## Pourquoi c'est important

Quand une IP suspecte apparaît dans un rapport ou une ligne de log, les questions sont toujours les mêmes : à qui appartient-elle, s'agit-il d'une véritable infrastructure ou d'un utilisateur final, qui contacter pour signaler un abus — et l'hôte lui-même est-il exposé ? Y répondre suppose d'habitude de jongler entre des CLI whois, les sites des registres et des tableaux de bord de scanners. L'investigation d'adresses IP rassemble tout sur une seule page : une seule recherche donne la vue complète à l'équipe de réponse.

## Ce qu'il fait

Saisissez une adresse IP — ou collez-en jusqu'à 10 d'un coup, directement depuis une ligne de log. Chaque adresse reçoit sa propre carte avec :

- une **classification** — publique, privée, loopback, link-local, CGNAT ou réservée. Les adresses non publiques obtiennent une réponse immédiate, sans aucune requête réseau.
- un **résumé en une ligne** à citer tel quel dans un rapport ou un commentaire.
- des **puces de signaux** qui mettent en avant les constats notables en un coup d'œil.
- du **renseignement par section**, avec un badge de statut et la provenance (source et ancienneté) sur chaque section.

Les jetons invalides ne cassent pas la recherche : chacun reçoit sa propre carte avec le verdict « invalide ».

### Ce que montre chaque section

| Section | Source | Ce que vous apprenez |
|---------|--------|----------------------|
| Propriétaire et contact abuse | RDAP (directement auprès du registre) | Nom du réseau, titulaire, plages CIDR et le contact abuse à qui faire remonter le problème |
| Routage / ASN | RIPEstat | Numéro d'AS annonceur et son détenteur, préfixe annoncé |
| DNS inverse | DNS (confirmé par résolution directe) | Le nom d'hôte PTR — considéré fiable seulement s'il résout à nouveau vers la même IP |
| Exposition de l'hôte | Shodan | Ports ouverts, bannières de services, CVE connues et tags de l'hôte |

> [!NOTE]
> Le DNS inverse est confirmé par résolution directe, car les enregistrements PTR sont contrôlés par le propriétaire de l'IP — un attaquant peut les faire pointer n'importe où. Un nom d'hôte qui ne résout pas vers la même adresse est signalé plutôt que considéré comme fiable.

## Enquêter sur une adresse IP

Ouvrez la page [Investigation d'adresses IP](/tools/ip_investigation). Tout membre du compte connecté peut l'utiliser.

1. Saisissez une adresse IP, ou collez-en jusqu'à 10, séparées par des espaces, des virgules ou des points-virgules.
2. Validez : les résultats s'affichent directement sur la page, une carte par adresse.

La recherche s'exécute comme un simple GET : l'URL obtenue se partage et sert de lien direct — collez-la dans le fil d'un rapport et un collègue retombe sur la même investigation.

La recherche universelle la connaît aussi : tapez ou collez une IP dans la palette de commandes (Cmd+K) et l'action **Investigate IP &lt;adresse&gt;** (enquêter sur l'IP) apparaît, avec l'adresse déjà préremplie.

## D'où viennent les données

Tout est dérivé de sources publiques : données de registre RDAP, données de routage RIPEstat, DNS et Shodan. L'outil lit du renseignement externe sur l'adresse que vous saisissez ; il ne touche pas aux données de votre compte et ne les expose pas, et rien de ce que vous recherchez n'est conservé.

## Limites

| Limite | Valeur |
|--------|--------|
| Taille de lot | Jusqu'à 10 adresses IP par recherche |
| Sections en attente | L'attribution cloud, Tor, la géolocalisation et la réputation ne sont pas encore disponibles et s'affichent comme des espaces réservés |
| Cache | Les résultats peuvent provenir d'un cache de courte durée partagé à l'échelle de l'application ; le renseignement peut donc dater de quelques heures |

## En bref

- [ ] Ouvrez la page [Investigation d'adresses IP](/tools/ip_investigation) — ou faites Cmd+K et tapez l'IP
- [ ] Collez une IP, ou jusqu'à 10 depuis une ligne de log
- [ ] Citez le résumé en une ligne dans votre rapport
- [ ] Faites remonter l'abus au contact indiqué dans la section propriétaire