Les forums d'Ecrans

Annonce

Pour participer aux forums d'Ecrans.fr, il faut d'abord s'inscrire. Pour vous inscrire, cliquez ici.
Si vous possédez déjà un compte, cliquez ici.

#1 21-03-2012 13:26:40

Ecrans.fr
Administrateur
Inscription : 25-06-2007
Messages : 1 000

Comment remonter la piste d'une adresse IP ?

Comment remonter la piste d'une adresse IP ?

Comment les enquêteurs ont-ils pu suivre la piste des connexions faites sur la page d'une annonce du Bon Coin? Explications (un peu techniques).

Lire l'article

Hors ligne

#2 21-03-2012 14:18:56

Brindosier
Nouveau membre
Inscription : 21-03-2012
Messages : 4

Re : Comment remonter la piste d'une adresse IP ?

Bonjour, j'imagine que les demandes d'adresses IP sont encadrées juridiquement, il serait intéressant que nous vous nous disiez pour ce type type d'affaires quel délai s'écoule entre la demande de la police et le fourniture du nom des abonnés par les fournisseurs d'accès.

Hors ligne

#3 21-03-2012 14:26:16

nervusdm
Habitué
Inscription : 25-07-2008
Messages : 967

Re : Comment remonter la piste d'une adresse IP ?

Ca doit pas être bien long. Une demande et hop ta l'adresse. Si en plus fallait trainer pour récupérer une adresse à partir d'une ip.
Enfin, c'est quand même rassurant que ce genre de type n'ait pas le minimum de connaissance pour utiliser un vpn ou tâcher de masquer son ip.
Même si ça n'aurait pas tout changer..


Tutoriel ainsi qu'un  Moteur de recherche de fond d'écran
.:. What We do in life echoes in Eternity .:.

Hors ligne

#4 21-03-2012 14:31:34

alavoler
Nouveau membre
Inscription : 21-03-2012
Messages : 4

Re : Comment remonter la piste d'une adresse IP ?

Questions :
Combien faut-il de temps pour qu’une voiture mal garée sur Paris soit mise à la fourrière ?
Réponse : 10 minutes

Combien faut-il de temps pour interpeller un tueur qui à utiliser sa vrai IP ?
Réponse : 10 jours, et quelques enfants morts plus tard


Heureusement pour la police que le « terroriste » n’était pas un génie intellectuel (utiliser sa vrai IP, rester chez soi alors qu’on est l’ennemie Public numéro 1 du moment, aller faire du tourisme dans un stage terroriste, aller demander à un concessionnaire du coin de faire sauter le chip GPS de sa moto…)

Hors ligne

#5 21-03-2012 14:36:16

B3uz
Nouveau membre
Inscription : 21-03-2012
Messages : 1

Re : Comment remonter la piste d'une adresse IP ?

T'es trop fort... Franchement que ferions nous sans toi !

Waou !

Comment décrypter les logs.

Bravo, ça c'est de l'article. Respect.

Hors ligne

#6 21-03-2012 14:39:17

sacco
Membre
Inscription : 04-11-2008
Messages : 34

Re : Comment remonter la piste d'une adresse IP ?

@alavoler : oui c'est bien certain qu'il n'y a qu'une seule personne qui a consulté cette page web et que c'était donc forcément elle la coupable...

Hors ligne

#7 21-03-2012 14:43:24

Egmorn
Habitué
Inscription : 04-07-2007
Messages : 2 946

Re : Comment remonter la piste d'une adresse IP ?

alavoler a écrit :

Questions :
Combien faut-il de temps pour qu’une voiture mal garée sur Paris soit mise à la fourrière ?
Réponse : 10 minutes

Combien faut-il de temps pour interpeller un tueur qui à utiliser sa vrai IP ?
Réponse : 10 jours, et quelques enfants morts plus tard


Heureusement pour la police que le « terroriste » n’était pas un génie intellectuel (utiliser sa vrai IP, rester chez soi alors qu’on est l’ennemie Public numéro 1 du moment, aller faire du tourisme dans un stage terroriste, aller demander à un concessionnaire du coin de faire sauter le chip GPS de sa moto…)

La comparaison est très mauvaise. On a un cas de flagrance (la police a vu la voiture mal garé lors d'une patrouille et la signale pour enlèvement) d'un cas d'enquête pour identifié un coupable alors qu'il n'y a pas de témoin apte à l'identifier.
10 jours pour identifier quelqu'un de masquer c'est relativement rapide.
Comme dit dans l'article, la recherche d'IP à donner plus de 500 noms, même en interrogeant les 500 ou en perquisitionnant chez les 500, rien ne dit que la police aurait pu trouver quoi que ce soit. Il a fallut recouper de nombreuse informations.
En l’occurrence il s'agit ici au moins du recoupement du témoignage d'un garagiste disant avoir eu un client posant des question sur les moyens de customizer un scooter (maquillage de scooter volé) avec cette liste d'IP qui a permis d'identifier le coupable. Hors ce témoignage n'a probablement été obtenue que grâce à la médiatisation importance des éléments de l'enquête qui n'a eu lieu qu'après la deuxième agression.

L'assassinat de ces personnes est certes horrible, mais ce n'est pas la faute de la police. Celle-ci a semble-t'il était plutôt efficace compte tenu des éléments rendu public

Hors ligne

#8 21-03-2012 14:43:45

Bolzano
Membre
Inscription : 27-01-2012
Messages : 37

Re : Comment remonter la piste d'une adresse IP ?

Pour être complet tant qu'à citer le serveur Apache qui ne fait rien de plus que ses concurrents dans le genre serveur Web on pourrait préciser que les informations d'identification et de connexion sont fournies par un serveur RADIUS (Wikipedia et Google sont vos amis, rien à voir avec un os du bras ou la BD Cubitus).

Plus précisément lors de la phase d'identification (authentication) l'utilisateur qui se connecte à l'Internet donne un nom et un mot de passe. Du temps des modems on les tapait ou on les configurait dans son client d'accès, maintenant ils sont le plus souvent donnés dans l'interface de la box lors de son installation.
Pour une IP fixe la réidentification est en principe refaite toutes les 24h.
Cette phase sert au fournisseur d'accès à s'assurer que c'est bien un abonné qui se connecte, une adresse IP extraite du pool du FAI est renvoyée avec la réponse d'acceptation de connexion. C'est l'appartenance à ce pool qui permet à la police au à la justice de demander au FAI à qui correspond cette adresse à telle date et heure.

Le serveur RADIUS a une deuxième fonction de comptabilisation (accounting) qui contient les journaux de connexion et déconnexion suivant cette phase.
Les extraits présentés comme venant d'AOL sont en fait extraits des documents remis à ce FAI lors de la formation sur leur serveur RADIUS de l'époque (on vous aide c'était un nom de musique moderne).

L'article est au mieux imprécis dans la phrase "Chaque fournisseur d’accès peut avoir un type d’enregistrement différent à partir du moment où ces informations sont récupérables".
Le protocole RADIUS précise en effet très exactement les attributs renvoyés dans les enregistrements ou tickets "Accounting Start" et "Accounting Stop", et tous ceux indiqués dans l'extrait sont standard et identiques pour tous les matériels d'accès (NAS, BAS...) et tous les FAI: User-Name (JohnDoe388) Framed-IP-Address, Full-Name, etc.
Les BAS modernes peuvent renvoyer d'autres infos intéressantes mais non-standard comme le nombre de paquets échangés, le volume de données, les sites visités, que le FAI peut exploiter ou non.

Dans l'affaire qui nous occupe, mettre 9 jours du premier meurtre le 11 mars à hier 20 mars pour trouver la personne qui a donné rendez-vous au militaire qui vendait sa moto ne paraît quand même pas un exploit pour la police qui devait en plus disposer du numéro de téléphone utilisé pour prendre le rendez-vous.

Hors ligne

#9 21-03-2012 15:00:02

alavoler
Nouveau membre
Inscription : 21-03-2012
Messages : 4

Re : Comment remonter la piste d'une adresse IP ?

Egmorn
500 IP c'est rien à discriminer hein, qu'on se le dise.
Un algo simple conciste à:
Matcher sur les types qui sont fiché par la RG / Police,
QUE C EST DIFFICIL OH MON DIEU!!
MATCH "STAGE DE COMBAT CHEZ AL QAIDA"

L'algo super compliqué:
Filtrer sur la région (genre rayon de 80Km), Matcher avec les appels téléphonique du mec tué, ou correspondance (email & co), Matcher avec "QUI a le permis moto ou immatriculation moto"...

Dernière modification par alavoler (21-03-2012 15:05:16)

Hors ligne

#10 21-03-2012 15:06:14

Egmorn
Habitué
Inscription : 04-07-2007
Messages : 2 946

Re : Comment remonter la piste d'une adresse IP ?

alavoler a écrit :

Egmorn
500 IP c'est rien à discriminer hein, qu'on se le dise.
Un algo simple conciste à:
Matcher sur les types qui sont fiché par la RG / Police,
QUE C EST DIFFICIL OH MON DIEU!!
MATCH "STAGE DE COMBAT CHEZ AL QAIDA"

L'algo super compliqué:
Filtrer sur la région (genre rayon de 80Km), Matcher avec les appels téléphonique du mec tué, ou correspondant (email & co), Matcher avec "QUI a le permis moto ou immatriculation moto"...

Car bien sur la police savait très bien que ce très bien que ce type avait fait un stage commando.
Et bien entendu sur les 500 seul celui là avait un permis moto, après tout, pourquoi aurait t'on besoin d'un permis moto pour acheter une moto...
De même qu'aucun autres des 500 n'avait du contacter la 1ere victime pour lui acheter sa moto.
C'est toujours facile après coup une fois toutes les preuves réunies de dire "Bon sang mais bien sure, ils sont trop cons de ne pas avoir vu cela plus toté". Sauf que justement pour rassembler et retrouver toute ces preuves il y'a du travail et c'est loin d'être instantané.

Hors ligne

#11 21-03-2012 15:23:48

jacquesbolo
Nouveau membre
Lieu : Paris
Inscription : 01-03-2008
Messages : 9
Site Web

Re : Comment remonter la piste d'une adresse IP ?

La question n'est pas de savoir si c'est facile ou pas. Même les flics doivent se dire que s'ils avaient trouvé plus vite ils auraient évité les morts de l'école.

Le problème est qu'il semble qu'ils ont attendu les morts de l'école pour mettre beaucoup de flics sur le coup.

Hors ligne

#12 21-03-2012 15:24:09

pef2012
Habitué
Inscription : 31-03-2009
Messages : 225

Re : Comment remonter la piste d'une adresse IP ?

Egmorn a écrit :

d'un cas d'enquête pour identifié un coupable

Juste un détail, il s'agissait d'identifier un suspect. Dans la loi française, il n'y a un coupable qu'après le verdict d'un jugement et la condamnation du prévenu, avant il y a un suspect présumé innocent, même si un faisceau de preuves laisse peu de doute quant à sa culpabilité.

Hors ligne

#13 21-03-2012 15:24:22

Egmorn
Habitué
Inscription : 04-07-2007
Messages : 2 946

Re : Comment remonter la piste d'une adresse IP ?

Terry Laire a écrit :

Bien joué Ecrans pour cette explication réussie sur un sujet tendant à partir en bullshit ailleurs.

Je me pose une question : le Bon coin était-il tenu par la loi de conserver ces logs d'Apache ? Je pense qu'un site doit conserver les logs de connexion des gens qui publient quelque chose sur le site (pour la responsabilité éditoriale), mais j'espère qu'ils ne sont pas contraints de garder la liste des gens qui affichent simplement leurs pages !

Ca fait réfléchir à 2 fois avant d'aller sur les sites porno, n'est ce pas?

Ma grosse question c'est aussi sur le "referrer". Est-ce que cela n'est communiqué que lorsqu'on clique sur un lien, ou même si on tape l'adresse du site directement?
(En gros si je suis sur un site porno et que je tape "Ecrans.fr" dans l'url, est-ce que vous voyez quand même le site correspondant).

Dernière modification par Egmorn (21-03-2012 15:27:20)

Hors ligne

#14 21-03-2012 15:35:41

jeannnine
Nouveau membre
Inscription : 21-03-2012
Messages : 1

Re : Comment remonter la piste d'une adresse IP ?

On dira ce qu'on voudra, ne pas percuter sur un patronyme qui se trouve déjà dans les fichier de la dcri, c'est pas pro.

un rapport de 1/575 c'est pas tout à fait une aiguille dans une bote de foin. Il ya un trés sérieux souci de gestion de l'information.

Au lieu de créer des nouveaux fichiers tous les ans jusqu'a vouloir fichier les citoyens de base, il ferait mieux de rendre exploitable ce qu'ils ont déjà.

Hors ligne

#15 21-03-2012 15:43:07

alavoler
Nouveau membre
Inscription : 21-03-2012
Messages : 4

Re : Comment remonter la piste d'une adresse IP ?

Egmorn
Sérieux tu le fais sacrement exprès...
T'es de la police... pour être aussi fin limier


sur les 500 IP doit y avoir 90% de bots :x, mais bon cpoa facile hein smile, vaut mieux aller prendre l’apéro, les enfants attendront

Ce qui fait sérieusement flipper, c'est que si le type avait utilisé Tor pour aller sur le net, qu'il s'était renseigné un peu avant sur les spec de sa moto (genre pas prendre un tracker embarqué quoi :x), et surtout si il s'etait un peu barré de chez lui en entendant qu'il était l'homme à abattre dans les médias: Bref un Cerveau à peu près normal:
Il serait entrain de canarder tout zazimut... bref merci d'avoir été plus stupide que ces fins limiers

Dernière modification par alavoler (21-03-2012 17:00:10)

Hors ligne

#16 21-03-2012 16:18:10

Erwan
Administrateur
Inscription : 11-04-2007
Messages : 1 328

Re : Comment remonter la piste d'une adresse IP ?

Egmorn a écrit :

Ma grosse question c'est aussi sur le "referrer". Est-ce que cela n'est communiqué que lorsqu'on clique sur un lien, ou même si on tape l'adresse du site directement?
(En gros si je suis sur un site porno et que je tape "Ecrans.fr" dans l'url, est-ce que vous voyez quand même le site correspondant).

Nope, le referrer ne concerne que les passages d'une page à une autre par un clic sur un lien hypertexte. Pour les sites porno, la problématique se situe donc plus dans les adorables petits cookies et autres outils de tracking... smile


Twitter : @erwancario / @ecrans - Gamertag Xbox Live/PSN : Nawre

Hors ligne

#17 21-03-2012 16:18:12

Egmorn
Habitué
Inscription : 04-07-2007
Messages : 2 946

Re : Comment remonter la piste d'une adresse IP ?

alavoler a écrit :

Egmorn
Sérieux tu le fais sacrement exprès...
T'es de la police... pour être aussi fin limier


sur les 500 IP doit y avoir 90% de bots :x, mais bon cpoa facile hein smile, vaut mieux aller prendre l’apéro, les enfants attendront

Ce qui fait sérieusement flipper, c'est que si le type avait utilisé Tor pour aller sur le net, qu'il s'était renseigné un peu avant sur les spec de sa moto (genre pas prendre un tracker embarqué quoi :x), et surtout si il s'etait un peu barré de chez lui en entendant qu'il était l'homme à abattre dans les médias: Bref un Cerveau à peu près normal:
Il serait entrain de canarder tout zazimut... bref merci d'avoir été plus stupide que les fins limiers

La DCRI (renseignement intérieur) a des fiches sur presque tout le monde, pour peu que tu ai voyagé dans un pays un poil intéressant ou que tu ai eu un poste ayant des enjeux stratégique. Comme il a été au Pakistan, il était fiché. Comme des centaines de milliers de personnes sur le territoire français.
Perso je suis très probablement fiché par la police simplement parce que mes parents ont occupé des fonctions importantes dans des entreprises stratégique, cela ne fait pas pour autant de moi un terroriste.
D'après les communiqué la DCRI a commencé a s'intéresser à son dossier qu'après le 2eme attentat. Donc justement suite au début de l’enquête de police et la suspicion de terrorisme (Après le premier, c'étais un simple meurtre, pas de raison de suspecter le terrorisme ou la récidive).

Le fait que la DCRI se mette a enquêter sur lui ne signifiait pas non plus qu'il était coupable. Et heureusement pour nous en l'absence d'un minimum de preuve ou de suspicion, on arrête pas tout le monde. Donc oui, la police a plutôt bien fait son travail.
Je déplore comme tout le monde ce qui est arrivé. Mais ce n'est pas en hurlant au loup et en accusant la police qu'on arrivera a quoi que ce soit.

Pour éviter ce genre de catastrophe, il n'y a pas de solution qui ne soit complètement liberticide pour l'ensemble de la population.

Dernière modification par Egmorn (21-03-2012 16:21:02)

Hors ligne

#18 21-03-2012 16:19:31

Egmorn
Habitué
Inscription : 04-07-2007
Messages : 2 946

Re : Comment remonter la piste d'une adresse IP ?

Erwan a écrit :
Egmorn a écrit :

Ma grosse question c'est aussi sur le "referrer". Est-ce que cela n'est communiqué que lorsqu'on clique sur un lien, ou même si on tape l'adresse du site directement?
(En gros si je suis sur un site porno et que je tape "Ecrans.fr" dans l'url, est-ce que vous voyez quand même le site correspondant).

Nope, le referrer ne concerne que les passages d'une page à une autre par un clic sur un lien hypertexte. Pour les sites porno, la problématique se situe donc plus dans les adorables petits cookies et autres outils de tracking... smile

Roh mais ça c'est pas grave, de toute façon ils ont déjà mon adresse mail et ma carte bancaire alors je ne suis plus à ça prêt.

Hors ligne

#19 21-03-2012 16:30:49

A_
Habitué
Inscription : 03-07-2007
Messages : 2 081

Re : Comment remonter la piste d'une adresse IP ?

Egmorn a écrit :

Ma grosse question c'est aussi sur le "referrer". Est-ce que cela n'est communiqué que lorsqu'on clique sur un lien, ou même si on tape l'adresse du site directement?
(En gros si je suis sur un site porno et que je tape "Ecrans.fr" dans l'url, est-ce que vous voyez quand même le site correspondant).

Non, seulement quand on passe par un lien d'une page.
C'est une info envoyé par le navigateur, donc ça peut se contrôler avec des extensions comme refcontrol sur FF.

Pour les logs, la loi oblige à les conserver 1 an pour les FAI et hébergeur.
Après si t'es une truffe (comme la majorité des webmasters) et que tu laisses la rotation des logs par défaut, tu peux en avoir plus... ou moins.

et le croisement de base de données hétérogènes en un claquement de doigt...
euh va falloir arrêter les séries télé.

Hors ligne

#20 21-03-2012 16:35:39

Egmorn
Habitué
Inscription : 04-07-2007
Messages : 2 946

Re : Comment remonter la piste d'une adresse IP ?

A_ a écrit :

et le croisement de base de données hétérogènes en un claquement de doigt...
euh va falloir arrêter les séries télé.

Comment cela? Il est impossible de retrouver un coupable à partir de son empreinte de chaussure.
Pourtant grâce à son empreinte je sais que c'est une Nike, du coup je peut identifier les revendeurs de cette chaussure dans la ville. Et comme il gardent bien le nom de tous les clients (même ceux qui payent cash), je suis capable d'obtenir la liste de tous leurs clients. Il ne me reste plus qu'à prendre l'empreinte des chaussures de tous ces clients et comme ces empreintes sont uniques (comme les empreintes digitales), je suis sur de l'attraper... Tu es sur que ça ne marche pas comme cela?

Et puis franchement, la base de la DCRI. Comme si 80% des français n'était pas dedans. Entre ceux qui ont fait les études qu'il ne fallait pas, ceux qui sont aller dans les pays a politique douteuses, ceux qui ont travailler sur des technologie sensible, ceux qui ont travailler dans ou pour l'armée. Et bien entendu la famille de tous ces gens là, vu que l'on peut utiliser la famille pour faire pression sur les personnes en question...

Dernière modification par Egmorn (21-03-2012 16:45:22)

Hors ligne

#21 21-03-2012 17:29:10

alavoler
Nouveau membre
Inscription : 21-03-2012
Messages : 4

Re : Comment remonter la piste d'une adresse IP ?

Egmorn
J'ai une autre théorie (plus fumeuse) pour expliquer leur incompétence (je suis informaticien on me fera pas le coup du "y a 500 bots qui sont allés en Afghanistan l'été dernier":
En France y a 900 homicides par ans, et ta 50% de chance pour dire que c'est le mari ou la femme le coupable (sans trop te fouler). Bref, on est plutôt un peuple pacifique, et notre police est plus spécialisée à mettre des gens lié à la drogue / Toxico / malade dans les prisons, à mettre des voitures à la fourrière, qu'à essayer de trouver un meurtrier (y a beaucoup plus de voiture et de drogués dans la rue que de tueur faut dire)

D’où les 10 jours pour faire une requête SQL de 3 lignes

Dernière modification par alavoler (21-03-2012 17:32:13)

Hors ligne

#22 21-03-2012 17:29:16

gégé
Habitué
Inscription : 02-11-2007
Messages : 1 970

Re : Comment remonter la piste d'une adresse IP ?

Egmorn a écrit :
A_ a écrit :

et le croisement de base de données hétérogènes en un claquement de doigt...
euh va falloir arrêter les séries télé.

Comment cela?

Les mots importants, c'était "en un claquement de doigts". Maintenant la police française sera surement ravie d'apprendre qu'il y a autant de merveilleux enqueteurs aux talents cachés regroupés sur Ecrans, la prochaine fois elle sera ravie de faire appel à vous pour trouver n'importe quel meurtrier en 24H.

Dernière modification par gégé (21-03-2012 17:33:05)

Hors ligne

#23 21-03-2012 17:31:04

Brindosier
Nouveau membre
Inscription : 21-03-2012
Messages : 4

Re : Comment remonter la piste d'une adresse IP ?

Le procureur de la République de Paris vient de déclarer que la police avait récupérer le nom des abonnés internet 6 jours après le premier meurtre. C'est incroyable.

Hors ligne

#24 21-03-2012 17:56:55

Oliv Soares
Habitué
Inscription : 09-12-2010
Messages : 334

Re : Comment remonter la piste d'une adresse IP ?

oui Egmorn... malgré tout, je suppose que l'une des tâches des services secrets consiste précisément à faire le tri dans cette base de données de manière à pouvoir en extraire assez rapidement les dossiers concernant les différents profils recherchés, et d'établir des priorités pour la surveillance des individus dangereux, en particulier des fanatiques religieux qui possèdent ou sont susceptibles de posséder des armes.

chercher à surveiller tout le monde et à tout propos est a contrario une perte de temps...  et au passage constatons que les milliers d'heures de vidéosurveillance n'ont absolument servi à rien... mais ça on a l'habitude.

Hors ligne

#25 21-03-2012 17:58:20

LupusMichaelis
Habitué
Inscription : 18-01-2011
Messages : 58

Re : Comment remonter la piste d'une adresse IP ?

Egmorn a écrit :

Et comme il gardent bien le nom de tous les clients (même ceux qui payent cash)

On te demande une pièce d'identité pour acheter une paire de chaussures ?

Brindosier a écrit :

Le procureur de la République de Paris vient de déclarer que la police avait récupérer le nom des abonnés internet 6 jours après le premier meurtre. C'est incroyable.

Ce qui est incroyable, c'est de voir des gens comme toi. Des personnes qui peuvent croire que requérir une série de fichiers nominatifs auprès d'entreprises privées dans un pays où l'état de droit à court, est instantané.

Tout d'abord, il a fallut qu'ils contact leboncoin.fr. La réponse à leur demande peut prendre un ou deux jours, selon les procédures interne à l'entreprise. Ensuite, ils peuvent aussi être munis d'une commission rogatoire leur permettant de perquisitionner les ordinateurs, mais ça peut poser des problèmes de droit. Puis, il faut éplucher les logs : trier les IP par FAI, et faire les requêtes auprès de chaque FAI. Et on est reparti pour un ou deux jours. Puis il faut enquêter sur les personnes derrière chaque IP. Comme quoi, 6 jours, c'est me bien.

Et pour ceux qui voudraient court-circuiter toutes ces procédures, n'oublions pas que les enquêteurs doivent respecter le droit. Sinon, l'avocat du prévenu pourrait faire valoir des nullités, et tout le travail fournit serait invalidé, le justiciable remis en liberté, prêt à continuer son combat.

Hors ligne

Pied de page des forums