Tuerie de Toulouse: Comment la police a pu retrouver la trace du tueur sur Internet grâce aux adresses IP

REUTERS/Samantha Sais

REUTERS/Samantha Sais

L'enquête se serait accélérée quand les policiers ont identifié l'adresse IP du frère du tueur présumé. Techniquement, comment ça marche?

Selon des «sources proches de l'enquête» citées par Le Monde mais aussi par France Info, l'enquête sur l'affaire du tueur de Toulouse s'est accélérée quand «les policiers ont identifié l'adresse IP de son frère (...) Parmi les pistes examinées figurait celle d'un rendez-vous donné à la première victime en réponse à une petite annonce diffusée» sur Le Bon Coin pour la vente d'une moto. 

Lors d’une conférence de presse donnée mardi 20 mars sur l’évolution de l’affaire des tueries de Toulouse, le procureur de Paris avait déjà confirmé qu’une «cyberenquête» était menée pour rechercher le meurtrier du soldat Imad Ibn-Ziaten. Il avait été abattu le 11 mars à Toulouse lors d’un rendez-vous avec son tueur, pendant lequel il avait prévu de lui vendre sa moto. Le militaire avait mis en ligne une annonce sur le site leboncoin.fr, et le procureur a expliqué que la police recherchait «d’autres annonces diffusées par la victime sur d’autres sites», «d’autres ordinateurs utilisés» ainsi que «des personnes qui auraient pu consulter l’annonce».

Comment la police peut-elle retrouver les personnes qui ont consulté cette annonce ou celles sur d’autres sites?

Grâce à leur adresse IP. Quand on se connecte sur un site, notre adresse IP —le numéro d’identification de la connexion d’un ordinateur ou tout autre appareil à Internet— est automatiquement récoltée par ce site.

En tant qu’hébergeur, leboncoin.fr doit conserver pendant un an l’adresse IP de ceux qui ont «contribué à la création d’un contenu» –ici une annonce, entre autres pour ce genre de cas (les sites comme leboncoin, ebay, amazon et autres s’en servent aussi pour bannir les spammeurs par exemple).

Reste donc à savoir si cette loi concernerait l'adresse IP de quelqu’un ayant répondu à l’annonce (le message étant privé) ou celles des 500 personnes ayant simplement «visionné l’annonce» comme évoquées par Claude Guéant.

Slate.fr a contacté le service presse du Bon Coin pour savoir si le site conservait les adresses IP des gens répondant aux annonces ou visitant le site, et pendant combien de temps, et nous actualiserons cet article avec leur réponse.

Reste que l’enquête étant menée sous le régime de la flagrance, le procureur et la police judiciaire peuvent requérir des documents en rapport avec l’enquête, «y compris ceux issus d’un système informatique». Si leboncoin.fr conserve les adresses IP des gens ne créant pas d’annonce, les enquêteurs ont pu passer par cette procédure pour les obtenir.

A partir de là, la police trouve à quel fournisseur d’accès internet (FAI) appartient l’adresse IP: chaque fournisseur a une plage d’adresses (imaginons que de 1.1.1.1 à 1.1.1.2 c’est Orange, de 1.1.1.2 à 1.1.1.3 SFR, ensuite Bouygues ou Free, etc). Ces FAI ont eux aussi obligation de conserver les «logs», les journaux de connexion de leurs abonnés pendant un an, également pour des raisons légales.

Les policiers demandent donc ensuite au fournisseur d’accès concerné de lui dire à quel abonné correspond l’adresse IP (1).

Peut-on protéger son adresse IP?

Le scénario ci-dessus est le scénario «idéal», car les policiers pourraient ne pas retrouver –ou mettre plus de temps à retrouver– la personne qui a répondu à une annonce si elle a utilisé des subterfuges:

- le proxy: on ne se connecte pas directement sur un serveur web mais sur une machine relais, le proxy, qui elle va se connecter sur le serveur. C’est l’adresse IP du proxy qui remonterait, pas celle de l’internaute initial. C’est via ce système que des internautes dans des pays comme la Chine se connectent, pour ne pas risquer d’être repérés ou pour échapper à la censure (la machine relais pouvant être à l’étranger).

- Le VPN: une autre façon de se connecter de façon plus sécurisée, via un système où les données qu’on envoie lors d’une connexion sont chiffrées. Si le suspect s’est connecté depuis son entreprise et que celle-ci possède un VPN, le fournisseur d’accès ne peut pas savoir quel poste s’est connecté, mais l’entreprise –qui administre le VPN– si. Mais on peut aussi se connecter (généralement moyennant finances) à un VPN vénézuélien, suédois, etc, et là c’est plus compliqué pour la police de réussir à obtenir des renseignements sur l’internaute.

- Le wifi «libre»/ le cybercafé: si le suspect s’est connecté via un wifi «libre» (pas un wifi avec des codes SFR ou Neuf par exemple) ou dans un cybercafé, l’anonymat est plus facile à conserver.

- Le vol de codes wifi/de connexion: si le suspect s’est connecté via la connexion d'un proche ou en piquant les codes wifi d’un abonné quelconque, le retrouver sera d’autant plus long.

Retrouver ses appels? 

Si le suspect s’est connecté au boncoin.fr via son smartphone, une adresse IP lui aura aussi été attribuée.

Mais même si ce n’est pas le cas, retrouver l’adresse IP du suspect peut permettre de se rapprocher de son téléphone portable: le fournisseur d’accès peut dire dans quel secteur l’adresse se trouve, et de là la police peut trouver les téléphones mobiles présents dans ce secteur (à la campagne un secteur peut faire plusieurs kilomètres, contre 100 ou 200 mètres en ville).

On peut même imaginer la police demander aux opérateurs de filtrer les appels passés dans tel secteur vers un numéro de téléphone particulier.

Cécile Dehesdin

(1) C’est possible quel que soit le type d’adresse: statique, comme chez Free par exemple, où votre modem ADSL a le même numéro tant que vous avez votre contrat, ou bien dynamique, comme chez Orange par exemple, où votre box se déconnecte et reconnecte –avec une autre adresse IP– automatiquement toutes les 24 heures. Retourner à l'article

L'Explication remercie l'ingénieur informaticien Stéphane Bortzmeyer, Sylvain Gombault, responsable du master cybersécurité de Telecom Bretagne, maître Alain Bensoussan et Sophie Combes, secrétaire nationale du Syndicat de la magistrature.

Mise à jour le 21/03/12 avec l'avancée de l'enquête, une correction sur les exemples d'adresses IP, qui sont composées de quatre blocs, pas de cinq (elle ressemblent aussi plus à 212.85.150.134 qu'à 1.1.1.1 mais bon, c'était pour l'exemple), et sur les adresses IP à conserver ou pas selon la loi.