Cybersquatting : transfert ou suppression rapide d’un nom de domaine abusif

L’épidémie de Covid-19 aura sans nul doute donné aux cyber délinquants de nombreuses opportunités de mettre en œuvre leur savoir-faire malveillant. Les tentatives de phishing, de fraude au président, d’usurpation d’identité, etc. se sont multipliées au cours des dernières semaines de façon considérable.

 

Selon une étude réalisée par le Centre d’analyse technique des cybermenaces du groupe Thalès, plusieurs milliers de noms de domaines liés au Covid-19 ont été créés depuis décembre dernier : parmi eux, au moins 50% auraient pour finalité d’amener à télécharger des logiciels malveillants.
Ces derniers reposent souvent sur un nom de domaine qui reprend une marque ou un nom de domaine existant exploité par une entreprise, ce qui constitue du cybersquatting. En effet, le cybersquatting (ou cybersquattage) est une pratique consistant à enregistrer abusivement un nom de domaine, c’est-à-dire à enregistrer un nom de domaine dans le but de nuire à un tiers ou d’en tirer indûment un profit.

 

Ils peuvent également présenter une forte similarité par rapport à un nom de domaine existant en s’en différenciant par une lettre, ce qui est une forme de cybersquatting dénommée typosquatting. Par exemple le transfert a été accordé pour le nom de domaine « schnieder-electric.com » si proche de « schneider-electric.com »[1]. L’effet est immédiat, des clients pouvant rapidement et inconsciemment se rendre sur le site frauduleux où les délinquants tenteront de les manipuler afin de les piéger…

 

 

*               *

*

 

 

La pratique du cybersquatting consiste généralement à enregistrer un nom de domaine correspondant à une société/à une marque/un nom commercial/un patronyme/etc., et peut avoir des finalités très variées :

  • le revendre ensuite au propriétaire légitime ou à l’ayant droit ;
  • altérer sa visibilité ou nuire à l’image de marque (par exemple en hébergement sur le site frauduleux des activités illicites ou un contenu inapproprié comme un site pornographique) ;
  • de profiter de sa notoriété (par exemple pour drainer du trafic sur le site frauduleux, pour vendre des produits de contrefaçon, pour blanchir de l’argent) ;
  • utiliser le nom de domaine pour des attaques en « phishing » ou pour l’envoi de mails de spam.

 

Bien évidemment, selon les faits d’espèce, ces comportements peuvent faire l’objet de procédures judiciaires classiques devant les tribunaux, que ce soit pour contrefaçon, usurpation d’identité, escroquerie, etc. Toutefois, des procédures extrajudiciaires plus rapides, peu coûteuses et très efficaces existent également et doivent être envisagées.

 

Ces procédures visent à obtenir la suspension, la suppression ou le transfert du nom de domaine litigieux, mais pas à obtenir la condamnation du contrevenant ni le versement de dommages-intérêts.

Différentes procédures existent en fonction de l’extension du nom de domaine litigieux.

 

Ainsi, une procédure SYRELI ou une procédure PARL EXPERT peuvent être mises en œuvre pour tous les noms de domaine dont la centralisation est assurée par l’AFNIC : .fr (France métropolitaine et Corse), .re (La Réunion), .yt (Mayotte), .pm (Saint-Pierre et Miquelon), .wf (Wallis-et-Futuna), .tf (Terres australes et antarctiques françaises).

 

Une procédure UDRP peut être engagée pour :

Tous les gTLDs : domaine de premier niveau générique (en anglais generic top-level domain) ex : .com, .org, .net., …

Certains ccTLDs : domaine de premier niveau national ou extensions géographiques (en anglais country code top-level domain) à savoir : .ag, .ai, .as, .bm, .bs, .bz, .cc, .cd, .co, .cy, .dj, .ec, .fj, .fm, .gd, .gt, .ki, .la, .lc, .md, .me, .mw, .nr, .nu, .pa, .pk, .pn, .pr, .pw, .ro , .sc, .sl, .so, .tj, .tt, .tv, .ug, .ve, .vg, et .ws

 

Et pour finir, une procédure URS peut être entreprise pour tous les New gTLDs introduits depuis le 1er janvier 2013 : les nouveaux noms de domaine ex : .shop, .app, .bio, etc.

 

1. Les procédures mises en place par l’AFNIC : procédure SYRELI et PARL EXPERT

 

En application de l’article L45 du Code des postes et des communications électroniques, l’AFNIC[2] (Association française pour le nommage Internet en coopération) a mis en place deux procédures spécifiques permettant la résolution des litiges concernant les noms de domaine pour toutes les extensions sous sa responsabilité : la procédure SYRELI et la procédure PARL EXPERT.

 

Dans le cadre de ces deux procédures, il appartient au requérant de prouver qu’il :

  • dispose d’un intérêt à agir et,
  • que le nom de domaine objet du litige est :
    • susceptible de porter atteinte à l’ordre public ou aux bonnes mœurs ou à des droits garantis par la Constitution ou par la loi ; ou
    • susceptible de porter atteinte à des droits de propriété intellectuelle ou de la personnalité , et que le titulaire ne justifie pas d’un intérêt légitime et agit de mauvaise foi ; ou
    • identique ou apparenté à celui de la République française, d’une collectivité territoriale ou d’un groupement de collectivités territoriales ou d’une institution ou service public national ou local , et que le titulaire ne justifie pas d’un intérêt légitime et agit de mauvaise foi .

 

La décision (transfert du nom de domaine au requérant, suppression du nom de domaine litigieux ou rejet de la demande) sera rendue au vu des seules écritures et pièces déposées par les deux parties. Ni l’expert nommé par le Centre d’arbitrage et de médiation de l’OMPI (procédure PARL EXPERT), ni l’AFNIC (procédure SYRELI), ne procèderont à des recherches complémentaires.

 

Les frais de procédures sont les suivants :

  • pour la procédure SYRELI : les frais à la charge du requérant sont de deux cent cinquante (250) euros H.T.
  • pour la procédure PARL EXPERT : les frais à la charge du requérant sont de mille cinq cents (1500) euros.

 

2. Les procédures mises en place par l’ICANN[3]

 

a. La procédure UDRP

 

La procédure UDRP a été instaurée par l’ICANN à la suite de l’adoption des Principes directeurs pour un règlement uniforme des litiges relatifs aux noms de domaine[4] (en anglais « UDRP » ou « Uniform Domain Name Dispute Resolution Policy ») le 24 novembre 1999.

 

C’est une procédure de règlement extrajudiciaire très efficace. En effet, elle a été adoptée par tous les bureaux d’enregistrement accrédités par l’ICANN dans tous les domaines de premier niveau génériques (ou gTLDs) (.aero, .asia, .biz, .cat, .com, .coop, .info, .jobs, .mobi, .museum, .name, .net, .org, .pro, .tel et .travel). Elle a également été adoptée par certains responsables de domaines nationaux de premier niveau (ccTLDs) (à savoir : .ag, .ai, .as, .bm, .bs, .bz, .cc, .cd, .co, .cy, .dj, .ec, .fj, .fm, .gd, .gt, .ki, .la, .lc, .md, .me, .mw, .nr, .nu, .pa, .pk, .pn, .pr, .pw, .ro , .sc, .sl, .so, .tj, .tt, .tv, .ug, .ve, .vg, et .ws).

 

Ces principes directeurs (et leurs règles d’application) constituent une convention entre le registrar (ou bureau d’enregistrement) et le titulaire d’un nom de domaine. Ils sont complétés par des règles supplémentaires qui sont fixées par les centres habilités à mettre en œuvre des procédures UDRP.

 

Six centres (ou prestataires de services de règlement de litiges administratifs) sont habilités à recevoir des plaintes dites UDRP : l’Organisation Mondiale de la Propriété Intellectuelle (OMPI), la Cour Arbitrale Tchèque (CAC) par le biais du service ADR.EU, le Forum (ou anciennement « National Arbitration Forum » / NAF), le « Asian Domain Name Dispute Resolution Centre » (ADNDRC), le « Canadian International Internet Dispute Resolution Centre » (CIIDRC) ainsi que le « Arab Center for Dispute Resolution » (ACDR).

 

Au titre des principes UDRP, l’enregistrement abusif d’un nom de domaine requiert la réunion de plusieurs critères :

  1. le nom de domaine enregistré par le détenteur doit être identique ou semblable au point de prêter à confusion à une marque de produits ou de services sur laquelle le requérant (la personne physique ou morale qui dépose la plainte) a des droits ; et
  2. le détenteur du nom de domaine doit n’avoir aucun droit sur le nom de domaine ni aucun intérêt légitime qui s’y attache ; et
  3. le nom de domaine doit avoir été enregistré et être utilisé de mauvaise foi.

De manière générale, une procédure administrative réalisée dans le cadre des principes UDRP et portée devant l’OMPI dure une soixantaine de jours à compter de la date à laquelle le Centre d’arbitrage et de médiation de l’OMPI reçoit la plainte.

 

b. La procédure URS

 

L’URS (« Uniform Rapid Suspension System ») est un mécanisme également mis en œuvre par l’ICANN qui vient compléter l’UDRP en offrant une solution plus rapide (environ 3 semaines en général) et moins coûteuse[5] en cas d’infractions « évidentes » concernant les nouveaux gTLDs (c’est-à-dire ceux introduits postérieurement au 1er janvier 2013, tels que les .shop, .app, .bio).

 

Cette procédure se limite toutefois à permettre la suspension des noms de domaine litigieux, et elle ne permet donc pas le transfert du nom de domaine litigieux au requérant.

 

La procédure URS peut être initiée auprès de trois différentes entités (ou prestataires de services de règlement de litiges administratifs), à savoir : le Forum (anciennement connu sous le nom de « National Arbitration Forum » ou NAF), le « Asian Domain Name Dispute Resolution Centre » (ADNDRC)  et plus récemment le MFSD (un centre italien).

 

Comme pour la procédure UDRP, la procédure URS repose sur les principes fondamentaux fixés par l’ICANN et les règles supplémentaires prises par les prestataires de services de règlement de litiges administratifs.

Ainsi, et assez similaire aux principes UDRP, l’enregistrement abusif d’un nom de domaine au titre de la procédure URS requiert la réunion de plusieurs critères :

  1. le nom de domaine enregistré par le détenteur doit être identique ou semblable au point de prêter à confusion avec une marque de produits ou de services : (i) pour laquelle le requérant possède un certificat d’enregistrement national ou régional valide et qui est en usage actuellement ; ou (ii) qui a été validée/confirmée par une procédure juridictionnelle ; ou (iii) qui est explicitement protégée par une loi ou un traité en vigueur lors du dépôt de la plainte ;
  2. le détenteur du nom de domaine doit n’avoir aucun droit sur le nom de domaine ni aucun intérêt légitime qui s’y attache ; et
  3. le nom de domaine doit avoir été enregistré et être utilisé de mauvaise foi.

 

 

 

 

Comme indiqué précédemment, le cybersquatting peut être accompagné de différentes pratiques susceptibles de constituer notamment des infractions pénales. La poursuite de telles infractions n’étant pas toujours compatible avec une procédure extrajudiciaire, AGIL’IT se tient à votre disposition pour vous aider à évaluer vos différentes options et déterminer la plus pertinente en l’espèce.

 

 

Par AGIL’IT – Pôle IT, Télécoms & Data protection

Sylvie JONAS, Avocate associée

Morgane BOURMAULT, Avocate

 

[1] Schneider Electric S.A. v. Domain Whois Protect Service / Cyber Domain Services Pvt. Ltd., Case No. D2015-2333 https://www.wipo.int/amc/en/domains/search/text.jsp?case=D2015-2333

[2] AFNIC : Association française pour le nommage Internet en coopération. L’AFNIC est l’office d’enregistrement (ou registre) désigné par l’État français pour la gestion des noms de domaine sous l’extension .fr. Elle gère également les extensions ultramarines .re (Ile de la Réunion), .pm (Saint-Pierre et Miquelon), .tf (Terres australes et antarctiques Françaises), .wf (Wallis et Futuna), .yt (Mayotte).

[3] Internet Corporation for Assigned Names and Numbers (ICANN, en français, la Société pour l’attribution des noms de domaine et des numéros sur Internet) qui est une autorité de régulation d’Internet dont la mission principale est d’administrer les ressources numériques d’internet, tels que les adresses IP et les noms de domaine de premier niveau (TLDs).

[4] Version française (valeur indicative) : https://www.icann.org/resources/pages/policy-2012-02-25-fr

Version originale en anglais : https://www.icann.org/en/dndr/udrp/policy.htm

[5] Pour le dépôt d’une plainte concernant entre 1 et 14 noms de domaine auprès du Forum : 375 dollars des Etats-Unis : https://www.adrforum.com/assets/resources/URS/URS%20Supplemental%20Rules.pdf

Pour le dépôt d’une plainte concernant entre 1 et 5 noms de domaine auprès de l’ADNDRC : 360 dollars des Etats-Unis : https://www.adndrc.org/urs

Pour le dépôt d’une plainte concernant entre 1 et 15 noms de domaine auprès de la MFSD : 350/375 euros : https://urs.mfsd.it/system/system_data/CMS_ELEM_DOC/data_PDF/2017_supplemental_rules.pdf