system online · no logs · no tracking · no kyc tor: v3 ready
[never]kyc
login sign up →
root@neverkyc:/blog/verifier-proxy-residentiel-pas-datacenter$ cat post.md

Vérifier qu'un proxy résidentiel n'est pas datacenter

// by ~anon · 2026-06-03 · mock,auto-generated,fr

Vérifier qu'un proxy résidentiel n'est pas un datacenter

Fin 2025, une enquête de Trustpilot a révélé qu'environ un plan « résidentiel » sur quatre vendu sur les places de marché secondaires correspondait en réalité à des adresses IP de datacenter réétiquetées, issues des plages d'OVH, de Hetzner ou de DigitalOcean. Les acheteurs payaient le prix fort — parfois 15 € le gigaoctet — pour des connexions qu'un système anti-fraude correctement configuré repère en quelques millisecondes. Pour quiconque achemine du trafic sensible à la vie privée, y compris le type de repérage pré-échange qu'un utilisateur prudent de MoneroSwapper effectue avant de demander un devis, cet écart entre la page commerciale et l'empreinte réseau réelle est lourd de conséquences. Un proxy qui paraît résidentiel sur votre tableau de bord mais qui ressemble à un datacenter pour Cloudflare est pire que pas de proxy du tout : il vous donne une fausse confiance tout en plaçant une cible sur chacune de vos requêtes.

Ce guide explique, étape par étape et avec des tests reproductibles, comment vérifier qu'une IP de proxy achetée est véritablement résidentielle — c'est-à-dire attribuée par un FAI grand public à un abonné domestique — et non une instance cloud à peine déguisée. Nous passerons en revue les recherches ASN, les motifs de DNS inverse, les empreintes de latence, les API tierces de scoring de fraude, ainsi qu'un audit manuel pas à pas exécutable en moins de dix minutes par point de sortie. Aucun de ces tests ne nécessite de privilèges particuliers : tout se fait depuis un shell Linux standard ou n'importe quel navigateur.

Pourquoi les IP de datacenter sont signalées et pas les résidentielles

Les plateformes anti-fraude comme MaxMind minFraud, IPQualityScore, IP2Location ou la gestion des bots de Cloudflare évaluent chaque requête entrante selon des dizaines de critères. Le critère de plus fort poids dans la majorité de ces modèles est de savoir si l'IP appartient au système autonome d'un hébergeur. Une requête provenant d'AS16276 (OVH) ne porte pas du tout le même profil de risque qu'une requête venant d'AS3215 (Orange France) ou d'AS12322 (Free). Même lorsqu'un fournisseur de proxy « résidentiel » fait tourner 50 millions d'adresses, s'il suffit qu'une seule d'entre elles remonte à un ASN de cloud, cette requête sera signalée, soumise à captcha ou silencieusement mise à l'écart.

La détection des datacenters fonctionne grâce à plusieurs asymétries que les revendeurs ont beaucoup de mal à dissimuler :

  • La propriété d'un ASN est publique : les RIR (RIPE NCC pour l'Europe, ARIN, APNIC, LACNIC, AFRINIC) publient l'attribution de chaque bloc IP à son organisation enregistrée. Impossible de mentir à un serveur WHOIS sur le propriétaire d'un /16.
  • Le DNS inverse trahit l'hébergeur : les opérateurs de datacenter configurent presque toujours des enregistrements PTR du type ec2-54-12-34-56.compute-1.amazonaws.com ou static.1.2.3.4.clients.your-server.de. Les vrais FAI utilisent des motifs comme par75-3-78-194-1-29.fbx.proxad.net (Free) ou lns-bzn-43-82-67-12-34.adsl.proxad.net.
  • Les ports ouverts dévoilent la finalité : une box résidentielle a presque jamais les ports 22, 80 ou 443 ouverts vers l'extérieur. Un VPS loué les exhibe fréquemment.
  • Les empreintes de latence diffèrent : les IP de datacenter affichent des temps d'aller-retour faibles et stables depuis n'importe quel point d'un même continent. Les IP résidentielles tressautent — le Wi-Fi, la contention DSL, la mise en file CGNAT et le bruit CPL laissent toutes des signatures.
  • Les bases de réputation s'accumulent : les IP de datacenter passent vite par des phases d'abus. Spamhaus DROP, FireHOL Level 1 et Project Honey Pot listent des plages où les FAI résidentiels n'apparaissent presque jamais.

Comprendre cette asymétrie, c'est faire la moitié du chemin. Dès que vous intégrez que chaque test « cette IP est-elle résidentielle ? » revient en réalité à demander « les indices correspondent-ils à un FAI grand public ? », la procédure de vérification devient systématique au lieu d'être un travail à l'aveugle. Un revendeur peut falsifier un signal isolé — par exemple en configurant un PTR personnalisé sur un VPS — mais falsifier simultanément cinq signaux orthogonaux coûte assez cher pour ne quasiment jamais se produire sur le marché des proxys bon marché.

Les cinq signaux techniques à vérifier

La hiérarchie ci-dessous est classée par puissance de signal. Si un proxy échoue à l'un des trois premiers tests, vous pouvez arrêter là : il n'est pas résidentiel. Les deux derniers sont confirmatoires plutôt que décisifs.

1. ASN et organisation WHOIS

Le test le plus rapide consiste à demander quelle organisation possède l'IP. En ligne de commande, whois 1.2.3.4 | grep -iE "OrgName|netname|descr" renvoie le propriétaire enregistré en quelques secondes. Depuis un navigateur, https://bgp.he.net/ip/1.2.3.4 affiche la même information avec l'ASN mis en évidence. Une IP réellement résidentielle remontera un FAI grand public — Orange, Free, SFR, Bouygues Telecom, Deutsche Telekom, BT, Telefónica, KDDI, NTT, Vodafone, Rostelecom, China Telecom, Reliance Jio, etc. Une IP de datacenter affichera Amazon, Microsoft, Google Cloud, OVH, Scaleway, Hetzner, Online.net, DigitalOcean, Linode, Vultr, Hostwinds, Choopa, Contabo, ou l'un des quelque 200 hébergeurs bien identifiés.

Cas intermédiaire à surveiller : certains fournisseurs enregistrent leurs /24 sous des sociétés-écrans qui ne paraissent ni clairement résidentielles ni clairement datacenter. Quand vous tombez sur « Bright Holdings LLC » ou « Quantum Network Services », vérifiez la fiche PeeringDB de l'ASN. Un vrai FAI s'interconnecte à plusieurs points d'échange (France-IX, DE-CIX, AMS-IX) et déclare des ports clients ; un revendeur de proxy s'interconnecte généralement à un seul IXP et ne déclare aucun port client.

2. DNS inverse (rDNS / PTR)

L'enregistrement PTR est un nom d'hôte associé à une adresse IP. Lancez dig -x 1.2.3.4 +short ou host 1.2.3.4. Les motifs résidentiels comportent souvent une chaîne géographique (par75-3-78-194-1-29.fbx.proxad.net pour un abonné Free Mobile en région parisienne), des plages de pool (lns-bzn-43-82-67-12-34.adsl.proxad.net, aaubervilliers-655-1-178-12.w90-25.abo.wanadoo.fr pour Orange) et des signatures CGNAT (10.cgnat.example-fai.fr). Les motifs datacenter contiennent au contraire des chaînes cloud explicites (tout ce qui se termine par .compute.amazonaws.com, .googleusercontent.com, .azurewebsites.net, .hetzner.de, .ovh.net, .scaleway.com, .digitalocean.com) et le signe ultime : aucun PTR du tout, ce qui suggère un bloc fraîchement loué.

3. Profil des ports ouverts

Depuis un serveur ami extérieur au réseau du proxy, exécutez nmap -Pn -p 22,80,443,3389,8080 1.2.3.4. Une IP domestique derrière une box typique affichera tous les ports en closed ou filtered. Une IP de datacenter laisse souvent voir le port 22 ouvert (SSH), 80/443 ouverts si la machine a déjà servi à héberger quelque chose, ou 3389 ouvert sur les VPS Windows. Effectuez ce scan avec parcimonie et seulement contre des IP pour lesquelles vous avez l'autorisation de tester — un balayage répété peut enfreindre des conditions d'utilisation et, en France, les articles 323-1 et suivants du Code pénal en cas d'excès manifeste.

4. Empreinte de latence et de gigue

Exécutez ping -c 50 1.2.3.4 depuis un serveur situé dans la même région géographique. Notez l'écart-type. Les IP de datacenter affichent généralement des écarts-types inférieurs à 2 ms. Les IP résidentielles montrent une variation de 10 à 80 ms à cause de la contention du dernier kilomètre. Un proxy qui vous vend une IP « résidentielle française » avec une gigue de 0,8 ms depuis une sonde située à Paris est presque à coup sûr une instance cloud réétiquetée.

5. Scoring tiers de fraude

Les points d'accès gratuits d'IPQualityScore, IPHub, IP2Proxy et Scamalytics renvoient chacun un objet JSON contenant les champs "proxy", "hosting", "vpn" et un score de fraude entre 0 et 100. Si trois services sur quatre marquent l'IP comme hosting, traitez-la comme datacenter, quoi que prétende votre fournisseur. Ces services reconstruisent leurs jeux de données chaque mois et démasquent les revendeurs plus vite que vous ne pouvez auditer manuellement.

Résidentiel contre datacenter en un coup d'œil

Le tableau ci-dessous résume les différences entre les deux types d'IP sur les signaux qui comptent vraiment pour les systèmes anti-fraude. Utilisez-le comme fiche de référence pendant votre audit.

Signal Résidentiel authentique Datacenter (souvent réétiqueté)
Propriétaire ASN FAI grand public (Orange, Free, SFR, BT) Cloud ou hébergeur (AWS, OVH, Hetzner, DO)
DNS inverse Géographique + suffixe FAI (ex. proxad.net, wanadoo.fr) Suffixe cloud ou PTR totalement absent
Ports ouverts Tous fermés ou seulement 80/443 (admin box) 22, 3389 ou 8080 souvent visibles
Gigue de latence (50 pings) Écart-type 10–80 ms Écart-type sous 2 ms
Drapeau « hosting » IPQualityScore False True
Cohérence WebRTC / DNS avec FAI Correspond au FAI du PTR Discordance ou DNS sur Google/Cloudflare
Listing Spamhaus / FireHOL Quasiment jamais Fréquent, surtout sur pools VPS recyclés

Considérez comme déformé tout proxy qui obtient le score « datacenter » sur deux lignes ou plus, et contestez-le auprès du fournisseur ou par rétrofacturation. Une seule ligne discordante peut être une anomalie passagère — par exemple, une vraie IP résidentielle qui a précédemment hébergé un serveur web amateur — mais deux écarts ou plus relèvent d'une classification erronée active, pas d'une coïncidence marginale.

Pas à pas : audit de vérification en dix minutes

Cette procédure suppose un accès shell à une machine Linux extérieure au réseau du proxy et un point d'entrée au format user:pass@1.2.3.4:8080. Les mêmes contrôles peuvent être réalisés sous PowerShell ou sur macOS avec des ajustements mineurs de commande.

  1. Confirmez l'IP de sortie : exécutez curl --proxy http://user:pass@1.2.3.4:8080 https://api.ipify.org. Cette commande renvoie l'IP publique réellement utilisée pour la sortie — qui peut différer de la passerelle du proxy. Utilisez la valeur retournée pour tous les tests suivants.
  2. Récupérez WHOIS et ASN : lancez whois <ip_sortie> | grep -iE "OrgName|netname|country|origin". Notez l'organisation. Si elle figure dans la liste des hébergeurs connus, comptez une faute.
  3. Résolvez le DNS inverse : lancez dig -x <ip_sortie> +short. Notez le suffixe. S'il correspond à un motif de fournisseur cloud, comptez une faute. S'il est vide, comptez une demi-faute : un PTR absent est suggestif sans être concluant.
  4. Interrogez une API de scoring fraude : appelez https://ipqualityscore.com/api/json/ip/<votre_clé>/<ip_sortie> et inspectez le JSON. Si hosting vaut true ou si le score de fraude dépasse 75, comptez une faute.
  5. Mesurez la gigue de latence : lancez ping -c 50 <ip_sortie> | tail -1 et lisez le champ mdev. Tout ce qui se trouve sous 2 ms sur le même continent constitue une signature datacenter ; comptez une faute.
  6. Croisez la géolocalisation : comparez le pays indiqué dans WHOIS, dans l'API de scoring et dans MaxMind GeoLite2 (téléchargeable gratuitement). Les vraies IP résidentielles s'accordent sur les trois. Les IP de datacenter divergent souvent, car les fournisseurs cloud déplacent leurs plages plus vite que les bases géo ne se mettent à jour.
  7. Vérifiez la cohérence du fingerprint navigateur : ouvrez https://browserleaks.com/ip à travers le proxy. La page doit afficher le même FAI via WebRTC, en-têtes HTTP et résolveur DNS. Si votre résolveur DNS est Cloudflare (1.1.1.1) ou Google (8.8.8.8) au lieu du FAI du proxy, vous avez une fuite DNS qui annule l'intérêt du proxy, quelle que soit la qualité de l'IP.
  8. Calculez le verdict : zéro faute — gardez le proxy. Une faute — surveillez et faites tourner plus tôt. Deux fautes ou plus — demandez un remboursement et rétrogradez la fiabilité du fournisseur dans vos notes internes.
Si un fournisseur de proxy refuse d'indiquer l'ASN en amont avant achat, présumez le pire. Les réseaux résidentiels sérieux comme Bright Data, Oxylabs et Smartproxy publient leurs accords de peering ; les revendeurs, en général, ne le font pas.

Un exemple concret tiré de la pile de confidentialité

Imaginez un utilisateur à Lyon qui veut se renseigner sur un échange non-custodial vers Monero. Il fait passer son navigateur par un proxy résidentiel commercialisé comme « pool FR, 24 millions d'IP, sourcées via partenaires SDK consentants ». À la première connexion, l'IP de sortie est 91.121.x.x. Une recherche WHOIS retourne « OVH SAS » — échec total dès cette étape, OVH étant l'un des hébergeurs européens les plus reconnaissables. Le DNS inverse résout en ns3xxxxxx.ip-91-121-x.eu, confirmant un serveur loué plutôt qu'une ligne domestique. IPQualityScore renvoie {"hosting": true, "proxy": true, "fraud_score": 88}. La gigue de latence depuis une sonde parisienne mesure 0,6 ms d'écart-type.

Cinq signaux sur cinq pointent vers du datacenter. L'utilisateur conteste le paiement, change de fournisseur, refait les tests et obtient cette fois une sortie sur AS3215 (Orange) avec un rDNS terminant en .abo.wanadoo.fr, une gigue d'environ 22 ms et un score de fraude propre. C'est seulement à ce moment qu'il poursuit ses recherches d'échange sur MoneroSwapper, sachant que la couche réseau n'est plus le maillon faible. L'audit complet a pris douze minutes — à peu près le temps de préparer un café et de lire ses e-mails — et lui aura épargné des heures de débogage de requêtes bloquées.

La leçon dépasse Monero ou tout autre service précis. Dès que votre modèle de menace implique de se fondre dans le trafic Internet ordinaire — scraping, test de contenu géo-restreint, veille concurrentielle ou simple préservation de votre confidentialité financière — l'intégrité du proxy est la fondation. Chaque protection supplémentaire que vous empilez (VPN, Tor, navigateur durci, conteneur éphémère) repose sur l'hypothèse que l'IP en dessous ressemble à une vraie connexion grand public. Si cette hypothèse s'effondre en silence, toutes les couches au-dessus sont compromises sans préavis.

Les arnaques classiques des revendeurs

Connaître les techniques aide à les repérer plus vite. Les quatre tromperies les plus courantes en 2025–2026 sont :

  • Renommage d'organisation : un revendeur loue un /22 chez OVH, transfère le contact WHOIS à une coquille appelée « Residential Networks Inc » et revend le bloc comme résidentiel. Les enregistrements PTR continuent de trahir l'origine OVH, mais seulement si vous regardez au-delà du nom de l'organisation.
  • Étiquetage mobile abusif : certains fournisseurs routent réellement via des modems 4G/5G mais étiquettent les sorties « résidentiel haut débit ». Les IP mobiles ont leur propre empreinte — CGNAT partagé avec des centaines d'utilisateurs, ASN du type Orange Mobile, Free Mobile ou SFR Mobile — et déclenchent un autre jeu de règles anti-fraude. Exigez la précision dans l'offre du fournisseur.
  • Pools SDK obsolètes : « partenaires SDK consentants » signifie que le fournisseur a payé un développeur d'application gratuite pour embarquer un SDK de proxy sur les appareils des utilisateurs. Les pools se dégradent à mesure que les utilisateurs désinstallent l'application. Un proxy annoncé comme résidentiel peut être à 80 % authentique et à 20 % rempli avec du datacenter recyclé — auditez systématiquement au moins 20 IP de sortie distinctes avant tout achat en gros.
  • Spoofing géographique sans changement d'IP : le proxy renvoie un en-tête HTTP indiquant une localisation résidentielle pendant que la sortie réelle reste un serveur de Roubaix ou de Francfort. Faites toujours davantage confiance aux signaux paquet qu'aux métadonnées annoncées.

FAQ

Quel est le test le plus rapide pour écarter un proxy datacenter ?

La vérification de l'ASN. Lancez whois <ip> ou visitez bgp.he.net/ip/<ip> et examinez l'organisation propriétaire. Si c'est AWS, Hetzner, OVH, Scaleway, DigitalOcean, Linode, Vultr, Google Cloud, Microsoft Azure ou tout hébergeur bien connu, l'IP est datacenter quoi qu'en dise le marketing du fournisseur. Ce test prend moins de dix secondes par IP et élimine à lui seul environ 90 % des proxys mal représentés.

Un proxy résidentiel peut-il légitimement avoir un ASN cloud ?

Presque jamais pour du haut débit traditionnel. Il existe une poignée de cas particuliers — par exemple des FAI qui revendent de la capacité via du peering cloud pendant une panne, ou des réseaux maillés communautaires utilisant des VM cloud comme passerelles — mais ces situations représentent moins de 0,1 % des connexions grand public. Si un fournisseur affirme que ce cas particulier s'applique à une grande partie de son pool, voyez-y un signal d'alarme plutôt qu'une justification ingénieuse.

Les proxys mobiles comptent-ils comme résidentiels ?

La plupart des systèmes anti-fraude classent les IP mobiles (4G/5G) dans une catégorie à part, ni résidentielle ni datacenter. Certains acceptent les mobiles à l'égal du résidentiel, parce que les deux proviennent d'appareils grand public réels et partagent des pools CGNAT, mais d'autres (notamment les anti-fraudes bancaires et de billetterie) traitent le mobile avec un surcroît de méfiance à cause des abus d'automatisation par des fermes de SIM louées. Vérifiez avec le service précis auquel vous souhaitez accéder si le mobile est acceptable.

À quelle fréquence les pools résidentiels se renouvellent-ils ?

Les fournisseurs sérieux renouvellent environ 5 à 15 % de leur pool par semaine au gré des déconnexions, des changements de FAI ou des révocations du SDK qui exposait l'utilisateur. Un pool qui ne se renouvelle jamais est suspect : soit le fournisseur revend la même poignée d'IP à de nombreux clients (avec un risque de contamination croisée par les abus d'un autre client), soit il substitue discrètement des IP datacenter pour maintenir la taille de pool annoncée. Demandez à votre fournisseur un taux de churn avant achat.

Est-il légal de tester un proxy que j'ai acheté ?

Les tests présentés ici — recherches WHOIS, requêtes DNS, appels d'API de scoring de fraude et ping — sont passifs et légaux partout. Le balayage de ports actif avec nmap peut tomber sous le coup des articles 323-1 et suivants du Code pénal français (atteinte aux systèmes de traitement automatisé de données) s'il vise des IP dont vous n'avez pas l'autorisation ; cependant, scanner un point de sortie de proxy que vous avez payé est généralement considéré comme un usage légitime de vérification de service. Dans le doute, limitez-vous aux tests passifs, qui suffisent dans la grande majorité des cas pour rendre un verdict confiant.

Un proxy résidentiel vérifié garantit-il que je ne serai pas détecté ?

Non. Une IP propre est nécessaire mais pas suffisante. Le fingerprint navigateur, l'empreinte canvas, l'ordre de handshake TLS (JA3/JA4), la cohérence du fuseau horaire et les schémas comportementaux (mouvement de la souris, cadence des requêtes) jouent tous un rôle. Une IP résidentielle remonte votre score de confiance de base, mais elle ne compense pas un Selenium par défaut ni un compte déjà marqué. Considérez le proxy comme une couche dans une pile — nécessaire, mais à composer avec un navigateur durci et une discipline opérationnelle.

Conclusion

Vérifier qu'un proxy résidentiel est véritablement résidentiel demande une dizaine de minutes par IP et se rentabilise dès la première fois qu'il vous évite un compte gelé ou une session de recherche silencieusement limitée. Les cinq signaux — ASN, DNS inverse, ports ouverts, gigue de latence et consensus des scores de fraude — sont suffisamment orthogonaux pour qu'aucune astuce de spoofing unique ne les neutralise tous. Lancez l'audit en huit étapes sur un échantillon du pool d'un nouveau fournisseur avant de vous engager, puis refaites-le tous les mois pour détecter une dégradation silencieuse du pool.

Pour les lecteurs qui arrivent ici depuis une recherche liée à Monero, le bénéfice pratique est limpide : une hygiène réseau propre au niveau IP fait fonctionner correctement chaque outil de confidentialité des couches supérieures. Que vous demandiez un devis d'échange, compariez des taux sur MoneroSwapper ou que vous lisiez simplement comment acheter du Monero anonymement, le proxy est la première impression que reçoit chaque observateur. Assurez-vous qu'il ressemble à la personne que vous voulez être de l'autre côté du fil.

← back to blog