalements dans les dernieres 24 heures est probablement impliquee dans une campagne d'attaque active.

Geolocalisation incoherente avec le contexte

Votre application n'a que des utilisateurs en France mais une IP russe ou chinoise tente de se connecter a votre panneau d'administration ? Bloquez et enquetez.

Propulsé par mlab.sh

Modules connexes

C'est quoi une adresse IP ?

L'adresse postale d'Internet : comprendre comment chaque appareil est identifié sur le réseau.

Comprendre les ASN et géolocalisation

Identifier qui héberge une IP et d'où elle provient grâce aux numéros de système autonome.

C'est quoi un IOC ?

Les indices d'une cyberattaque : apprendre à reconnaître les indicateurs de compromission.