Whois. Une pratique en pleine expansion
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
Point de vue
Nouvelles procédures AFNIC
contre l'usurpa on d'iden té !
L’auteur :
Gaël Mancec | Juriste NTIC
Germain Maureau
L'AFNIC se dote d'un nouveau système des né à lu er contre l'usurpa on d'iden té au sein des informa ons
Whois.
Une pratique en pleine expansion
Ce e pra que est malheureusement courante et concerne toutes les extensions. De nombreuses procédures
extrajudiciaires (Syreli, UDRP) révèlent ces agissements qui s'expliquent notamment par deux raisons :
Masquer une réserva on frauduleuse
Le Whois est déclara f, aucune vérifica on sérieuse "a priori" n'est imposée aux bureaux d'enregistrement. Les
cybersqua eurs et contrefacteurs abusent donc régulièrement de ce système en renseignant des informa ons
erronées afin de ne pas révéler leur iden té. Pour éviter les cas flagrants (John Doe, 52 Champs Elysées 75008
Paris), le recours à une iden té existante est fréquent.
Surtout, la pra que est en plein essor avec le développement des campagnes de phishing et en par culier
de Spear Phishing, où le nom de domaine u lisé est souvent enregistré au nom du CEO/CTO afin de
tromper, masquer, ou retarder la détec on du caractère frauduleux de l'enregistrement.
Philip Morris a par exemple était vic me de ce e pra que révélée dans la décision UDRP D2017-0782 :
« This is evidently a fraudulent misiden fica on by the unknown person who actually registered the Domain
Name, who shall be referred to herea er as the Respondent. The name given by the Respondent at that me is
that of the Complainant’s president and CEO, and the postal address given for the registrant is the address of the
Complainant’s headquarters”
1
Point de vue
Respecter des condi ons d'éligibilité
Pour respecter "en apparence" les condi ons d'éligibilité du .FR , des tulaires non européens usurpent des
iden tés récupérées sur internet, notamment des annuaires. Ce e pra que s'est par culièrement développée
ces dernières années avec l'engouement du secteur SEO et des contrefacteurs pour les noms de domaine expi-
rés, et l'explosion du marché des BackOrder.
Afin de ne pas être iden fiés, tout en respectant les condi ons d'éligibilité, ces personnes déposent massive-
ment des noms de domaine sous l'iden té d'un citoyen français.
Cela débouche parfois sur des cas par culièrement originaux, comme la récupéra on du nom de domaine
pour vendre des contrefaçons de tong, en u lisant des informa ons Whois vraisem-
blablement usurpées.
De 2015 à 2017 l'AFNIC a recensé 50 demandes rela ves à ce e pra que pour 115 noms de domaine.
2
Point de vue
Si le registre français traitait déjà ce type de li ge et avait communiqué à ce sujet, le process a été simplifié ce 4
juin 2019 avec l'arrivée de deux nouvelles procédures.
Nouvelles procé dures AFNIC
L'AFNIC vient de publier deux nouvelles procédures perme ant à la fois d'iden fier les poten els cas d'a einte,
et d'agir à leur encontre. Ces procédures peuvent donc être cumula ves ou alterna ves.
Il convient de rappeler que, par défaut, l'AFNIC opte pour une diffusion restreinte des données rela ves aux per-
sonnes physiques, conformément à sa charte et à la législa on sur les données personnelles:
« Conformément à la demande de la Commission na onale de l’informa que et des libertés (Cnil) et en applica-
on du RGPD, lorsque l’enregistrement du nom de domaine est réalisé au nom d’une personne physique, le tu-
laire bénéficie d’une op on dite de « diffusion restreinte » par défaut.
Lorsque ce e op on est mise en œuvre, aucune donnée à caractère personnel n'est diffusée en ligne au sein de
la base «Whois», seules figurent des informa ons d'ordre technique (contact technique -coordonnées du bureau
d’enregistrement et serveurs DNS). »
Dès lors il est difficile, si ce n'est impossible, d'iden fier les noms de domaine enregistrés sous une iden té don-
née.
Reverse Whois : identi ier les noms de domaine qui
utilisent mes donné es personnelles
Dans un premier temps, l'AFNIC met à disposi on un formulaire perme ant d'iden fier tous les noms de do-
maine en .FR dont les informa ons Whois reprennent les données personnelles d'une personne physique.
« Ce formulaire vous permet de demander à l’AFNIC la communica on des informa ons vous concernant dans
la base de données Whois et ainsi de savoir exactement les noms de domaine enregistrés en u lisant votre iden-
té sous les extensions opérées par l'AFNIC, à savoir : .fr , .pm , .re , . , .wf et .yt. »
Ce e procédure sera toutefois limitée aux informa ons renseignées auprès des bureaux d'enregistrement par
des réservataires poten ellement frauduleux. Il n'est par ailleurs pas précisé si les informa ons sont recher-
chées de manière cumula ve ou alterna ve :
combinaison exacte nom + prénom + téléphone + adresse
ou recherche sur le seul numéro de téléphone, seule combinaison du nom et prénom, etc.
Procé dure de radiation des noms de domaine dé posé s sous une
fausse identité
Suite logique de la première étape, le registre français permet de signaler les domaines li gieux et demander
leur radia on.
Le dépôt d'une plainte sera néanmoins un préalable indispensable pour le traitement de la demande :
3
Point de vue
« En tant que vic me, vous devez obligatoirement faire un dépôt de plainte auprès d’un commissariat de po-
lice ou d’une gendarmerie en citant les noms de domaine et iden fiants associés connus pour lesquels vos don-
nées personnelles sont u lisées à votre insu. »
Si le bureau d'enregistrement n'est pas en mesure de valider l'iden té du tulaire renseigné, l'AFNIC procédera
à la radia on des noms de domaine u lisant ces informa ons. Plus précisément, les NIC HANDLES iden fiés se-
ront supprimés, et le registrar devra procéder à la radia on des domaines concernés faute de valida on d'iden-
té (contrôle a posteriori).
Des actions à la charge... des victimes !
Un nom de domaine li gieux et enregistré sous une fausse iden té avait fait l'objet d'une procédure judiciaire
devant le TGI de Paris. Bien malgré elle, la personne renseignée au sein des informa ons whois et dont l'iden té
avait été usurpée a dû répondre de ce e a einte devant la juridic on de premier degré.
Dans une décision improbable du 2 mars 2017, le TGI de Paris a reconnu la responsabilité de ce e personne,
vic me d'une usurpa on d'iden té au sein des informa ons whois, en raison de la faiblesse des ac ons en-
treprises par ce e dernière pour demander la radia on de nom de domaine.
Elle sera à ce tre condamnée par le Tribunal de céans :
« Succombant au li ge, madame Y. qui n’a pas entrepris avec suffisamment de diligence les démarches néces-
saires au transfert ou à la suppression du nom de domaine li gieux sera condamnée à payer à madame X. la
somme de 800 euros en applica on de l’ar cle 700 du code de procédure civile ainsi qu’à supporter les en ers
dépens de l’instance. »
Double peine pour ce e vic me d'être associée indument à une ac on et d'en supporter les frais.
Face à ce précédent jurispruden el, on ne peut qu'accueillir favorablement ces deux nouvelles procédures AF-
NIC et inviter toute vic me à procéder rapidement à la vérifica on de ses données au sein des informa ons
whois, et à demander la radia on des noms de domaine concernés.
L’auteur :
Gaël Mancec | Juriste NTIC
Germain Maureau
gael.mancec@germainmaureau.com
+ 33 (0) 4 72 69 84 30
4Vous pouvez aussi lire
