Protéger son nom de domaine, un geste élémentaire pour une entreprise

La gestion de son nom de domaine révèle, pour une entreprise, d’enjeux sous-jacents : cybersquatting, contrefaçon et protection des marques, réputation, surveillance de la concurrence, etc. Emilie Dessens, Présidente de la société Domainoo, spécialisée dans l’enregistrement et la protection des noms de domaine, est venue le rappeler lors d’une conférence organisée par le Club Webtechno de l’AEGE.

Des processus réglementés d’enregistrement 

Un nom de domaine (ex : portail-ie.fr) est, techniquement, la traduction d’une adresse IP en une chaîne de caractères, plus facile à retenir pour les internautes. De surcroît, un nom de domaine, c’est-à-dire la vitrine d’une organisation sur le web, est composé de deux parties majeures : le sous domaine qui est généralement le nom donné à l’organisation (ex : portail-ie), ainsi que le top level domain (TLD, également appelé extension) qui correspond à la dernière partie du site web (.fr, .org, .com).

Le processus d’enregistrement d’un nom de domaine est une démarche payante qui fait intervenir plusieurs acteurs. Tout d’abord, le demandeur doit l’enregistrer via un bureau d’enregistrement, aussi appelé registrar. Emilie Dessens distingue trois catégories de registrar : les discounters (par exemple GoDaddy, Aen, Gandi), ceux qui proposent également des hébergement (1&1, OVH) et enfin les corporate, qui proposent toute une gamme de services et de conseils autour des noms de domaines (Domainoo, Nameshield). Les registrars sont tenus d’être accrédités au préalable par l’ICANN (Internet Corporation for Assigned Names and Numbers), une autorité de régulation d’Internet, régie par le droit californien. De plus, les bureaux d’enregistrement doivent également être certifiés par les organisations en charge de l’administration des TLD. Par exemple, l’organisme chargé de réguler tous les noms de domaine qui finissent par « .fr » est l’AFNIC (Association française pour le nommage Internet en coopération).

Les organismes comme l’AFNIC, appelés « Opérateurs de registre », tiennent une base de données qui comporte tous les noms de domaines enregistrés, finissant par le top level domain dont ils ont la charge. Ces bases de données sont accessibles publiquement à travers des protocoles « Whois » et permettent à toute personne intéressée de connaître la fiche d’identité d’un nom de domaine (bureau d’enregistrement, date de création, nom et contact du titulaire, informations techniques).

 

Le nom de domaine comme source de litige : l’exemple du cybersquatting

Chaque nom de domaine est unique, et la règle pour en obtenir un est très souvent celle du « premier arrivé, premier servi ». Étant considéré comme une partie du patrimoine informationnel d’une organisation, le nom de domaine est une source potentielle de menaces et de litiges.

Le foisonnement de noms de domaines s’est rapidement accompagné d’une nouvelle forme de malveillance appelée cybersquatting. Celle-ci consiste à déposer des noms de domaines rappelant une entreprise ou une marque afin de profiter du trafic qui lui était initialement destiné.

Les techniques de cybersquatting peuvent prendre plusieurs formes. On peut tout simplement jouer de la règle du « premier servi » pour enregistrer un nom de domaine avant même qu’une entreprise ne l’ait elle-même fait et, ainsi espérer le revendre à prix fort.

Le typosquatting, c’est-à-dire l’ajout, la modification, le manque d’une lettre (« wikiepedia » au lieu de « wikipedia ») ou d’un mot au nom de domaine cible est une autre alternative. Dans ce cas, les détracteurs usurpent l’identité d’un tiers et trompent les internautes pour vendre de la contrefaçon, profiter de liens sponsorisés pour engendrer des revenus ou pour dénigrer l’image d’une société ou d’une marque.

 

Prévenir les menaces

Pour se prémunir de ces menaces, les sociétés sont appelées à exercer une veille sur les nouveaux noms de domaines susceptibles de leur porter préjudice. Par ailleurs, les noms de domaines ayant une date d’expiration, il est important que les titulaires renouvellent leurs enregistrements. Sinon, ils passent dans le domaine public ou sont rachetés par d’autres.

En outre, tous les opérateurs de registre sont tenus de proposer des procédures de résolution de litiges. L’AFNIC propose, par exemple, de vérifier l’éligibilité du titulaire d’un nom de domaine ou, encore, le signalement d’un nom de domaine contraire à l’ordre public. En dernier recours, il existe des procédures extrajudiciaires applicables, différentes en fonction de la nature du litige (Uniform Domain-Name Dispute-Resolution Policy, ou Syreli qui a été mis en place par l’AFNIC).

Les stratégies proactives relatives aux noms de domaines restent le meilleur moyen de se défendre. A titre d’exemple récent, Donald Trump avait, avant même sa candidature aux élections américaines, acheté ou racheté progressivement plus de 3600 noms de domaine comme Nomoretrump.com ou encore VoteAgainstTrump.com, afin de devancer ses futurs détracteurs.

Enfin, comme il est désormais possible d’acheter son propre top level domaine, sous réserve de l’approbation de l’ICANN, des sociétés comme Leclerc ou l’Oréal disposent de leurs propres extensions (« .leclerc », « .loreal ») qui garantissent leurs authenticités. On parle alors de « dotBrand ».

 

Emilie Dessens rappelle, en guise de conclusion, trois évolutions à suivre :

  • L’émergence des « dotBrands » : comme évoqué précédemment, la stratégie « dotBrands » consiste à acquérir son propre top level domain, c’est-à-dire avoir sa propre extension. Si cette procédure peut se révéler être un avantage marketing considérable pour les marques, elle n’en est pas moins complexe et coûteuse. Ainsi, il faut effectuer une demande pour devenir opérateur du registre auprès de l’ICANN. Afin d’être accrédité opérateur de registre, il est impératif de répondre aux exigences techniques de l’agence (sécurité et viabilité des serveurs et réseaux de l’entreprise), puis de s’acquitter de la somme de 185 000 dollars, ainsi que d’une taxe de renouvellement de 25 000 dollars par an.
  • La seconde évolution concerne le Règlement Général sur la Protection des Données (RGDP), qui entrera en vigueur en Europe, en mai 2018. Cette réglementation pourrait s’appliquer aux informations présentes dans les « Whois », ces bases de données qui permettent d’obtenir les coordonnées du titulaire d’un nom de domaine. Déjà, les logiques s’affrontent avec, d’un côté les partisans de l’anonymat du titulaire d’un nom de domaine et, de l’autre les partisans du système actuel afin de pouvoir identifier rapidement les cyber squatteurs et les typo squatteurs. L’ICANN devra prendre position sur ce débat, et sa voix en déterminera probablement l’issue.
  • Le troisième point est d’ordre technique et concerne l’augmentation du nombre d’attaques par déni de service. Elles consistent à rendre un serveur, un service ou une infrastructure indisponibles en surchargeant la bande passante du serveur, ou en accaparant ses ressources jusqu'à épuisement. L’attaque par déni de service empêche l’accessibilité des sites d’entreprises et peut ainsi faire perdre des revenus publicitaires considérables aux grandes marques.

Valérian CHARTRAIN et Anne-Elizabeth MAGHINICI

Club Webtechno de l’AEGE