Nouvelles procédures AFNIC contre l’usurpation d’identité !
[11/06/2019]
L’AFNIC se dote d’un nouveau système destiné à lutter contre l’usurpation d’identité au sein des informations Whois.
Une pratique en pleine expansion
Cette pratique est malheureusement courante et concerne toutes les extensions. De nombreuses procédures extrajudiciaires (Syreli, UDRP) révèlent ces agissements qui s’expliquent notamment par deux raisons :
Masquer une réservation frauduleuse
Le Whois est déclaratif, aucune vérification sérieuse « a priori » n’est imposée aux bureaux d’enregistrement. Les cybersquatteurs et contrefacteurs abusent donc régulièrement de ce système en renseignant des informations erronées afin de ne pas révéler leur identité. Pour éviter les cas flagrants (John Doe, 52 Champs Elysées 75008 Paris), le recours à une identité existante est fréquent.
Surtout, la pratique est en plein essor avec le développement des campagnes de phishing et en particulier de Spear Phishing, où le nom de domaine utilisé est souvent enregistré au nom du CEO/CTO afin de tromper, masquer, ou retarder la détection du caractère frauduleux de l’enregistrement.
Philip Morris a par exemple était victime de cette pratique révélée dans la décision UDRP D2017-0782 :
« This is evidently a fraudulent misidentification by the unknown person who actually registered the Domain Name, who shall be referred to hereafter as the Respondent. The name given by the Respondent at that time is that of the Complainant’s president and CEO, and the postal address given for the registrant is the address of the Complainant’s headquarters”
Respecter des conditions d’éligibilité
Pour respecter « en apparence » les conditions d’éligibilité du .FR , des titulaires non européens usurpent des identités récupérées sur internet, notamment des annuaires. Cette pratique s’est particulièrement développée ces dernières années avec l’engouement du secteur SEO et des contrefacteurs pour les noms de domaine expirés, et l’explosion du marché des BackOrder.
Afin de ne pas être identifiés, tout en respectant les conditions d’éligibilité, ces personnes déposent massivement des noms de domaine sous l’identité d’un citoyen français.
Cela débouche parfois sur des cas particulièrement originaux, comme la récupération du nom de domaine <cocusdenicolassarkozy.fr> pour vendre des contrefaçons de tong, en utilisant des informations Whois vraisemblablement usurpées.
De 2015 à 2017 l’AFNIC a recensé 50 demandes relatives à cette pratique pour 115 noms de domaine.
Si le registre français traitait déjà ce type de litige et avait communiqué à ce sujet, le process a été simplifié ce 4 juin 2019 avec l’arrivée de deux nouvelles procédures.
Nouvelles procédures AFNIC
L’AFNIC vient de publier deux nouvelles procédures permettant à la fois d’identifier les potentiels cas d’atteinte, et d’agir à leur encontre. Ces procédures peuvent donc être cumulatives ou alternatives.
Il convient de rappeler que, par défaut, l’AFNIC opte pour une diffusion restreinte des données relatives aux personnes physiques, conformément à sa charte et à la législation sur les données personnelles:
« Conformément à la demande de la Commission nationale de l’informatique et des libertés (Cnil) et en application du RGPD, lorsque l’enregistrement du nom de domaine est réalisé au nom d’une personne physique, le titulaire bénéficie d’une option dite de « diffusion restreinte » par défaut.
Lorsque cette option est mise en œuvre, aucune donnée à caractère personnel n’est diffusée en ligne au sein de la base «Whois», seules figurent des informations d’ordre technique (contact technique -coordonnées du bureau d’enregistrement et serveurs DNS). »
Dès lors il est difficile, si ce n’est impossible, d’identifier les noms de domaine enregistrés sous une identité donnée.
Reverse Whois : identifier les noms de domaine qui utilisent mes données personnelles
Dans un premier temps, l’AFNIC met à disposition un formulaire permettant d’identifier tous les noms de domaine en .FR dont les informations Whois reprennent les données personnelles d’une personne physique.
« Ce formulaire vous permet de demander à l’AFNIC la communication des informations vous concernant dans la base de données Whois et ainsi de savoir exactement les noms de domaine enregistrés en utilisant votre identité sous les extensions opérées par l’AFNIC, à savoir : .fr , .pm , .re , . tf , .wf et .yt. »
Cette procédure sera toutefois limitée aux informations renseignées auprès des bureaux d’enregistrement par des réservataires potentiellement frauduleux. Il n’est par ailleurs pas précisé si les informations sont recherchées de manière cumulative ou alternative :
combinaison exacte nom + prénom + téléphone + adresse ou recherche sur le seul numéro de téléphone, seule combinaison du nom et prénom, etc.
Procédure de radiation des noms de domaine déposés sous une fausse identité
Suite logique de la première étape, le registre français permet de signaler les domaines litigieux et demander leur radiation.
Le dépôt d’une plainte sera néanmoins un préalable indispensable pour le traitement de la demande :
« En tant que victime, vous devez obligatoirement faire un dépôt de plainte auprès d’un commissariat de police ou d’une gendarmerie en citant les noms de domaine et identifiants associés connus pour lesquels vos données personnelles sont utilisées à votre insu. »
Si le bureau d’enregistrement n’est pas en mesure de valider l’identité du titulaire renseigné, l’AFNIC procédera à la radiation des noms de domaine utilisant ces informations. Plus précisément, les NIC HANDLES identifiés seront supprimés, et le registrar devra procéder à la radiation des domaines concernés faute de validation d’identité (contrôle a posteriori).
Des actions à la charge… des victimes !
Un nom de domaine litigieux et enregistré sous une fausse identité avait fait l’objet d’une procédure judiciaire devant le TGI de Paris. Bien malgré elle, la personne renseignée au sein des informations whois et dont l’identité avait été usurpée a dû répondre de cette atteinte devant la juridiction de premier degré.
Dans une décision improbable du 2 mars 2017, le TGI de Paris a reconnu la responsabilité de cette personne, victime d’une usurpation d’identité au sein des informations whois, en raison de la faiblesse des actions entreprises par cette dernière pour demander la radiation de nom de domaine.
Elle sera à ce titre condamnée par le Tribunal de céans :
« Succombant au litige, madame Y. qui n’a pas entrepris avec suffisamment de diligence les démarches nécessaires au transfert ou à la suppression du nom de domaine litigieux sera condamnée à payer à madame X. la somme de 800 euros en application de l’article 700 du code de procédure civile ainsi qu’à supporter les entiers dépens de l’instance. »
Double peine pour cette victime d’être associée indûment à une action et d’en supporter les frais.
Face à ce précédent jurisprudentiel, on ne peut qu’accueillir favorablement ces deux nouvelles procédures AFNIC et inviter toute victime à procéder rapidement à la vérification de ses données au sein des informations whois, et à demander la radiation des noms de domaine concernés.
L’auteur :
Gaël Mancec | Juriste NTIC
Germain Maureau
gael.mancec@germainmaureau.com
+ 33 (0) 4 72 69 84 30
Vous pouvez télécharger l’article complet en version .pdf au lien suivant : nouvelles_precedures_afnic