Prochain Workshop Pandora FMS : 16 juillet. Plus d’informations →

Qu’est-ce que WHOIS et comment l’appliquer à la gestion IT ?

La vie privée en ligne a quitté Internet sans même laisser un mot. Les noms de domaine, adresses IP et serveurs constituent l’infrastructure invisible du web, mais derrière eux se cachent des personnes, des organisations et des données qu’il est possible de découvrir grâce à des outils comme les requêtes WHOIS. Ces dernières peuvent révéler des informations essentielles pour la sécurité informatique, tout en risquant d’exposer des données sensibles. C’est pourquoi nous allons aujourd’hui explorer en détail ce qu’est WHOIS : à quoi il sert, ses applications pratiques et les défis qu’il pose à l’ère du RGPD.
Comme nous le verrons, WHOIS n’est plus ce qu’il était en matière de transparence des données (et tant mieux, car certaines failles de confidentialité étaient si grandes qu’on aurait pu y faire passer un camion), mais il conserve une utilité bien plus importante qu’il n’y paraît.

Qu’est-ce que WHOIS

La requête WHOIS est un outil qui permet d’accéder aux informations publiques disponibles sur les noms de domaine et les adresses IP, notamment les données d’enregistrement du domainele contact technique ou encore les serveurs associés.
Fournir des informations sur l’identité du propriétaire d’un domaine est une obligation imposée par l’ICANN (Internet Corporation for Assigned Names and Numbers) au niveau international, ou par des organismes locaux comme Red.es en Espagne, chargés de la gestion et de l’attribution des noms de domaine. Les bureaux d’enregistrement doivent collecter ces données et, pour éviter les abus et favoriser la transparence, il a été décidé qu’une partie de ces informations personnelles — ainsi que d’autres données techniques — seraient rendues publiques et accessibles via une requête WHOIS.
Cela a toutefois entraîné, de manière paradoxale, d’autres formes d’abus envers les détenteurs de domaines.
C’était une époque plus innocente, où numéros de téléphone, noms et adresses postales personnelles n’étaient qu’à une recherche WHOIS de distance. Ce qui a provoqué d’importants problèmes de confidentialité. Ainsi, comme nous le verrons, les données accessibles aujourd’hui via WHOIS sont bien plus limitées… mais restent néanmoins utiles.

Types de recherches WHOIS

Pour effectuer une requête WHOIS, il existe plusieurs méthodes et outils (que nous détaillerons plus loin), mais l’une des plus simples consiste à utiliser l’un des nombreux services web disponibles. L’un de mes préférés est celui de ViewDNS, qui permet :

  • Recherche par nom de domaine (par exemple, exemple.com).
  • Recherche par adresse IP.

Il suffit d’introduire le domaine ou l’adresse IP dans le formulaire de recherche pour obtenir les informations fournies par WHOIS, telles que le propriétaire du domaine, son adresse de contact, la date d’activation, le pays d’origine, l’adresse postale du détenteur, etc.
Une autre option liée à WHOIS est ce que l’on appelle une recherche « inversée ». Autrement dit, il existe des outils de WHOIS inversé, comme celui également proposé par ViewDNS, qui permettent d’entrer un nom ou une adresse e-mail pour retrouver les noms de domaine associés à ceux-ci.

Quelles informations fournit une requête WHOIS

Lorsque nous effectuons une requête WHOIS sur un domaine, voici les données que nous pouvons obtenir :

  • Identité du bureau d’enregistrement : avec le nom et l’URL du registraire (ex. : Registrar: GoDaddy.com LLC), ainsi qu’un éventuel lien vers sa politique de confidentialité, des contacts de support, des adresses e-mail, postales ou l’ID du registraire.
  • Dates importantes du domaine : telles que la date de création, d’expiration et de dernière mise à jour (ex. : Creation Date: 2022-03-15 – Expiration Date: 2024-03-25).
  • Contacts techniques et administratifs : avec l’adresse e-mail de la personne ou de l’entité en charge de la gestion technique ou administrative du domaine (ex. : [email protected]).
  • DNS et serveurs associés : comme par exemple ns1.cloudflare.com.
  • Autres informations : cela dépend un peu du service utilisé pour la requête, mais on peut aussi voir l’adresse IP liée au domaine si elle n’était pas déjà connue.

Applications pratiques de WHOIS en informatique et cybersécurité

Les informations mentionnées précédemment peuvent être très utiles, tant pour la gestion générale des systèmes informatiques que, surtout, pour la cybersécurité. Par exemple, nos analystes OSINT (Open Source Intelligence) peuvent exploiter WHOIS lors d’un incident pour analyser des domaines utilisés dans des e-mails de phishing ou des adresses IP impliquées dans des attaques ou des fuites de données.

  • Les données du registraire permettent de savoir qui gère un domaine en cas de migration, de problèmes techniques ou lorsqu’il est nécessaire de vérifier la légitimité d’un bureau d’enregistrement (par exemple, pour éviter les contrefaçons comme GoDaddyPro.net). De plus, en matière de sécurité, nous pouvons le contacter pour signaler des activités malveillantes hébergées via ses services et demander des actions concrètes.
  • Les dates de création, d’expiration et de mise à jour peuvent servir à automatiser des alertes de renouvellement si les domaines nous appartiennent et que le renouvellement n’est pas déjà géré automatiquement. Elles peuvent aussi aider à détecter des domaines suspects (par exemple, si un domaine a été enregistré récemment mais prétend représenter une organisation ancienne, ou imite un site de marque connue, il pourrait s’agir de phishing ou d’un site frauduleux).
  • Les contacts techniques et administratifs peuvent être utilisés pour notifier une organisation en cas de faille de sécurité, notamment si nous recevons du spam ou des malwares de leur part — cela peut révéler une mauvaise configuration DMARC ou d’autres vulnérabilités dans leur système de messagerie.
  • Enfin, les DNS et serveurs associés peuvent être cruciaux lors d’une supervision de sécurité Ils permettent de vérifier s’il y a eu des changements DNS non autorisés (comme dans le cas d’un DNS hijacking). Ils peuvent aussi indiquer que l’infrastructure repose sur des services comme Cloudflare ou AWS, que nous pourrions contacter en parallèle du registraire pour signaler des contenus ou des comportements malveillants hébergés via leurs plateformes.

Défis actuels du système WHOIS

Tout cela est très utile au quotidien pour les professionnels de l’IT ou de la cybersécurité, mais — comme souvent dans la vie — les choses intéressantes viennent avec leur lot de « mais ». Car si vous avez récemment effectué une recherche WHOIS, vous aurez constaté que « les temps ont changé », comme le dit la chanson.
Aujourd’hui, les informations fournies par WHOIS sont, dans la grande majorité des cas, très limitées et ne correspondent plus à la personne ou l’organisation ayant réellement enregistré le domaine, mais plutôt à l’agent ou bureau d’enregistrement (comme GoDaddy ou équivalent).
Ce changement s’explique principalement par l’évolution en matière de protection de la vie privée , déjà évoquée au début de cet article.
Eh oui, sur Internet, il y a toujours eu des individus ayant perdu tout bon sens — et ne l’ayant jamais retrouvé — ainsi que des bots qui aspirent massivement les données personnelles qu’ils trouvent. WHOIS était une cible de choix pour les deux.
Il était en effet une source majeure d’adresses email, collectées à grande échelle via des requêtes automatisées, puis revendues ou utilisées pour envoyer du spam. Ou encore, un fan enragé de Star Trek pouvait facilement découvrir l’identité de la personne ayant osé affirmer sur une page que Le meilleur des deux mondes était le meilleur épisode de TNG, alors que tout le monde sait que c’est Yesterday’s Enterprise. Il suffisait alors de consulter WHOIS pour voir ton adresse ou ton numéro de téléphone, et t’appeler en pleine nuit en respirant comme Dark Vador pour te faire entendre raison.
(Spoiler : les deux ont tort, car le meilleur épisode est The Inner Light.)
Mais la vraie leçon ici, c’est qu’enregistrer un domaine exposait énormément vos données personnelles.
C’est pourquoi presque tous les bureaux d’enregistrement proposent désormais de masquer ces informations, derrière les leurs. Ainsi, une recherche WHOIS ne révèle plus les données du propriétaire réel, mais celles du registrar (comme Namecheap ou équivalent), ce qui protège la vie privée de l’utilisateur final.

Ce n’est pas le seul défi lié aux données WHOIS, car nous devons également faire face à :

  • L’inexactitude des informations fournies. Lors de l’enregistrement d’un domaine, il est théoriquement obligatoire de renseigner des données exactes. Mais il est rare que quelqu’un de l’ICANN ou de l’IANA vienne frapper à votre porte pour vérifier. Par conséquent, il est tout à fait possible que les informations visibles via WHOIS soient erronées. Cela est particulièrement courant chez ceux qui utilisent les domaines à des fins malveillantes. C’était d’ailleurs une pratique fréquente à l’époque des pionniers du Web, quand Internet ressemblait au Far West, et que l’on réalisait à quel point une simple requête WHOIS pouvait vous exposer dangereusement.
  • Le RGPD et la disponibilité des données. Des réglementations de protection des données personnelles comme le RGPD (Règlement Général sur la Protection des Données) ont été à l’avant-garde de la limitation de la diffusion d’informations sensibles — telles que les numéros de téléphone ou adresses postales — via WHOIS. Avant l’entrée en vigueur du RGPD, des organismes comme Red.es en Espagne appliquaient une politique très peu respectueuse de la vie privée. Ainsi, lorsqu’on enregistrait un domaine en .es, il était impossible de masquer ces données via un registrar, et des informations sensibles restaient visibles. Cela a pris fin avec l’application du RGPD.

Outils WHOIS recommandés

Comme mentionné précédemment, il existe de nombreux outils pour effectuer des requêtes WHOIS. Examinons-en quelques-uns.
Tout administrateur IT qui se respecte utilisera le terminal sous Linux, où la commande WHOIS est généralement préinstallée dans la plupart des distributions (et sinon, elle peut être installée en un instant via le gestionnaire de paquets). Il suffit alors d’exécuter :

whois dominio.com

Et les informations s’afficheront directement dans le terminal, sans quitter votre console.
Si vous préférez utiliser des outils web, vous pouvez consulter directement la source officielle viaICANN Lookup, ou utiliser des sites comme Who.is ou encore des services similaires tels que ViewDNS.info, tous facilement accessibles via une simple recherche sur Google.

Et si vous utilisez Windows, nous vous recommandons Pandora MINI, un outil 100 % gratuit, sans engagement, sans enregistrement ni rien d’autre, qui vous facilite la vie lorsqu’il s’agit de gérer votre réseau. Il comprend les requêtes WHOIS, bien sûr, mais pas seulement, puisqu’il intègre un calculateur d’IP, un traceroute, un navigateur MIB, un scanner de ports et bien d’autres choses encore. Vous pouvez le télécharger ici et il n’y a pas de petits caractères, contrairement à d’autres options.

RDAP, la evolución de WHOIS

Si vous utilisez par exemple le site Who.is, vous remarquerez qu’en plus des informations habituelles renvoyées par une requête WHOIS, un bouton intitulé RDAP (Registration Data Access Protocol) apparaît également.
Ce protocole est le « successeur » moderne et amélioré de WHOIS, conçu pour pallier ses limites techniques et s’aligner sur les normes actuelles en matière de confidentialité et de sécurité.
RDAP est un protocole basé sur HTTP/HTTPS et des RESTful API qui permet un accès standardisé et programmatique aux données d’enregistrement des noms de domaine, des adresses IP et des numéros de système autonome (ASN). Son objectif est de remplacer WHOIS, qui souffre d’un manque de structure et de sécurité élémentaire.
Voici un petit tableau comparatif :

Caractéristique

WHOIS

RDAP

Format des données

Texte brut non structuré

JSON structuré et normalisé

Sécurité

Aucune (port 43/TCP)

HTTPS (chiffrement TLS)

Confidentialité

Exposition publique des données (souvent restreinte depuis le RGPD ou par les registraires)

Contrôle d’accès granulaire (ex. : RGPD)

Internationalisation

Support limité des caractères

Prise en charge complète d’Unicode (ex. : 中文)

Recherches

Basiques (domaine/IP)

Avancées (filtres par type de contact)

Bien que l’intérêt principal réside dans la possibilité d’effectuer des requêtes de manière programmée, il est également possible d’effectuer des recherches RDAP directement via des services web comme RDAP.org.
Pour les amateurs de ligne de commande, il existe des clients comme OpenRDAP, que l’on peut installer, ou encore utiliser des services web directement depuis le terminal avec une commande comme :

curl -H « Accept: application/rdap+json »
https://rdap.verisign.com/com/v1/domain/ejemplo.com

En remplaçant exemple.com par le domaine souhaité, on obtient les informations de ce domaine au format structuré JSON.

Comment Pandora FMS complète l’analyse WHOIS

Comme nous l’avons vu, même lorsqu’elles sont limitées, les données issues d’une requête WHOIS peuvent s’avérer très utiles, notamment lorsqu’elles sont intégrées à d’autres informations dans le cadre de cyberincidents ou de violations de sécurité.
C’est précisément ce que permet Pandora FMS, en facilitant l’obtention de données WHOIS, puis en les agrégeant et en les corrélant avec d’autres sources. Concrètement, Pandora FMS offre :

  • L’intégration des événements liés à des domaines ou adresses IP dans Pandora SIEM.
  • L’enrichissement des journaux et alertes avec des données WHOIS, évitant ainsi d’avoir à utiliser la ligne de commande ou des services web pour les récupérer manuellement.
  • L’utilisation dans la gestion des incidents et la corrélation multi-source pour obtenir une vue complète et contextualisée.

Ainsi, malgré ses limitations actuelles, WHOIS reste une source précieuse, surtout lorsqu’il est intégré et analysé de manière centralisée comme le propose Pandora FMS.
Également — et pour des raisons évidentes — je n’ai pas abordé les techniques OSINT plus avancées qui, en s’appuyant sur WHOIS ou en l’utilisant comme point de départ conceptuel, permettent de contourner certaines restrictions actuelles de confidentialité, et d’obtenir des données intéressantes sans franchir la ligne rouge de la légalité.
Si vous lisez ceci en tant que responsable IT ou sécurité, vous savez probablement — ou serez intéressé d’apprendre — que certains services d’archives WHOIS historiques permettent de retrouver des données scrapées avant l’entrée en vigueur des politiques modernes de protection des données personnelles. Ces données ont souvent été stockées par des outils ou services avant que la « tenture de confidentialité » ne soit tirée.

Un seul outil peut-il avoir une visibilité mondiale ?