Billet ouvert 
+373 79 600002 
Telegram Live Chat 
F.A.Q 
Français
English 
Русский 
Română 
Deutsch 
Türkçe 
Español 
Português 
Українська 
български 
Polski 
Indonesia 
中文 (中国) 
Noms de domaineRecherche WHOIS Expliquée : Un Guide Technique Complet pour 2025
Une recherche WHOIS est un protocole de requête-réponse utilisé pour récupérer les données d’enregistrement associées à un nom de domaine, une adresse IP ou un numéro de système autonome (ASN) depuis une base de données accessible au public. Le résultat inclut l’identité du titulaire, les contacts administratifs, les dates d’enregistrement et d’expiration, les serveurs de noms et le bureau d’enregistrement — autant d’éléments essentiels pour la gestion des domaines, l’investigation des abus et les diagnostics réseau.
Pour tout administrateur système, chercheur en sécurité ou propriétaire de domaine, WHOIS n’est pas simplement un outil de recherche — c’est une couche fondamentale de l’infrastructure de transparence d’internet. Comprendre son fonctionnement au niveau du protocole, quelles données il expose (et pourquoi certaines sont désormais masquées), et comment l’utiliser efficacement dans différents environnements est une connaissance essentielle pour quiconque gère des ressources exposées sur internet.
Quelles informations retourne une recherche WHOIS ?
Les données retournées par une requête WHOIS varient selon le registre, le TLD (domaine de premier niveau) et les politiques de confidentialité du bureau d’enregistrement. Dans un enregistrement entièrement non masqué, vous pouvez vous attendre aux champs suivants :
Informations sur le titulaire
- Nom légal complet ou nom de l’organisation
- Adresse postale physique
- Adresse e-mail et numéro de téléphone
- Pays d’enregistrement
Contacts administratifs et techniques
- Enregistrements de contact distincts pour les rôles administratif et technique
- Utilisés pour l’autorisation de transfert de domaine, la vérification des modifications DNS et l’escalade des abus
Détails de l’enregistrement du domaine
- Date de création : L’horodatage d’enregistrement original (UTC)
- Date de mise à jour : La dernière modification de l’enregistrement
- Date d’expiration : La date à laquelle le domaine expire s’il n’est pas renouvelé — critique pour les stratégies de récupération de domaines expirés
Enregistrements des serveurs de noms
- Les serveurs DNS faisant autorité pour le domaine
- Les données des serveurs de noms ne sont jamais masquées, même sous le RGPD, car elles sont opérationnellement nécessaires
Informations sur le bureau d’enregistrement
- Le bureau d’enregistrement accrédité par l’ICANN gérant le domaine (ex. : GoDaddy, Namecheap, Tucows)
- Identifiant de bureau d’enregistrement IANA pour référence croisée
Codes de statut de domaine
- Codes de statut EPP tels que `clientTransferProhibited`, `serverHold` ou `pendingDelete` — souvent négligés mais porteurs d’une signification opérationnelle importante
Comment fonctionne le protocole WHOIS : sous le capot
WHOIS fonctionne sur le port TCP 43 en utilisant un modèle simple de requête-réponse en texte brut défini dans la RFC 3912. Il est antérieur au web moderne et reste l’un des plus anciens protocoles internet actifs encore largement utilisés.
Voici le cycle de vie complet d’une requête :
- Le client initie une connexion TCP vers un serveur WHOIS sur le port 43
- Le client transmet la chaîne de requête (ex. : `example.comrn`) en texte brut
- Le serveur WHOIS effectue une recherche dans sa base de données de registre
- Le serveur retourne l’enregistrement sous forme de flux texte brut et ferme la connexion
Pour les TLD génériques (gTLD) comme `.com` et `.net`, la requête atteint d’abord le serveur WHOIS léger de Verisign, qui ne retourne que les données du bureau d’enregistrement et des serveurs de noms. Une seconde requête est ensuite dirigée vers le serveur WHOIS complet du bureau d’enregistrement pour récupérer l’enregistrement complet du titulaire. Cette architecture à deux niveaux explique pourquoi certains outils affichent des données partielles à moins d’effectuer automatiquement les deux requêtes.
Pour les TLD nationaux (ccTLD) comme `.de`, `.uk` ou `.fr`, le registre lui-même exploite souvent un serveur WHOIS complet avec son propre schéma et ses propres politiques d’accès.
WHOIS vs. RDAP : le successeur moderne
Le protocole d’accès aux données d’enregistrement (RDAP) est le remplacement standardisé par l’IETF de WHOIS, défini dans les RFC 7480–7484. Contrairement à WHOIS, RDAP retourne des réponses JSON structurées, prend en charge l’authentification pour un accès à plusieurs niveaux et gère nativement les noms de domaine internationalisés (IDN).
| Fonctionnalité | WHOIS (RFC 3912) | RDAP (RFC 7480+) |
|---|
| — | — | — |
|---|
| Format de réponse | Texte brut non structuré | JSON structuré |
|---|
| Prise en charge de l’authentification | Aucune | Oui (accès à plusieurs niveaux) |
|---|
| Noms internationalisés | Médiocre/incohérent | Prise en charge complète d’Unicode |
|---|
| Transport HTTPS | Non (port TCP 43) | Oui (HTTPS) |
|---|
| Noms de champs standardisés | Non (varie selon le registre) | Oui (définis par l’IANA) |
|---|
| Contrôle d’accès conforme au RGPD | Non | Oui |
|---|
| Découverte par bootstrap | Manuelle | Automatique via l’IANA |
|---|
| En-têtes de limitation de débit | Non | Oui |
|---|
L’ICANN a rendu obligatoire la prise en charge de RDAP pour tous les registres et bureaux d’enregistrement de gTLD à compter d’août 2019. Cependant, WHOIS reste opérationnel en parallèle et demeure la méthode dominante utilisée par les outils en ligne de commande et les systèmes hérités. Pour les nouveaux outils, RDAP devrait être le protocole privilégié.
Types de recherches WHOIS
Recherche WHOIS de domaine
Le type le plus courant. Interroge les bases de données du registre et du bureau d’enregistrement pour un domaine de second niveau spécifique (ex. : `alexhost.com`). Retourne l’enregistrement complet tel que décrit ci-dessus.
Recherche WHOIS d’adresse IP
Interroge les bases de données des registres internet régionaux (RIR) — ARIN (Amérique du Nord), RIPE NCC (Europe/Moyen-Orient), APNIC (Asie-Pacifique), LACNIC (Amérique latine) ou AFRINIC (Afrique) — pour identifier l’organisation détenant un bloc IP spécifique. Indispensable pour le signalement d’abus, la validation de géolocalisation et le dépannage BGP.
Recherche WHOIS d’ASN
Un numéro de système autonome (ASN) identifie un ensemble de préfixes de routage IP sous un seul domaine administratif. L’interrogation d’un ASN révèle l’opérateur réseau, sa politique de routage et les plages IP qu’il annonce. Utilisé dans l’analyse BGP, les décisions de peering et l’attribution des sources de DDoS.
Recherche WHOIS inversée
Une technique moins souvent évoquée mais très précieuse : au lieu d’interroger par domaine ou IP, vous interrogez par nom du titulaire, adresse e-mail ou organisation. Cela retourne tous les domaines enregistrés sous cette entité — puissant pour la protection de marque, l’investigation de fraude et l’intelligence concurrentielle. Des outils comme DomainTools et ViewDNS.info le permettent. Les serveurs WHOIS standard ne le font pas.
Comment effectuer une recherche WHOIS : toutes les méthodes
Méthode 1 : Interface en ligne de commande (recommandée pour les administrateurs système)
La commande `whois` est disponible nativement sur Linux et macOS. Dans un environnement d’hébergement VPS fonctionnant sous Debian ou Ubuntu, le paquet peut nécessiter une installation :
“`bash
sudo apt install whois -y
“`
Recherche de domaine basique :
“`bash
whois example.com
“`
Interroger directement un serveur WHOIS spécifique (utile lorsque le serveur par défaut retourne des données légères) :
“`bash
whois -h whois.verisign-grs.com example.com
“`
Recherche d’adresse IP :
“`bash
whois 93.184.216.34
“`
Recherche d’ASN :
“`bash
whois AS15169
“`
Sur Windows, l’outil natif `whois.exe` de Microsoft Sysinternals est l’option la plus propre :
“`powershell
whois.exe example.com
“`
Conseil pro pour les administrateurs système : Lors de la création de scripts pour des recherches WHOIS en masse, implémentez toujours une limitation de débit (minimum 1 à 2 secondes entre les requêtes). La plupart des serveurs WHOIS appliquent des limites de débit strictes et bloqueront temporairement votre IP en cas de requêtes agressives. Pour les recherches à volume élevé, RDAP avec des en-têtes de mise en cache HTTP appropriés est un meilleur choix architectural.
Méthode 2 : Outils WHOIS en ligne
Pour des recherches ponctuelles sans accès au terminal, plusieurs outils web faisant autorité existent :
- ICANN Lookup (`lookup.icann.org`) — la source de référence ; interroge à la fois WHOIS et RDAP
- ARIN WHOIS (`search.arin.net`) — pour les données IP et ASN nord-américaines
- Base de données RIPE NCC (`apps.db.ripe.net`) — pour les ressources IP européennes et du Moyen-Orient
- DomainTools — plateforme commerciale avec WHOIS inversé, historiques d’enregistrements et surveillance
- MXToolbox — utile pour combiner WHOIS avec des recherches DNS et de listes noires dans un seul flux de travail
Méthode 3 : Intégration WHOIS dans cPanel
Si vous gérez des domaines via un panneau de contrôle, la plupart des intégrations de bureaux d’enregistrement affichent directement les données WHOIS. Sur un VPS avec cPanel, l’interface WHM fournit des utilitaires de recherche de domaine dans la section Fonctions DNS, permettant aux administrateurs de vérifier la délégation des serveurs de noms et le statut d’enregistrement sans quitter le panneau.
Méthode 4 : Accès par API programmatique
Pour les pipelines de surveillance automatisés, plusieurs API RDAP et WHOIS sont disponibles :
“`python
import requests
domain = "example.com"
response = requests.get(f"https://rdap.org/domain/{domain}")
data = response.json()
print(data["ldhName"]) # Domain name
print(data["events"]) # Creation, expiration, last changed
print(data["nameservers"]) # Authoritative nameservers
“`
Le service de bootstrap `rdap.org` route automatiquement votre requête vers le bon point de terminaison RDAP du registre, éliminant le besoin de coder en dur les adresses des serveurs.
Interprétation des codes de statut EPP : ce que la plupart des guides omettent
Les codes de statut du protocole de provisionnement extensible (EPP) dans un enregistrement WHOIS sont fréquemment mal compris. Ils affectent directement les opérations pouvant être effectuées sur un domaine :
| Code de statut EPP | Signification | Impact opérationnel |
|---|
| — | — | — |
|---|
| `clientTransferProhibited` | Le bureau d’enregistrement a verrouillé le domaine contre le transfert | Ne peut pas être transféré vers un autre bureau d’enregistrement sans déverrouillage |
|---|
| `clientDeleteProhibited` | Le domaine ne peut pas être supprimé au niveau du bureau d’enregistrement | Protège contre la suppression accidentelle ou malveillante |
|---|
| `serverTransferProhibited` | Verrouillage de transfert au niveau du registre | Nécessite une action du registre pour être supprimé ; courant sur les nouveaux enregistrements |
|---|
| `serverHold` | Le domaine est suspendu au niveau du registre | Le DNS ne résout pas ; souvent dû à un non-paiement ou à des abus |
|---|
| `pendingDelete` | Le domaine est dans le pipeline de suppression | Sera libéré au public dans ~5 jours (pour les gTLD) |
|---|
| `redemptionPeriod` | Le domaine a expiré et est entré dans la période de récupération | Peut être restauré par le titulaire original moyennant des frais premium |
|---|
| `ok` | Aucune restriction ; état opérationnel normal | Toutes les opérations sont autorisées |
|---|
Un domaine affichant uniquement le statut `ok` sans verrou de transfert constitue un risque de sécurité — il est très facile d’initier un transfert non autorisé. Assurez-vous toujours que `clientTransferProhibited` est défini sur les domaines de production.
Confidentialité des données WHOIS, RGPD et cadre SSAD
Le Règlement général sur la protection des données (RGPD), en vigueur depuis mai 2018, a fondamentalement modifié la disponibilité publique des données WHOIS pour les titulaires dans l’Espace économique européen. L’impact s’étend à l’échelle mondiale car la plupart des grands bureaux d’enregistrement ont appliqué des politiques de masquage universellement plutôt que sur une base géographique par titulaire.
Ce qui a changé :
- Les données personnelles du titulaire (nom, e-mail, téléphone, adresse) sont remplacées par `REDACTED FOR PRIVACY` ou acheminées via un service de proxy de confidentialité
- Les adresses e-mail proxy fournies par le bureau d’enregistrement (ex. : `abc123@proxy.registrar.com`) remplacent les e-mails de contact directs
- Les données des serveurs de noms, l’identité du bureau d’enregistrement et les codes de statut EPP restent visibles publiquement
Ce qui n’a pas été résolu :
Le système d’accès/divulgation standardisé (SSAD) de l’ICANN a été proposé comme mécanisme permettant aux parties vérifiées (forces de l’ordre, avocats en propriété intellectuelle, chercheurs en cybersécurité) d’accéder aux données WHOIS non publiques via une passerelle centralisée. En 2025, la mise en œuvre du SSAD reste incomplète, créant un écart significatif dans les flux de travail d’investigation des abus. Les équipes de sécurité signalent fréquemment que le suivi des infrastructures de phishing et des campagnes de spam est considérablement plus difficile depuis le RGPD en raison de l’absence d’un mécanisme de divulgation fonctionnel.
Implication pratique : Lorsque vous rencontrez un enregistrement WHOIS entièrement masqué, votre voie d’escalade pour les abus passe par le contact d’abus du bureau d’enregistrement (toujours listé, jamais masqué) ou par le système de signalement d’abus du registre. Le bureau d’enregistrement est contractuellement obligé, en vertu de la politique de l’ICANN, de transmettre les plaintes pour abus au titulaire.
Pourquoi les recherches WHOIS sont importantes : cas d’usage réels
Acquisition de domaine et diligence raisonnable
Avant d’acheter un domaine sur le marché secondaire, une recherche WHOIS révèle la date d’expiration, le bureau d’enregistrement actuel et le statut de verrouillage de transfert. La vérification des historiques WHOIS du domaine (via DomainTools ou la Wayback Machine) peut exposer une utilisation antérieure pour du spam ou de la distribution de logiciels malveillants, ce qui peut avoir entraîné une mise sur liste noire.
Dépannage DNS
Lorsqu’un domaine ne se résout pas correctement, les champs de serveurs de noms WHOIS constituent le premier point de contrôle diagnostique. Une discordance entre les serveurs de noms listés dans WHOIS et les serveurs faisant autorité dans la chaîne de délégation DNS est une cause fréquente d’échecs de résolution. Cela est particulièrement pertinent lors de la migration d’hébergement entre fournisseurs — par exemple, le passage à un environnement de serveur dédié nécessite la mise à jour des enregistrements de serveurs de noms du bureau d’enregistrement et de la configuration de zone DNS.
Validation de l’émission de certificats SSL
Les autorités de certification effectuant des vérifications de validation de domaine (DV) peuvent croiser les données WHOIS. Si votre domaine bénéficie d’une protection de la vie privée, assurez-vous que le service proxy de votre bureau d’enregistrement transfère correctement les e-mails de validation. Les erreurs de configuration sont une cause fréquente d’échec d’émission de certificats SSL, en particulier pour les certificats wildcard et multi-domaines.
Investigation du phishing et des abus
Les équipes d’opérations de sécurité utilisent WHOIS pour corréler les domaines malveillants avec des acteurs de menace connus. Les adresses e-mail de titulaires partagées, les modèles de serveurs de noms et les clusters de timing d’enregistrement sont des indicateurs d’infrastructure coordonnée. Même avec le masquage RGPD, les données des serveurs de noms et du bureau d’enregistrement fournissent souvent des points de pivot suffisants.
Protection de marque et application des droits de marque
Les équipes juridiques utilisent WHOIS pour identifier les cybersquatteurs et déposer des plaintes UDRP (politique uniforme de résolution des litiges relatifs aux noms de domaine) auprès de l’ICANN. L’adresse de contact proxy du titulaire est suffisante pour initier des procédures formelles.
Surveillance concurrentielle des domaines
Suivre quand les domaines des concurrents sont enregistrés, renouvelés ou transférés peut révéler des signaux stratégiques. Un domaine passant à un nouveau bureau d’enregistrement ou fournisseur de serveurs de noms peut indiquer une migration de plateforme ou un changement d’infrastructure.
Exemple de sortie WHOIS : annoté
Voici un enregistrement WHOIS représentatif avec des annotations expliquant la signification de chaque champ :
“`
Domain Name: EXAMPLE.COM
Registry Domain ID: 2336799_DOMAIN_COM-VRSN ← Verisign registry ID
Registrar WHOIS Server: whois.registrar.com
Registrar URL: https://www.registrar.com
Updated Date: 2024-08-15T10:22:00Z ← Last record modification
Creation Date: 2000-01-01T00:00:00Z ← Original registration
Registry Expiry Date: 2026-01-01T00:00:00Z ← Renewal deadline
Registrar: Example Registrar, Inc.
Registrar IANA ID: 1234
Registrar Abuse Contact Email: abuse@registrar.com ← Always public
Registrar Abuse Contact Phone: +1.8005551234
Domain Status: clientDeleteProhibited ← Transfer/delete locks
Domain Status: clientTransferProhibited
Domain Status: clientUpdateProhibited
Name Server: NS1.EXAMPLEHOST.COM ← Authoritative DNS
Name Server: NS2.EXAMPLEHOST.COM
DNSSEC: unsigned ← No DNSSEC — potential risk
“`
Le champ `DNSSEC: unsigned` mérite d’être mis en évidence. Un domaine sans DNSSEC est vulnérable aux attaques d’empoisonnement du cache DNS. Pour tout domaine gérant des transactions financières ou des données utilisateur sensibles, la signature DNSSEC devrait être considérée comme obligatoire.
WHOIS pour la validation de l’infrastructure e-mail
Une application moins discutée de WHOIS est la validation de la légitimité des domaines d’envoi dans les flux de travail de sécurité des e-mails. Lors de la configuration d’un hébergement e-mail ou de l’analyse des courriers entrants, le croisement de l’âge d’enregistrement WHOIS du domaine d’envoi avec son volume d’e-mails peut signaler les domaines nouvellement enregistrés (moins de 30 jours) qui sont disproportionnellement actifs — un indicateur fort d’infrastructure de spam ou de phishing.
Les agents de transfert de courrier et les plateformes anti-spam intègrent de plus en plus les données d’âge WHOIS dans leurs modèles de scoring aux côtés de la validation SPF, DKIM et DMARC.
Matrice de décision technique : choisir votre méthode WHOIS
| Scénario | Méthode recommandée | Notes |
|---|
| — | — | — |
|---|
| Vérification ponctuelle de domaine | Outil web ICANN Lookup | Faisant autorité, interroge à la fois WHOIS et RDAP |
|---|
| Audit de domaines en masse | CLI `whois` avec limitation de débit ou API RDAP | Script avec intervalles de pause ; utiliser RDAP pour une sortie structurée |
|---|
| Pipeline de surveillance automatisé | API JSON RDAP | Données structurées ; prend en charge la mise en cache HTTP |
|---|
| Investigation d’abus IP | Interface web RIR (ARIN/RIPE) | Utiliser le bon RIR pour l’allocation géographique de l’IP |
|---|
| Recherche historique sur les titulaires | DomainTools ou SecurityTrails | Commercial ; enregistrements historiques pré-RGPD disponibles |
|---|
| Environnement de panneau de contrôle | Fonctions DNS cPanel ou portail du bureau d’enregistrement | Intégré ; aucune CLI requise |
|---|
| Analyse ASN et BGP | `whois AS[number]` ou RIPE Stat | Combiner avec un looking glass BGP pour une vue complète |
|---|
Liste de contrôle pratique : bonnes pratiques WHOIS pour les propriétaires de domaines
- Activez le verrouillage de transfert du bureau d’enregistrement (`clientTransferProhibited`) sur tous les domaines de production immédiatement après l’enregistrement
- Activez la protection de la vie privée WHOIS pour éviter l’exposition des données personnelles, mais vérifiez que le service proxy de votre bureau d’enregistrement transfère correctement les e-mails d’abus et de validation
- Surveillez les dates d’expiration avec des alertes automatisées — la plupart des bureaux d’enregistrement proposent cela, mais un outil de surveillance secondaire offre une redondance
- Vérifiez l’exactitude des serveurs de noms dans WHOIS après toute migration DNS ; la propagation peut prendre jusqu’à 48 heures mais l’enregistrement WHOIS devrait se mettre à jour en quelques minutes
- Vérifiez le statut DNSSEC et activez la signature si votre bureau d’enregistrement et votre fournisseur DNS le prennent en charge
- Examinez périodiquement les codes de statut EPP — des changements de statut inattendus peuvent indiquer un accès non autorisé au compte
- Pour les domaines enregistrés via des services d’enregistrement de domaines, confirmez que le contact d’abus du bureau d’enregistrement est réactif avant qu’un incident ne survienne
- Croisez l’enregistrement WHOIS de votre domaine avec les bases de données de listes noires après tout incident de sécurité pour évaluer l’impact sur la réputation
FAQ
Quelle est la différence entre un enregistrement WHOIS léger et un enregistrement complet ?
Un enregistrement WHOIS léger, retourné par le registre (ex. : Verisign pour `.com`), contient uniquement le nom du bureau d’enregistrement, les serveurs de noms et les codes de statut. Un enregistrement WHOIS complet, retourné par le serveur WHOIS propre du bureau d’enregistrement, inclut les données complètes de contact du titulaire. La plupart des outils de recherche effectuent automatiquement les deux requêtes, mais interroger directement le serveur du registre ne retournera que des données légères.
Pourquoi une recherche WHOIS affiche-t-elle « REDACTED FOR PRIVACY » au lieu des coordonnées ?
Depuis le RGPD, la plupart des bureaux d’enregistrement appliquent mondialement le masquage de confidentialité aux données personnelles des titulaires par défaut ou en tant que service optionnel. Le contact d’abus du bureau d’enregistrement reste visible. Pour contacter le propriétaire du domaine, utilisez l’adresse e-mail proxy ou le formulaire de contact fourni dans l’enregistrement.
Les données WHOIS peuvent-elles être utilisées comme preuve légale de propriété de domaine ?
Les enregistrements WHOIS ne constituent pas à eux seuls une preuve légalement faisant autorité de la propriété — ils reflètent les données d’enregistrement, pas le titre. Dans les procédures UDRP et les affaires judiciaires, les enregistrements WHOIS sont utilisés comme preuves à l’appui aux côtés des données de compte du bureau d’enregistrement, qui constituent la source faisant autorité. Les données de compte du bureau d’enregistrement nécessitent une demande légale formelle pour être obtenues.
À quelle fréquence les données WHOIS sont-elles mises à jour après une modification ?
Les bases de données WHOIS des bureaux d’enregistrement reflètent généralement les modifications dans les minutes à quelques heures suivant une modification. Les données au niveau du registre (serveurs de noms, codes de statut) se propagent vers le serveur WHOIS du registre en quelques minutes. Cependant, les agrégateurs WHOIS tiers et les proxies de mise en cache peuvent servir des données obsolètes pendant 24 à 48 heures.
Que signifie le statut « pendingDelete » et le domaine peut-il encore être récupéré ?
`pendingDelete` signifie que le domaine a dépassé sa période de grâce d’expiration et sa période de récupération et est en attente de suppression par le registre. Pour les domaines `.com` et `.net`, cette phase dure environ 5 jours. Durant cette période, le titulaire original ne peut pas récupérer le domaine — il ne peut être enregistré que par n’importe qui une fois qu’il est libéré. Le statut `redemptionPeriod`, qui précède `pendingDelete`, est la dernière fenêtre de récupération, généralement moyennant des frais importants facturés par le bureau d’enregistrement.