Le groupe CHANTELLE s’attaque au phishing et à l’usurpation d’identité

Phishing usurpation d'identite Chantelle

La société CHANTELLE S.A. a obtenu du centre d’arbitrage et de médiation de l’OMPI une décision favorable ordonnant le transfert à son profit du nom de domaine « groupe-chantelle.com », dans le cadre d’une procédure UDRP, au cours de laquelle le registrar NAMESHIELD la représentait.

Le nom de domaine objet du litige est une forme de « typosquatting » où seul un tiret différencie le nom de domaine litigieux du nom de domaine officiel. En effet, le nom de domaine utilisé par la société Chantelle à titre institutionnel, pour son site officiel et pour le service de courriel des collaborateurs du groupe, est « groupechantelle.com », et ne dispose donc pas de tiret entre les mots « groupe » et « Chantelle ».

Le nom de domaine litigieux a été utilisé pour l’envoi de courriels à des partenaires de la société Chantelle. La réactivité et la vigilance des équipes de CHANTELLE  a permis de déjouer ces manœuvres frauduleuses en lançant une procédure.

Comme le remarquent les experts NAMESHIELD, il s’agit d’un cas de « phishing » fréquent lors des périodes estivales, notamment lorsque de nombreux collaborateurs sont en congés, causant beaucoup de torts aux entreprises. L’objet de l’attaque est d’usurper l’identité du service comptable, ou d’un directeur, afin de demander urgemment un virement, ou demander de prendre en compte de prétendues nouvelles coordonnées bancaires pour le paiement des prochaines factures.

Au cours de cette dernière, après avoir reconnu la similarité du nom de domaine litigieux par rapport aux marques CHANTELLE et noms de domaine associés, et établi que le titulaire n’avait aucun droit ni intérêt légitime, l’expert a étudié la question de l’enregistrement et usage de bonne ou mauvaise foi.

L’expert a constaté que le nom de domaine faisait l’objet d’une détention passive, c’est-à-dire qu’aucun site internet n’était exploité, et qu’ainsi, la mauvaise foi pouvait être retenue si d’autres circonstances venaient s’ajouter à l’encontre du titulaire.

Reprenant les faits, l’expert énonce que les attaques de « phishing » exercées par le titulaire sont incontestablement des « actes d’usurpation d’identité […] constitutifs de mauvaise foi ». L’enregistrement du nom de domaine n’a ainsi eu pour seul objectif de se faire passer pour la société Chantelle, et a été utilisé pour tromper les partenaires.

En conclusion, il semble important que les titulaires de marques qui subissent des attaques de « phishing » et d’usurpation d’identité conservent les preuves, et prennent en considération la procédure amiable UDRP, plus rapide qu’une procédure judiciaire, et aussi efficace puisque le transfert du nom de domaine est ordonné par la commission administrative.

Décision OMPI n° D2016-1961 – http://www.wipo.int/amc/en/domains/search/text.jsp?case=D2016-1961

La Tanzanie légifère sur l’utilisation du .co.tz et passe à l’action !

#Brands #DomainNames en #Tanzanie : le #ccTLD .co.tz obligatoire pour tout #business #online sur son territoire !

La TCRA (Tanzania Communications Regulatory Authority) a rendu obligatoire en 2011 l’utilisation  d’un nom de domaine en .TZ pour tout business sur le territoire tanzanien. En effet, la loi Electronic and Postal Communications Act oblige toute personne ayant une activité sur internet en Tanzanie à utiliser l’extension locale.

Bien que peu respectée en pratique, certains en ont tout de même fait les frais récemment, comme le fondateur du site Jamii Forums, arrêté en décembre non seulement pour obstruction à la justice mais aussi pour ne pas avoir respecté cette obligation.

Ainsi, l’utilisation d’un .com, .net, ou encore .biz qui était monnaie courante jusqu’alors doit impérativement être remplacée par un .co.tz (la plus utilisée) pour pouvoir continuer à communiquer sans difficulté dans ce pays de 51 millions d’habitants (le classant à la 24e  position sur 203 pays).

En cas de présence marchande sur le territoire tanzanien ou volonté de s’y développer, et afin d’éviter tout risque de cybersquatting, Nameshield recommande l’enregistrement d’un .co.tz sur vos marques principales et stratégiques, à l’identique. Une présence locale peut vous être fournie par Nameshield si nécessaire.

Pour rappel, il est également possible d’engager une action UDRP (procédure de récupération d’un nom de domaine devant l’OMPI) pour récupérer un nom de domaine enregistré en .co.tz.

Pour toute information supplémentaire, n’hésitez pas à contacter votre consultant dédié ou écrire à commercial@nameshield.net.

Transition vers le HTTPS : la France est en retard… et le réveil pourrait être difficile

Le JDN vient de publier un article très intéressant sur le décollage du HTTPS sur le top 100 des sites les plus visités en France. Il en ressort que 44/100 sont maintenant en HTTPS par défaut (dont 12 dans le top 20) et 54% des pages vues sont en HTTPS. C’est une bonne nouvelle pour les internautes français MAIS…

…on peut surtout remercier les acteurs américains. Sur le top 20, le seul acteur français aujourd’hui en HTTPS par défaut est Leboncoin.fr ! Si on pousse jusqu’au top 50, on ne trouve que quatre acteurs français supplémentaires : La Poste, Le Crédit Agricole, Mappy et Service Public.fr. Sur le top 100, 44 acteurs sont en HTTPS par défaut, dont seulement 15 acteurs français. Du côté du e-commerce c’est encore pire avec 33 acteurs français dans le top 40 mais seulement 7 en HTTPS par défaut.

La France est à la traine… et doit réagir

Google et Firefox, les deux fers de lance de la généralisation du HTTPS, continuent à annoncer des mesures toujours plus fermes en vue de l’adoption généralisée du HTTPS par défaut :

  • bonus sur le référencement naturel,
  • « malus » au cours de la navigation avec de plus en plus d’alertes,
  • limitation de fonctionnalités au seul HTTPS : HTTP2, géolocalisation, utilisation de la caméra, auto-remplissage des formulaires…
  • dépréciation des versions trop anciennes : SHA1 remplacé par SHA256

Chrome 56 arrive en Janvier 2017 avec une première série d’alertes dans les barres d’adresse pour les pages de connexion et contenant des champs de carte de crédit… et annonce déjà la couleur pour la suite avec la volonté clairement affichée d’une alerte pour tous les sites en HTTP (voir visuels ci-dessous).


https-2

Firefox n’est pas en reste et annonce la mise en place d’une alerte sur les saisies de mot de passe

treatment HTTPS firefox

Et d’autres acteurs majeurs comme WordPress, Apple ou Microsoft suivent le mouvement.

Pourtant le HTTPS peine à s’imposer pour la plupart des acteurs français du Web. Pourquoi ?

La transition d’un site Web en HTTPS par défaut n’est pas une mince affaire et deux freins importants existent encore : le risque d’un déclassement en termes de SEO si la transition est mal opérée, et certaines régies publicitaires qui restent en sources HTTP. Le trafic et les revenus publicitaires, le nerf de la guerre pour beaucoup de sites web.

Et donc, on attend ! On attend le dernier moment en espérant que Google et Firefox reculent ? C’est peu probable et le calendrier se resserre. Même si Google n’a pas encore annoncé de date pour la mise en place des alertes sur le HTTP, il y a fort à parier qu’ils le feront le plus tôt possible, et les conséquences risquent d’être désastreuses s’il faut agir dans l’urgence.

Nous recommandons d’étudier au plus tôt un calendrier de transition vers le HTTPS par défaut, projet à mener en étroite collaboration avec les équipes web et référencement, pour tous les sites vitrine dans un premier temps et pour l’ensemble des activités web dans un second.

Les équipes de Nameshield pourront vous accompagner en termes de conseil pour la mise en place et la gestion des certificats qui permettront d’afficher le HTTPS.

L’indispensable nom de domaine souvent grand oublié des campagnes politiques !

Si les campagnes politiques font rage sur les réseaux sociaux, via les usernames officiels, depuis maintenant plusieurs années, leurs petits aînés, les noms de domaine, sont quant à eux régulièrement oubliés des campagnes digitales !

Premier candidat officiellement déclaré pour la primaire de la droite dès 2013, François Fillon s’est aperçu que le nom de domaine fillon2017.fr avait déjà été réservé par un tiers. Et c’est 1000 euros que l’ancien ministre a dû investir dans le rachat du fameux nom de domaine.

Il faut en effet savoir que de nombreuses extensions, telles que le .FR et le .COM sont ouvertes et n’imposent d’autre règle d’enregistrement que celle du « premier arrivé, premier servi ». La protection de l’identité en ligne devrait avoir dans ces conditions un caractère prioritaire, à minima à titre défensif. Pourtant cette règle de stratégie digitale, bien connue des entreprises, semble désespérément échapper aux plans média des campagnes politiques.

Les exemples sont en effet pléthore et François Fillon est loin d’être l’unique victime de ce type de fraude, appelé cybersquatting (ou cybersquattage). Défini comme une pratique consistant à enregistrer un nom de domaine qui ne vous revient pas de droit, correspondant par exemple à une marque (ou une personnalité, on parle alors de celebritysquatting), le cybersquatting vise la plupart du temps à revendre le nom à l’ayant droit, à altérer sa visibilité, nuire à la réputation ou encore simplement de profiter de son trafic.

Rappelons-nous en effet que le nom macron2017.fr a été acheté 24h après la nomination du jeune homme au ministère de l’Économie et des Finances par un cybersquatteur quelque peu visionnaire.

Quelques heures après la désignation de François Hollande comme candidat du PS pour les présidentielles de 2012, un cybersquatteur farceur réservait le nom hollande2012.fr et le redirigeait vers le site de… l’UMP.

Dans la même veine, le nom sarkozy2017.com renvoyait à un site recensant les déboires de l’ancien Président français.

Si une leçon est bien à retenir de nos candidats, tous partis confondus, c’est que seule l’utilisation d’une bonne stratégie de nommage, notamment sur des extensions ouvertes ou à risque, permet une bonne défense.

Sur ce sujet, il vaut mieux être offensif que défensif : récupérer un nom de domaine prend au minimum trois semaines, expliquant pourquoi les noms sont le plus souvent rachetés dans l’urgence.

La cybercriminalité, en constante augmentation

Estimée à 2.000 milliards de dollars d’ici 2019 [JUNIPER, 2015], la cybercriminalité est et reste un fléau important sur Internet. Elle touche de plus en plus d’entreprises. D’après Microsoft, 20 % des petites et moyennes entreprises ont fait l’objet de cybercriminalité [FORBES, 2016]. Selon ce même rapport, une majorité de ces larcins reste non détectée, notamment ceux liés à l’espionnage industriel où les données sont compliquées à récolter. En effet, on peut aisément imaginer que les entreprises touchées tardent à annoncer une brèche de sécurité, qu’elle soit d’origine logicielle ou humaine.

L’année passée, Ernst & Young publiait un rapport sur les failles et les conséquences de l’Internet des objets [EY, 2015]. Le cabinet anglais annonçait dans son étude que 56 % des entreprises n’étaient que moyennement préparées aux attaques sophistiquées :

  • seules 6 % des entreprises concernées avaient intégré les potentiels de menace dans leurs stratégies managériales ;
  • 36 % n’avaient tout simplement aucun programme de réflexion face aux menaces.

EY proposait ainsi la création d’un département dédié au sein de chaque entreprise, selon la règle A-A-A : Activate, Adapt and Anticipate. L’étude finissait par un chiffre effarant : 58% des entreprises n’avaient pas de département spécifique, lié aux technologies émergentes et leurs impacts sur la sécurité.

Bien que le DNS ne soit pas une technologie récente, inventé en 1983 [IETF, 1983], force est de constater que même les précautions les plus élémentaires ne sont pas intégrées dans la réflexion de bon nombre d’entreprises. Réfléchir proactivement, se protéger efficacement face aux attaques usuelles de type phishing, cache poisoning, attaques DDOS,… devraient être des sujets prioritaires des entreprises dans la recherche de mise en place de stratégies de sécurité durables.

Si cette cybercriminalité existe, c’est bien qu’elle est rentable. Selon l’entreprise McAfee, elle représentait 0,64 % du PIB américain et 0,11 % du PIB français [McAfee, 2014]. Chez d’autres confrères, MarkMonitor estimait que 20 % des victimes individuelles de criminalité perdaient en moyenne plus de 1.298 USD [MarkMonitor, 2016]. Dans le cadre de cette étude, sur les 3.457 individus interrogés entre août et septembre 2016, 74 % d’entre eux exprimaient que les marques devaient avoir un programme de protection contre les fraudes afin de protéger les consommateurs et les sensibiliser face aux menaces existantes. Ainsi, même avec 87 % de gens connaisseurs des techniques de cybercriminalité, 45 % disent en avoir été victimes.

Il nous parait primordial que les marques protègent et informent leurs consommateurs : 78 % d’entre eux considèrent que les cyberattaques sur les entreprises entachent leur perception de ces dernières. Une gestion proactive des risques et menaces doit ainsi faire l’objet d’un département distinct, ou tout du moins d’une intégration dans la réflexion des collaborateurs d’une entreprise.

L’année passée, la PDG d’IBM titrait ‘la cybercriminalité est la plus grande menace pour toute entreprise dans le monde’ [Morgan, 2015]. Vous voilà prévenus.

Références

EY, 2015. Cybersecurity and the Internet of Things, EY [en ligne], Disponible sur http://www.ey.com/Publication/vwLUAssets/EY-cybersecurity-and-the-internet-of-things/$FILE/EY-cybersecurity-and-the-internet-of-things.pdf [Consulté le 2 novembre 2016]

FORBES, 2016. Cyber Crime Costs Projected To Reach $2 Trillion by 2019, Forbes [en ligne], Disponible sur http://www.forbes.com/sites/stevemorgan/2016/01/17/cyber-crime-costs-projected-to-reach-2-trillion-by-2019 [Consulté le 2 novembre 2016]

IETF, 1983. DOMAIN NAMES – CONCEPTS and FACILITIES, IETF, [en ligne], Disponible sur https://tools.ietf.org/pdf/rfc882.pdf [Consulté le 2 novembre 2016]

JUNIPER, 2015., Cybercrime will Cost Businesses Over $2 Trillion by 2019, Juniper, [en ligne], Disponible sur https://www.juniperresearch.com/press/press-releases/cybercrime-cost-businesses-over-2trillion [Consulté le 2 novembre 2016]

MARKMONITOR, 2016. MarkMonitor ® Online Barometer Fraud and Cybercrime Survey 2016, MarkMonitor

McAfee, 2014. Net Losses: Estimating the Global Cost of Cybercrime, McAfee, [en ligne], Disponible sur http://www.mcafee.com/us/resources/reports/rp-economic-impact-cybercrime2.pdf [Consulté le 2 novembre 2016]

Morgan, S. 2015. IBM’s CEO On Hackers: ‘Cyber Crime Is The Greatest Threat To Every Company In The World’, Forbes. [en ligne] Disponible sur http://www.forbes.com/sites/stevemorgan/ 2015/11/24/ibms-ceo-on-hackers-cyber-crime-is-the-greatest-threat-to-every-company-in-the-world/ [Consulté le 2 novembre 2016]

HTTPS et SSL : Google continue son offensive

https-chromeChrome 53 est arrivé le 31 août et avec lui Google continue de militer pour un internet plus sûr.

Avec son navigateur Chrome, Google souligne de plus en plus clairement quand un site ne dispose pas de httpS dès sa page d’accueil. Et les versions à venir vont continuer dans ce sens jusqu’à barrer purement et simplement le http d’une croix rouge, ce qui sera rédhibitoire pour l’image de marque des sites web, donc des marques notoires.

Http Cdiscount
Site en http
Https Amazon
Site en httpS par défaut
Https Nameshield
Site en httpS EV (Extended Validation)

Firefox a d’ores et déjà annoncé une mesure similaire. Ajoutez à cela le httpS comme facteur supplémentaire de référencement naturel et la prise en compte du httpS pour les pages de saisie de données personnelles dans les résultats de Google shopping, si vous ne l’avez pas encore envisagé, il est temps de préparer la migration de votre site web vers plus de sécurité.

Pourquoi passer maintenant au HTTPS ?

  •  Cela va devenir incontournable ;
  • C’est bénéfique pour votre image en ligne, notamment avec Extended Validation ;
  • La transition d’un site web vers le httpS se prépare et il vaut mieux se pencher dessus maintenant que dans l’urgence demain.

A quoi ressemblera la barre de navigation en Janvier 2017 ?

Pour les pages des sites HTTP proposant la saisie de mots de passe ou de cartes de crédit, le petit picto d’avertissement « i » sera agrémenté d’un texte pour le moins explicite : « Not secure » !

Ce que Chrome souhaite afficher à terme

Pour tous les sites, le but ultime de Google est d’afficher le libellé « Not secure » pour toutes les pages des site HTTP.

Note secure

Source : https://security.googleblog.com/2016/09/moving-towards-more-secure-web.html

Les équipes de Nameshield vous accompagnent dans le choix des certificats SSL les plus adaptés pour obtenir le HTTPS, contactez dès maintenant votre commercial ou votre chargé de clientèle pour aborder la question.

Google AdWords et l’achat de mots clés concurrents

licence CC BY 2.0 – www.tyseo.net
Titre : Adwords – Auteur : Christophe Benoit – Photo : licence CC BY 2.0 – www.tyseo.net (Cliquer sur la photo pour activer le lien)

Quel est la définition de “ Adwords”

L’Adwords est défini comme étant « un service de référencement payant [qui] permet à tout opérateur économique, moyennant la sélection d’un ou de plusieurs mots clés, de faire apparaître, en cas de concordance entre ce ou ces mots et celui ou ceux contenus dans la requête adressée par un internaute au moteur de recherche, un lien promotionnel vers son site ».

Concrètement qu’est ce qui apparait lors d’une recherche ?

Les résultats retournés par exemple avec une recherche Google sont de 2 natures :

screen_adwords_chanel– Les liens sponsorisés (Adwords) : le client achète des mots clés et son annonce (lien vers son site) est affichée en priorité si les mots clés recherchés correspondent à ceux qu’il a achetés.

– Le référencement naturel : ce référencement se fait en fonction du contenu des sites référencés (les critères sont définis par Google)

Dans la page de résultat Google, les 2 types de résultats sont affichés différemment :

  • Les liens sponsorisés (Adwords) sont affichés en début de liste avec le flag « Annonce ».
  • Les résultats naturels sont ensuite affichés en fonction de leur référencement par rapport aux mots clés saisis.

Les critères pris en compte par Google pour afficher les résultats naturels sont les suivants :

  • Termes recherchés
  • Pays du moteur intérrogé (Google.fr / Google.jp, …)
  • Langue de l’internaute
  • Type de terminal (pc, mobile)

Les critères pris en compte par Google pour afficher les résultats sponsorisés sont les même que ci dessus avec en plus la prise compte du lieu d’origine de la recherche.

Les Adwords peuvent être achetés sur une zone géographique déterminée (un pays, une région, une ville, …). Google utilise donc l’adresse ip du terminal qui effectue la requête pour déterminer quels résultats retourner.

Le service Adwords de Google

Le moteur de recherche le plus visé par des pratiques déviantes est Google qui a fait de cette pratique un service payant et automatisé, et qui permet ainsi la sélection de mots clés et la création d’annonces.  Le chiffre d’affaires de Google Adwords est estime au dernier trimestre de l’année 2014, à 10.50 Mds$ pour un chiffre d’affaire totale de 16,96 Mds$. On comprend mieux l’importance de ce service …

Afin d’éviter a minima les abus, il est essentiel que l’annonce qui apparait après avoir tapé le mot clé permette à l’internaute normalement informé et raisonnablement attentif de savoir si les produits ou services visés par l’annonce proviennent du titulaire de la marque, d’une entreprise économiquement liée à celui ci, ou alors d’un tiers.

Car bien à l’annonceur de choisir un ou plusieurs mots clés qui lui permettront d’afficher son annonce.  Là réside toute la subtilité de la définition des Adwords.

En l’espèce, Google bénéficie du statut d’hébergeur et donc d’une responsabilité limitée !

En effet, afin de déterminer la responsabilité du moteur de recherche, le juge doit porter son attention sur l’automatisation. Le juge doit déterminer si le rôle de l’opérateur est neutre ou non. S’il n’y a pas de contrôle des données stockées, la responsabilité du moteur de recherche ne peut être retenue.

Il a été jugé que Google n’était pas un contrefacteur en mettant à disposition des mots clés reproduisant des signes distinctifs (marque enregistrée notamment), en les stockant et en affichant les annonces en fonction des mots clés.  Selon la Cour, Google ne fait pas l’usage de ces mots clés « dans le cadre de sa propre communication commerciale ».

C’est à dire que Google met à disposition ces mots clés mais ne les utilisent pas pour sa propre publicité.

Des affaires en justice liées aux Adwords

Avec les programmes de liens sponsorisés sur les moteurs de recherche, il est très facile d’acheter les noms de marque de ses concurrents en tant que mot-clé. Pour des raisons éthiques, ce n’est pas conseillé, mais certaines sociétés, ne s’en privent pas.

Les abus comme le détournement de trafic, de domaine, la duplication de contenu, les contrefaçons de produits ou de service sont nombreux sur le net mais la plus grande pratique concernant les Adwords reste le détournement de marque.

Le détournement peut prendre deux formes : un annonceur achète le nom d’une marque en tant que mot-clé dans le but d’afficher son annonce lorsque les internautes font des recherches sur cette marque et/ou un annonceur place le nom de la marque dans le texte de son annonce qui apparaît dans la page de résultats.

Ces détournements ont entrainé de nombreuses affaires célèbres ou la définition d’un Adwords a été rappelée comme :

Ces affaires révèlent toute l’importance de la présentation de l’annonce afin que cette dernière ne reproduise en aucun cas la marque enregistrée par un tiers dans l’annonce et ne trompe le consommateur moyen sur les fonctions essentielles de la marque (fonction d’origine, fonction de publicité, fonction d’investissement, et renommée de la marque).

Face à ces menaces quelles précautions doivent être prises ?

Il est essentiel que votre marque soit déposée, avec une preuve de l’enregistrement, pour pouvoir adresser une plainte aux moteurs de recherche ou mettre en place une procédure juridique.

Tout est affaire de réactivité aussi bien dans la détection des menaces ou des pratiques frauduleuses comme dans les décisions à prendre.

Aussi est-il primordial de choisir et mettre en place des surveillances adaptés (surveillance de dépôts de marques et noms de domaine, surveillance des résultats naturels et sponsorisés, surveillance de contenu (sites, réseaux sociaux, programme d’affiliation.) .

Ces surveillances vous permettront d’identifier rapidement les menaces à l’encontre de votre marque et de réagir avec des procédures proportionnées

Enfin, concernant les actions immédiates possibles, sachez que vous pouvez demander la suppression d’Adwords reprenant à l’identique ou à l’approchant une marque enregistrée.

Bernard Mauriange,
Chef de Produit,
Nameshield Group

Le réveil des “.marque” français

marques_francaises_Fotolia_65816423_S_export

De grandes marques commencent à faire l’annonce de l’exploitation de leur nouvelle extension Internet. Il y a peu, c’est Swatch qui annonçait son pop.swatch et, plus récemment, Canon annonçait global.canon. Est-ce là le “top départ” tant attendu du déploiement international des .MARQUE ? Nous pensons qu’il est encore un peu tôt pour se prononcer. Pourtant, un indicateur montre que cela est peut être en train de changer.

Une présence française bien réelle

Il existe de nombreuses applications françaises pour des nouvelles extensions Internet : sur quarante neuf de ces candidatures, quinze d’entre elles ont été retirées et cinq devraient probablement voir le jour ultérieurement. Le retrait de la candidature .LOREAL avait surpris car il s’agit d’une marque notoire. Le groupe avait par ailleurs retiré d’autres candidatures. Bien que le .AQUITAINE n’était pas un .MARQUE, le “regroupement” des régions avait imposé son retrait. Enfin, le .BANQUE – une candidature générique – semblait ne pas être parvenu à un accord entre ses partenaires pour sa commercialisation. Le .BANK américain pourtant, semble connaître un certain succès.

Nous avons enlevé de notre sélection les candidatures retirées du programme ainsi que les candidatures génériques pour ne conserver que les .MARQUE. Les candidatures françaises donc sont les suivantes [1] :

  1. .MMA
  2. .BNPPARIBAS
  3. .LECLERC
  4. .ARTE
  5. .CLUBMED
  6. .MAIF
  7. .AQUARELLE
  8. .SANOFI
  9. .WEBER
  10. .AXA
  11. .LANCASTER
  12. .SNCF
  13. .BOSTIK
  14. .TOTAL
  15. .SCHMIDT
  16. .HERMES
  17. .SFR
  18. .SCOR
  19. .CUISINELLA
  20. .LANCOME
  21. .ALSTOM
  22. .AIRBUS

Un indicateur fort

Les volumes d’enregistrement de noms de domaine en disent long sur les projets de ces .MARQUE. Alors qu’un registre lance souvent son traditionnel “nic.marque” pour introduire l’extension elle même, quelques noms apparaissent souvent par la suite.
Récemment, nous avons noté un “sursaut” de quelques candidatures françaises. En effet, la semaine dernière, aux alentours du 12 Mai, les volumes d’enregistrements étaient les suivants:

  • La candidature .WEBER comptait un seul enregistrement de nom de domaine, elle en compte dix-sept cette semaine.
  • La candidature .SANOFI en comptait deux. Elle en compte dix-sept aussi cette semaine.
  • La candidature .MAIF en comptait quatre. Elle en compte à présent dix-huit.
  • La candidature .CLUBMED en comptait sept, elle en compte à présent vingt-deux.
  • La candidature .ARTE comptait sept enregistrements et en compte à présent vingt-trois.

Ces variations d’enregistrement sont souvent des tests, parfois, ils marquent les débuts de ces grandes marques dans l’exploitation de leurs nouvelles extensions. L’extension .LECLERC compte à ce jour soixante-cinq enregistrements, cent six pour le .BNPPARIBAS et…1731 pour le .MMA !
Bernard Mauriange,
Chef de Produit,
Nameshield Group

©Crédit photo : Delphotostock fotolia
[1] http://www.jovenet.consulting/reports/french

Un tiers affichant votre contenu peut tout faire, y compris ne plus l’afficher !

Fotolia_disparition de contenu_27799472_SJ’abordais dans un précédent sujet l’importance de maîtriser son propre nom de domaine. L’accès à Internet pour tous est un droit et les enjeux liés à la gouvernance sont primordiaux.

Les Etats-Unis vivent aujourd’hui des élections présidentielles palpitantes, tant les sujets et candidats sont différents. Face à cette situation, de nombreuses entreprises de la Silicon Valley se posent la question de soutenir l’un ou l’autre aspirant à la Maison Blanche. Si ce choix n’est que lié au marketing et à ces considérations purement mercantiles, il paraît important de citer les tiers de confiance, ces entreprises qui proposent des prestations mettant en relation internaute et contenu web.

Vous l’aurez compris, moteurs de recherche et médias sociaux sont les principaux exemples que je souhaite aborder. Accédez à un site Internet via son nom de domaine et vous aurez accès à ce site. La raison en est simple, il n’y a pas de filtrage de la part des infrastructures gérant les DNS. Hormis différents sites bloqués par décision gouvernementale, tout le monde peut accéder à n’importe quel contenu. Le moteur de recherche ou le réseau social, affichent eux, différents liens permettant d’accéder à des contenus. On le sait, l’affichage de ces liens est conditionné selon des algorithmes jalousement gardés. Des experts en référencement se sont ainsi lancés sur ce secteur en tentant d’optimiser contenus et contenants afin de remonter dans les premières pages, et donc les premiers résultats. Cette étape réalisée via du reverse engineering analyse les résultats et tente de remonter la source pour comprendre le fonctionnement. L’empirisme et l’essai pratique en sont les essences.

Oui mais voilà, ces méthodes peuvent s’exercer seulement si les algorithmes sont fixes et n’évoluent pas aléatoirement. Ce qui est le cas. Ces experts, du SEO, Search Engine Optimization, doivent constamment s’adapter pour appréhender l’algorithme et donc faire évoluer les contenus et liens de leurs clients.

Sauf que, si les algorithmes d’affichage des contenus et des liens étaient uniquement basés sur une programmation machine, le jeu entre moteur de recherche et expert SEO se résumerait à celui du chat et de la souris.

Parce que ces architectures sont protégées, leurs propriétaires peuvent faire ce qu’ils veulent, voire, pourquoi pas modifier manuellement les contenus affichés. Et c’est justement ce qui se passe actuellement. Un article écrit ce lundi par Michael Nunez et publié par Gizmondo1 2 aux USA, repris par la presse généraliste3 4, l’AFP et repris dans la PQR5 fait état de suppressions d’articles dits ‘conservateurs’ par Facebook. Des anciens employés du réseau social états-uniens témoignent de cette brigade de journalistes embauchés spécifiquement pour cette tache et majoritairement diplômés d’écoles de l’Ivy League ou de la côte Est.

Cette nouvelle n’est pas sans rappeler le livre6 de Dan Lyons, journaliste ayant été employé par Hubspot où la collusion écriture d’informations ancienne et nouvelle génération avait été remarquée. Mais l’embauche de journalistes dans le but de transformer l’affichage des news théoriquement aléatoires est un évènement nouveau.


D’après l’article de Nunez, les articles dits ‘conservateurs’ étaient systématiquement supprimés des trending topics. Cette manipulation de l’accès à l’information, si elle est avérée, Facebook niant les faits, est bien évidemment grave. Un précédent article7 8, daté du mois d’avril dernier faisait ainsi état d’un sondage interne à Facebook où les employés se demandaient s’ils devaient agir pour éviter une présence sous Trump. Preuve qu’il en est que cette volonté ne date pas d’hier.

Soyons clair, dès qu’une information peut transiter via une chaîne humaine, des biais peuvent exister. Wikileaks, Prism et maintenant ce Zuckergate en sont la preuve.


1 –  http://gizmodo.com/want-to-know-what-facebook-really-thinks-of-journalists-1773916117

2 –  http://gizmodo.com/former-facebook-workers-we-routinely-suppressed-conser-1775461006

3 –  http://www.slate.fr/story/117849/facebook-curateurs-manipule-sujets-tendance

4 –  http://www.ladepeche.fr/article/2016/05/10/2341589-facebook-accuse-manipuler-sujets-tendance-polemique-fait-rage.html

5 –  http://www.corsematin.com/article/france-monde/facebook-accuse-de-manipuler-les-sujets-tendance-la-polemique-fait-rage.2000093.html

6 –  http://www.realdanlyons.com/custom_type/disrupted-misadventure-start-bubble/

7 –  http://gizmodo.com/facebook-employees-asked-mark-zuckerberg-if-they-should-1771012990

8 –  http://www.slate.fr/story/116863/mauvaise-nouvelle-facebook-presidence-trump

Les nouveaux challenges des titulaires de .marque

decouverte-des-amériques

D’ici deux ans, au plus tard, les titulaires de marque pourront déposer une nouvelle fois leur candidature pour détenir un .marque dans leurs noms de domaine et sécuriser davantage leur périmètre de protection sur internet. Revenons à ce qui a motivé les titulaires de marque pour bénéficier de leur propre extension.

Aujourd’hui, une société détient plusieurs actifs immatériels : des marques, des brevets, des dessins et modèles, des noms de domaine, etc. Depuis 2012, peut s’ajouter à tous ces actifs une extension de premier niveau (TLD – Top Level Domain), aussi appelé .marque  (exemple : www.nic.panerai). L’ICANN (Internet Corporation for Assigned Names and Numbers) a créé l’engouement des marques puisque 643 candidatures en .marque ont été remises sur près de 1500 candidatures pour des nouvelles extensions (génériques et .marque). À ce jour, 152[1] .marque sont déjà délégués, c’est-à-dire que le titulaire d’une marque peut faire l’utilisation de son .marque, par exemple : www.mabanque.bnpparibas en lieu et place de www.bnpparibas.net.

Pour être propriétaire d’une nouvelle extension, et après s’être acquitté de 185 000 dollars auprès de l’ICANN, le candidat doit faire face à différents challenges : défendre sa marque et sa réputation lors de la candidature des titulaires de .marque (I), mais aussi développer des processus innovants en cohérence avec la stratégie de la marque (II).

I. La défense de son .marque en amont de son utilisation

A. La contractualisation de la marque avec l’ICANN

Lorsqu’un titulaire de marque souhaite candidater pour détenir sa propre extension, il doit signer un accord de registre[2] avec l’ICANN. Cet accord est unique pour tous les déposants d’une nouvelle extension et très rares sont les cas où des clauses sont modifiées. La juridiction compétente lors d’un litige avec l’ICANN concernant l’accord de Registre est le tribunal du comté de Los Angeles, qui statue sous la forme d’un arbitrage. Exceptionnellement, l’arbitrage a lieu en Suisse (Genève) dans l’hypothèse où la nouvelle extension est souhaitée par une organisation intergouvernementale, une entité gouvernementale ou bien encore dans d’autres circonstances spéciales[3].

Dans le cas des .marque, le titulaire d’une marque pourra également se soumettre à la « spécification 13[4] ». S’il présente les conditions énumérées dans la spécification[5], le candidat peut bénéficier de plusieurs avantages par exemple :. « fermer son TLD » (tout le monde ne pourra pas enregistrer un nom de domaine en .marque), profiter de délais plus favorables, choisir ses bureaux d’enregistrement. Pour bénéficier d’un modèle financier, certaines sociétés estiment que le métier de registre[6] est un métier à part entière et ont de ce fait décidé de créer une entité juridique spécialement à cet effet..

B. Les moyens de défense pour les titulaires de marque à l’égard des .marque et nouvelles extensions

Dans le cadre de ces nouvelles extensions, les déposants n’ont pas eu de visibilité quant aux dépôts de marques tierces, voire concurrentes, et ce, jusqu’à la publication des candidatures. Plusieurs demandeurs se sont retrouvés à candidater pour la même extension[7]. Ces schémas ont parfois eu pour finalité un conflit entre deux marques intéressées par le même .marque.

Un exemple illustre parfaitement cette problématique : le .merck. Dans les années 30, la société pharmaceutique Merck KGAa a consenti un accord de coexistence avec le titulaire de la marque pharmaceutique Merck, dont le titulaire est Merck Inc, en définissant une territorialité stricte : Merck KGAa utilise sa marque dans le monde, sauf aux États-Unis et au Canada où  Merck Inc  est exploité.. La société Merck KGAa a découvert que la société Merck Inc. a déposé un dossier de candidature pour un .merck. La société Merck KGAa a déposé une plainte (LRO : Legal rights Objections) à l’encontre de la candidature de Merck Inc. L’action s’est soldée par un échec. Le jury de l’OMPI[8] n’a pas considéré que la société Merck Inc tirait indument profit du caractère distinctif ou de la renommée de la marque ; n’avait pas réduit, de façon injustifiée, le caractère distinctif ou de la renommée de la marque ; ou n’avait pas créé de risque de confusion entre le gTLD contesté et la marque Merck KGAa. À ce jour, Merck KGAa est titulaire de l’extension .emerck, tandis que Merck Inc est titulaire du .merck. Il est intéressant de noter que les noms de domaine et les extensions de premier niveau ne connaissent pas de limite de territorialité. Quid dès lors de l’application de l’accord de coexistence ?

Outre la LRO, un tiers, estimant qu’une candidature viole ses droits par le dépôt de candidature d’un .marque, peut avoir recours à d’autres types d’objections[9] :

  • le « string confusion », lorsque le TLD est similaire à un TLD existant ou des TLD délégués similaires produisant une confusion chez l’utilisateur
  • le « limited public interest », lorsque le dépôt va à l’encontre des bonnes mœurs et/ou de l’ordre public.

Par ailleurs, faut-il préciser que le public concerné par l’extension peut également s’opposer à une candidature. Il s’agit de la « community objections ».

Il existe également la procédure URS[10] (Uniform Rapid Suspension) et la procédure UDRP[11] (Uniform Dispute domain name Resolution Policy). La procédure URS a pour conséquence de bloquer le nom de domaine pour une durée d’un an. Cette procédure concerne les nouvelles extensions et le .pw. Elle est, notamment, plus rapide (environ vingt jours) et moins coûteuse. La procédure UDRP permet le transfert ou la radiation du nom de domaine. Le délai de cette procédure équivaut à une soixantaine de jours. Toutefois, cette procédure n’existe pas pour toutes les extensions[12]. Trois conditions cumulatives doivent être remplies : le nom de domaine doit être identique ou similaire à la marque antérieure, le titulaire du nom de domaine ne doit pas avoir de droit ou d’intérêt légitime sur le nom et le nom de domaine doit avoir été réservé et être utilisé de mauvaise foi.

Outre la défense de la marque, l’ICANN protège également les territoires nationaux face aux nouvelles pratiques d’Internet.

C. Les .marques et les territoires nationaux

Le GAC[13] (Governmental Advisory Committee) a comme rôle principal de fournir des conseils à l’ICANN sur les questions de politiques publiques, en particulier lorsqu’il existe une interaction entre les activités ou les politiques de l’ICANN et les lois nationales ou les accords nationaux. L’utilisation du pays et de la marque (exemple : luxembourg.cartier) doit faire l’objet d’un accord de la part du pays ou être dans la liste des pays autorisant à utiliser le nom du pays avec une marque[14]. Cependant, il convient d’indiquer que les noms de pays au deuxième niveau correspondent uniquement aux langues des Nations Unies. Par exemple, « the netherlands » est protégé par le contrat de Registre (spécification 5) alors que le nom de ce pays dans la langue du pays « neerderlands » n’est pas protégé..

II. La mise en œuvre du .marque au sein de la stratégie de l’entreprise

Malgré un nombre important de contrats et de restrictions, parfois imposées par l’ICANN, les titulaires de marques voient le bénéfice qu’ils pourraient retirer d’être également titulaire d’une nouvelle extension .marque. en imaginant de nouvelles pratiques innovantes sur Internet.

A. Le développement stratégique et financier de la marque

L’aspect défensif doit tout d’abord être évoqué. Comme nous l’avons précisé auparavant, les titulaires de marques n’avaient pas connaissance des .marque qui étaient déposés. Prenons l’exemple des marques Mont-Blanc. Il est parfaitement envisageable que le titulaire de la marque désignant, notamment, des stylos dépose un dossier de candidature, lorsque celui de la marque désignant des desserts ne le fait pas. Dans une telle hypothèse, la marque de stylo se retrouverait dans une situation équivalente à un monopole d’exploitation, permettant à son titulaire de négocier par voie contractuelle l’utilisation de son extension.

Les nouvelles extensions apparaissent donc comme une opportunité de développer de nouveaux modèles financiers et contractuels. L’occasion leur est offerte de créer des contrats s’apparentant à des « licences »[15] de noms de domaine. Dans le cadre d’un tel contrat, se pose par exemple la question de la fin de celui-ci.Qu’advient-il en effet du « business » d’un licencié non exclusif, connu sous un nom de domaine en .marque, qui n’est plus autorisé à utilisé cette extension par le titulaire ? Dans ces cas-là, la plus sage des décisions est de maintenir un site principal sans l’utilisation du .marque pour présenter son business et utiliser le .marque pour présenter les gammes de produits de cette marque. Ces problématiques pourront aussi avoir lieu lors de la vente d’une filiale à une société tierce si celle-ci avait développé son business sous un .marque de la société mère.

Le .marque permet également au titulaire de contrôler son réseau de distribution, que ce soit des licenciés, des franchisés ou bien encore de simples revendeurs. Puisque la marque est son propre Registre et détermine les conditions d’enregistrement de son .marque, cela lui permet d’avoir une stratégie de nommage claire et précise pour tous les acteurs proches de la marque. Dans quelques années, peut être que le titulaire de la marque n’aura plus à s’interroger sur l’opportunité d’enregistrer l’extension .net ; .org ; .info ; .shoes ; .lu etc. Elle aura la possibilité d’enregistrer ses noms de domaine avec sa propre extension : shoes.louboutin ; information.louboutin ; network.louboutin ; Luxembourg.louboutin, etc. La stratégie sera plus fluide, car la marque n’aura sans doute plus besoin de s’éparpiller et d’enregistrer une multitude d’extensions.

En sus des avantages stratégiques et juridiques que nous venons d’évoquer, les nouvelles extensions présentent des avantages indéniables en terme de sécurité.

B. L’atout sécurité du .marque

D’un point de vue technique, le .marque permet de sécuriser la communication et les échanges.  Il est ainsi possible de créer un Intranet d’une société sous un .marque. En outre, en tant que Registre, le titulaire de la marque dispose de ses données, contrairement aux extensions génériques ou ccTLDs qui dépendent d’un Registre tiers[16]

Le .marque impacte également la sécurité des internautes. Un produit pourrait se voir attribuer un numéro de série grâce à son nom de domaine et assurer ainsi sa traçabilité[17]. Le consommateur pourrait alors être assuré de l’authenticité avant achat.

Le .marque évite également le typosquatting[18] que nous connaissons sur les autres extensions aujourd’hui. En l’espèce, le cybersquatteur profite des fautes de frappes que l’internaute peut faire en recherchant une marque pour enregistrer un nom de domaine correspondant à la marque avec un faute de frappe. Avec le .marque, l’internaute sera certain d’être sur le site officiel de la marque puisque seule la marque décide de qui peut enregistrer son extension. Le .marque est enregistré dans une seule et correcte orthographe et ne pourra pas être typosquatté.

Les réseaux sociaux sont de plus en plus utilisés par les titulaires de marques pour communiquer avec le public. Dès lors, nous pourrions voir apparaitre « www.facebook.chanel ». Encore faudra-t-il trouver un terrain d’entente avec les réseaux sociaux.  L’internaute naviguera ainsi en toute sécurité et aura la certitude d’être sur la page Facebook officielle de la marque. Le .marque ne pouvant être enregistré que par le titulaire de la marque, les affiliés ou licenciés de la marque, il n’y a donc pas de possibilité pour un tiers d’enregistrer  sans autorisation un nom de domaine avec un .marque.

Même s’il est encore trop tôt pour constater l’ensemble des conséquences des .marques sur nos habitudes, peu de temps sera nécessaire pour que d’autres titulaires de marques soient séduits à l’idée de participer au second round de candidature qui se profile à l’horizon 2018. Des titulaires de marques comme Twitter[19] ont déjà mentionné leur envie d’y participer et d’apporter une touche de nouveauté à Internet.

Source : http://www.association-afpi.org/presse/index.php/RFPI/article/view/29


[1]https://newgtlds.icann.org/en/program-status/sunrise-claims-periods

[2]https://www.icann.org/resources/pages/registries/registries-agreements-en; article 5.2

[3]https://www.icann.org/resources/pages/registries/registries-agreements-en; article 5.2, texte alternatif

[4] https://newgtlds.icann.org/en/applicants/agb/base-agreement-contracting/specification-13-applications

[5]https://newgtlds.icann.org/en/applicants/agb/base-agreement-contracting/specification-13-applications le .marque doit être identique à une marque verbale enregistrée et valide sous la loi applicable et ; seul le Registre, ses affiliés ou ses licenciés peuvent être titulaire du .marque et contrôler les Domain Name Server et ; le .marque ne doit pas être générique et ; le Registre doit transmettre à l’ICANN une copie du certificat de marque.

[6] Le Registre est la société choisie par l’ICANN et bénéficiaire de la gestion d’une extension (exemple : le Registre du .be est DNS Belgium)

[7] On dénombre par exemple trois candidatures pour le .cars.

[8] Merck KGaA v. Merck Registry Holdings, Inc., 6 septembre 2013, WIPO (Case NO. LRO2013-009)

[9] https://newgtlds.icann.org/en/program-status/odr

[10] https://newgtlds.icann.org/en/applicants/urs

[11]https://www.icann.org/resources/pages/udrp-2012-02-25-fr

[12] S’agissant de l’extension .lu, il n’existe pas de procédure alternative de règlement des litiges. Le rachat peut être une des solutions, tout en étant prudent pour éviter d’être cybersquatté une seconde fois ; soit une décision de justice en faveur du titulaire de la marque peut ordonner de transférer le nom de domaine litigieux.

[13]https://gacweb.icann.org/display/gacweb/Governmental+Advisory+Committee

[14]https://gacweb.icann.org/display/gacweb/Country+and+Territory+Names+as+second-level+domains+in+new+gTLDs+requirements+for+notification+list

[15] Ici, l’utilisation du terme licence relève d’une facilité de langage et ne doit pas être pris dans son sens habituel. Faut-il rappeler que le contrat de licence s’apparente à un louage de chose impliquant un droit de propriété intellectuelle alors que le droit sur le nom de domaine n’en est pas un.

[16] Exemple : AFNIC est le Registre du .fr ; VERISIGN est celui du .com

[17] Il serait possible de s’assurer de la provenance du produit grâce à un nom de domaine associé à un numéro de série suivi de l’extension en .marque (exemple : modèleduproduit48392.hermes).

[18] Exemple: Au lieu de taper « Hermes.com » dans sa barre de recherche, l’internaute va taper « hermmes.com ».

[19] http://www.trademarksandbrandsonline.com/news/twitter-to-seek-gtlds-in-second-round-4515