L'authentification se fait uniquement sur l'IP source ou autre chose ?
En principe, ça ne doit pas être l'IP fixe vu que Free Mobile utilise normalement du CG-NAT (de nombreux internautes derrière une même adresse IP). Je pense que les paquets sont marqués quand ils sortent du cœur de réseau (du GGSN en 3G/du PGW en 4G), peut-être avec un protocole comme MPLS.
Quoi qu'il en soit, ça doit être une méthode semblable à ce qu'utilisent la plupart des opérateurs pour te proposer une page ou une application qui t'affiche ta consommation de données, et/ou un portail captif le cas échéant.
J'avais entendu parler de fournisseurs d'accès qui marquaient les paquets HTTP sortants avec des en-têtes propriétaires, mais à l'heure du chiffrement j'espère bien que ce n'est plus possible.