Établie sur proposition de l’ICANN, la procédure extrajudiciaire UDRP permet de sanctionner des atteintes manifestes et incontestables à un droit de marques résultant de la réservation par des tiers de noms de domaine identiques ou similaires, pratique communément désignée sous le terme de « cybersquatting ».
L’UDRP s’applique non seulement aux extensions génériques (gTLDs) en .aero, .biz, .com, .coop, .info, .jobs, .mobi, .museum, .name, .net, .org, .pro, .travel et nouvelles extensions (new gTLDs), mais aussi aux extensions géographiques (ccTLDs) dont l’organe d’enregistrement (le registre) a accepté les principes UDRP.
Vitrine de l’administration, le nom de domaine représente un enjeu considérable en termes de communication, de visibilité et de service rendu aux usagers.
Il est le point d’entrée de l’administration en ligne. Par exemple, le nom de domaine du portail de l’administration française « www.service-public.fr » est connu de tous, non pas comme une simple adresse mais comme la dénomination d’un service public.
Un actif stratégique essentiel pour l’administration
Le nom de domaine doit permettre une excellente lisibilité de l’action publique pour les usagers tout en protégeant et valorisant les noms et marques publiques.
À ce titre, le choix du nom de domaine doit être en cohérence avec la Charte de l’Internet de l’État qui encadre la politique de nommage des sites Internet des administrations centrales et des services déconcentrés.
La convoitise générée par les noms de domaine
Internet est le lieu de nombreuses pratiques abusives ou d’arnaques contre lesquelles le service public doit se prémunir et se défendre. On pourrait citer les « fake news », ces fausses informations qui circulent et ont l’air vraies, les arnaques liées à la rénovation énergétique, au Coronavirus, à l’immatriculation au RCS, les démarches frauduleuses en matière de médiation de la consommation… En cas de réservation abusive, l’administration peut recourir à des procédures spécifiques qui peuvent permettre de faire cesser ces abus.
Le nom de domaine du service public doit respecter La charte de l’Internet de l’Etat
Pour permettre aux citoyens d’identifier plus facilement les différents services de l’Etat sur Internet, l’Etat s’est doté d’une identité visuelle unifiée et cohérente à l’ensemble de la sphère gouvernementale.
Outre le nom du domaine, la reconnaissance du site sera assurée par un favicon, cet «icône favori» à gauche de l’url et porté sur l’onglet d’affichage du site. La plupart des services publics utilisent le logo associant le profil de Marianne imbriqué dans le drapeau français (« Le bloc Marianne »), ou la partie graphique du logo de la marque concernée.
« Là où l’Etat est présent, agit, finance, sa présence doit être clairement identifiée »
Le nom de domaine du service public doit privilégier certaines extensions
L’administration privilégie les extensions populaires ([.com], [.net]) et géographiques pertinentes ([.fr], [.eu], [.paris]).
L’extension [.gouv.fr] est strictement réservée à l’État français. C’est un sous-domaine du [.fr], à enregistrement restreint, placé sous la responsabilité de l’AFNIC (L’Association Française pour le Nommage Internet en Coopération.
Avant toute demande de création d’un nouveau nom de domaine, les administrations sont invitées à vérifier sa disponibilité auprès de l’APIE (Agence du Patrimoine Immatériel de l’Etat).
Les administrations centrales et les services déconcentrés de l’État sont soumis à une procédure d’agrément avant toute réservation de noms de domaine. Cet agrément est délivré par le Service d’Information du Gouvernement (SIG). L’utilisation de cette extension est obligatoire pour les sites créés par des services de l’État, sauf en cas de dérogation expresse du SIG.
Le nom de domaine du service public doit respecter l’identification du titulaire
Dans le cas d’un service de l’État, la réservation sera faite au nom de la personne morale, à savoir l’«État français, représenté par (…) » et non au nom du prestataire ni au nom d’une personne physique travaillant dans un service de l’administration.
Exemple : Whois* du nom de domaine agriculturegouv.fr :
A noter : La mise en place du RGPD (règlement général sur la protection des données) en 2018 a renforcé la protection des données à caractère personnel, c’est ainsi que les offices d’enregistrement tel que l’AFNIC, ont mis en place des procédures d’anonymisation des titulaires physiques, cette protection ne s’applique pas aux contacts représentant une personne morale.
Le nom de domaine : un actif stratégique à protéger
Internet, lieu de nombreuses pratiques abusives
Tout comme les entreprises privées, l’administration peut être la cible de réservations abusives de noms de domaine par des tiers.
De telles usurpations peuvent être particulièrement dommageables, pour la personne publique mais surtout pour l’usager qui peut être trompé sur la nature officielle d’un site Internet.
On appelle cybersquattage (ou cybersquatting) la pratique consistant en la réservation de noms de domaine correspondant à une marque, une dénomination sociale, un nom connu afin de négocier sa rétrocession auprès de son véritable titulaire, d’altérer son image ou de capter son trafic.
Les pratiques courantes :
Typosquatting : réservation de noms de domaine à la syntaxe très proche de celle d’une marque ou d’un nom de domaine connu, afin de profiter des erreurs de frappe ou d’orthographe des internautes (ex : www.economie.gcuv.fr avec un c à la place du o qui a été récupéré par le Ministère de l’Economie et des Finances).
Dotsquatting : réservation de noms de domaine profitant de l’oubli par l’internaute du point séparant les éléments du nom de domaine, par exemple entre [www] et le radical ou entre le radical et [.gouv.fr] (financegouvfr.com ou france-gouv.fr).
Phishing : pratique visant à tromper les internautes sur l’origine d’un site Internet via un nom de domaine très proche et la copie des pages du site original, afin d’obtenir des informations confidentielles, telles que des données personnelles et/ou bancaires.
Qu’est-ce qu’un nom de domaine litigieux ?
Si le contenu du site qui lui est associé cause un préjudice à une entité publique.
Le nom de domaine reproduit-il une marque ? Le nom de domaine est-il similaire à la dénomination d’un service public ? Le contenu du site internet porte-t-il atteinte à la marque ou à la dénomination publique ?
Le nom de domaine est-il générique (par exemple : economie.fr) ?
La marque ou la dénomination publique n’est pas reproduite dans le nom de domaine mais en tant qu’onglet du site ou dans le contenu du site internet ?
Si l’administration doit démontrer la mauvaise foi du titulaire du nom de domaine litigieux pour :
Avoir obtenu ou demandé l’enregistrement de ce nom de domaine en vue de le vendre, de le louer ou de le transférer de quelque manière que ce soit à un organisme public, à une collectivité locale ou au titulaire d’un nom identique ou apparenté sur lequel un droit est reconnu et non pour l’exploiter effectivement ;
Avoir obtenu ou demandé l’enregistrement d’un nom de domaine principalement dans le but de nuire à la réputation du titulaire d’un intérêt légitime ou d’un droit reconnu sur ce nom ou sur un nom apparenté, ou à celle d’un produit ou service assimilé à ce nom dans l’esprit du consommateur ;
Avoir obtenu ou demandé l’enregistrement d’un nom de domaine principalement dans le but de profiter de la renommée du titulaire d’un intérêt légitime ou d’un droit reconnu sur ce nom ou sur un nom apparenté, ou de celle d’un produit ou service assimilé à ce nom, en créant une confusion dans l’esprit du consommateur
Dès le constat d’une réservation litigieuse de noms de domaine par un tiers, si le litige ne peut pas être réglé à l’amiable, l’administration pourra engager des procédures alternatives de résolution de litiges afin de faire cesser l’atteinte et éventuellement récupérer le nom de domaine.
Un nom de domaine où figure le mot « gouv » peut-il être illégitime ?
Nos boites mail sont souvent spammées d’offres alléchantes telles que :
Aide Panneau Solaire 2021 : à quoi vous avez droit ?
Changement de fenêtres : A quelles aides êtes-vous éligible ?
Salle de bain : de nouvelles aides financières pour la rénover, …
L’internaute est redirigé vers un site pouvant porter à confusion (présence du mot « gouv », du favicon de « Marianne », …), il peut tout de suite avoir l’impression qu’il est sur le site d’une organisation gouvernementale confirmée et se sentir en sécurité. Il va alors remplir en toute confiance le formulaire en ligne et transmettre des données personnelles.
En observant les noms de domaine enregistrés le 5 février 2021, nous avons remarqué les enregistrements suivants :
aide-douche-gouv.org
aide-fenetre-gouv.org
douche-1-euro-gouv.org
fenetre-1-euro-gouv.org
panneau-solaire-gouv.org
ballon-eau-chaude-gouv.org
Aucun de ces noms de domaine n’est enregistré par un service de l’Etat. Ils ont été enregistrés dans le but de profiter de la notoriété du service public, leurrer l’internaute pour l’inciter à communiquer des données personnelles en se faisant passer pour un tiers de confiance.
Soyez vigilants sur les informations que vous communiquez !
Souvenez-vous, le tiret (-) et le point (.) ont une réelle importance
Ma grande passion, c’est l’aéronautique. Petit, je me voyais déjà pilote de ligne lorsque je lançais ces petites feuilles A4, pliées dans la meilleure configuration qu’il soit[1] pour voler en travers de la classe d’école. Malheureusement, une vue défaillante aura raison de mon ambition et je dus ainsi abandonner tout espoir de me présenter un jour comme pilote.
Plus tard, le visionnage d’Attrape-moi si tu peux, montrant[2] Léonardo DiCaprio interpréter un fraudeur se prenant pour un pilote de la Panam me rappellera mes souvenirs d’enfant.
Aujourd’hui, travaillant dans les noms de domaine, je ne peux bénéficier d’un GENTY.AERO, qui m’aurait permis d’afficher un statut de pilote aux grands de ce monde. Cependant, la DGAC vint à mon secours rapidement.
C’est en effet en lisant un article du Monde[3] présentant la nouvelle formation des pilotes de drone que l’espoir qui m’avait tant habité revint.
La Direction Générale de l’Aviation Civile a récemment mis en place une plateforme permettant de passer la formation pour devenir télépilote d’aéronef civil circulant sans personne à bord utilisés à des fins de loisir et je me ruais ainsi sur le site de cette dernière[4].
Quinze minutes de visionnage de vidéo sans l’obligation d’être derrière l’écran, un test de 20 questions avec ces dernières toujours dans le même ordre : il ne m’en fallait pas plus pour devenir pilote de drone d’une masse inférieure à 2 kilogrammes.
Le test obtenu, Ô surprise, je pus nonchalamment présenter de manière ostentatoire mon nouveau diplôme dans un écrin de toute beauté.
Une fois ma vocation de pilote assouvie, il ne me restait plus qu’à obtenir mon nom de domaine en .AERO
L’entreprise gérant le .AERO[5], à savoir la SITA, Société internationale de télécommunication aéronautique, demande une preuve de formation de pilote. Gardons à l’esprit qu’il s’agit d’une extension fermée et donc réservée au secteur aéronautique.
Je pus joindre le PDF de mon diplôme et une journée plus tard, l’heureuse réponse vint : je peux désormais bénéficier de mon nom de domaine en .AERO
Voilà, en quinze minutes de formation/test, je pus obtenir un .AERO et être considéré comme n’importe quel acteur du secteur aéronautique. Si l’anecdote fait sourire sur les conditions du test, il n’en reste pas moins qu’il s’agit ici d’un exemple d’une extension dite fermée mais qui s’avère s’ouvrir rapidement.
Et oui, n’oublions pas que le registre vit des enregistrements de noms de domaine, et non d’une hypothétique confiance sur Internet.
Un citoyen belge a repris à son compte un nom de domaine expiré non renouvelé par Donald Trump et l’a combiné à une utilisation de Twitter pour moquer le Président des États Unis.
Le compte officiel Twitter de Donald Trump est suivi par plus de 23 millions d’abonnés et compte près de 35 000 tweets depuis sa création en 2009, c’est dire si le nouveau Président aime ce canal de communication.
Malheureusement pour lui, un internaute par le biais du rachat d’un nom de domaine expiré non renouvelé a retourné l’utilisation du média contre le Président.
Le hacker a en effet consulté le compte Twitter de Donald Trump et découvert qu’un de ses tweets publié en 2012 renvoyait vers un site dont le nom de domaine et n’avait pas été renouvelé depuis. Il a suffit au facétieux internaute de racheter ce nom de domaine expiré et de mettre en ligne une nouvelle vidéo sur l’adresse du lien : voilà que le tweet officiel du Président renvoie vers une vidéo se moquant ouvertement de lui en chanson et de son attirance pour les femmes slaves.
L’unique moyen pour le Président de mettre un terme à cette plaisanterie est de supprimer le tweet en question, ce qui n’était pas encore fait à l’heure où ces lignes ont été rédigées.
A l’avenir, nous conseillons à l’équipe de communication de Donald Trump de bien veiller à ce que les noms de domaine qui servent de support de communication au Président soit bien renouvelés.
La société CHANTELLE S.A. a obtenu du centre d’arbitrage et de médiation de l’OMPI une décision favorable ordonnant le transfert à son profit du nom de domaine « groupe-chantelle.com », dans le cadre d’une procédure UDRP, au cours de laquelle le registrar NAMESHIELD la représentait.
Le nom de domaine objet du litige est une forme de « typosquatting » où seul un tiret différencie le nom de domaine litigieux du nom de domaine officiel. En effet, le nom de domaine utilisé par la société Chantelle à titre institutionnel, pour son site officiel et pour le service de courriel des collaborateurs du groupe, est « groupechantelle.com », et ne dispose donc pas de tiret entre les mots « groupe » et « Chantelle ».
Le nom de domaine litigieux a été utilisé pour l’envoi de courriels à des partenaires de la société Chantelle. La réactivité et la vigilance des équipes de CHANTELLE a permis de déjouer ces manœuvres frauduleuses en lançant une procédure.
Comme le remarquent les experts NAMESHIELD, il s’agit d’un cas de « phishing » fréquent lors des périodes estivales, notamment lorsque de nombreux collaborateurs sont en congés, causant beaucoup de torts aux entreprises. L’objet de l’attaque est d’usurper l’identité du service comptable, ou d’un directeur, afin de demander urgemment un virement, ou demander de prendre en compte de prétendues nouvelles coordonnées bancaires pour le paiement des prochaines factures.
Au cours de cette dernière, après avoir reconnu la similarité du nom de domaine litigieux par rapport aux marques CHANTELLE et noms de domaine associés, et établi que le titulaire n’avait aucun droit ni intérêt légitime, l’expert a étudié la question de l’enregistrement et usage de bonne ou mauvaise foi.
L’expert a constaté que le nom de domaine faisait l’objet d’une détention passive, c’est-à-dire qu’aucun site internet n’était exploité, et qu’ainsi, la mauvaise foi pouvait être retenue si d’autres circonstances venaient s’ajouter à l’encontre du titulaire.
Reprenant les faits, l’expert énonce que les attaques de « phishing » exercées par le titulaire sont incontestablement des « actes d’usurpation d’identité […] constitutifs de mauvaise foi ». L’enregistrement du nom de domaine n’a ainsi eu pour seul objectif de se faire passer pour la société Chantelle, et a été utilisé pour tromper les partenaires.
En conclusion, il semble important que les titulaires de marques qui subissent des attaques de « phishing » et d’usurpation d’identité conservent les preuves, et prennent en considération la procédure amiable UDRP, plus rapide qu’une procédure judiciaire, et aussi efficace puisque le transfert du nom de domaine est ordonné par la commission administrative.
Nameshield souhaite utiliser des cookies permettant d’assurer le bon fonctionnement du site et, avec nos partenaires, d’en mesurer son audience. Plus d'informations dans notre politique de cookies 🍪.
Ces cookies sont essentiels au bon fonctionnement du site web. Ils assurent les fonctionnalités de base et les fonctions de sécurité du site web, de manière anonyme.
Cookie
Durée
Description
cookielawinfo-checkbox-advertisement
1 year
Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics
1 year
Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-functional
1 year
The cookie is set by the GDPR Cookie Consent plugin to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary
1 year
Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-others
1 year
Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
cookielawinfo-checkbox-performance
1 year
Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Performance".
CookieLawInfoConsent
1 year
Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
Ces cookies aident à réaliser certaines fonctionnalités comme le partage du contenu du site web sur les plateformes de médias sociaux, la collecte de commentaires et d’autres fonctionnalités de tiers.
Performance cookies are used to understand and analyze the key performance indexes of the website which helps in delivering a better user experience for the visitors.
Ces cookies sont utilisés pour comprendre comment vous arrivez sur notre Site et pour mesurer le nombre de visiteurs.
Cookie
Durée
Description
_ga
2 years
The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_25904574_14
1 minute
Set by Google to distinguish users.
_gid
1 day
Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
CONSENT
2 years
YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
Ces cookies sont utilisés pour vous proposer des offres et services personnalisés, plus adaptés à vos centres d’intérêts.
Cookie
Durée
Description
NID
6 months
NID cookie, set by Google, is used for advertising purposes; to limit the number of times the user sees an ad, to mute unwanted ads, and to measure the effectiveness of ads.
VISITOR_INFO1_LIVE
5 months 27 days
A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC
session
YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices
never
YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id
never
YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.