FIC 2023 4 enjeux essentiels pour survivre dans le Far West des noms de domaine

Le nom de domaine est l’un des premiers éléments constitutifs de l’identité numérique d’une entreprise et de sa présence en ligne. Paradoxalement, c’est encore l’un des sujets les plus confus à gérer du fait de règles évolutives, d’acteurs intermédiaires pas toujours fiables et d’absence de gouvernance au sein des entreprises. Lors du FIC Europe 2023, une table ronde d’experts a passé en revue tous les enjeux techniques, juridiques et marketing que recèle un nom de domaine.

Le nom de domaine (DNS) est tout sauf un gadget anodin. Il est celui qui va véhiculer sur le Web le nom d’une entreprise ou d’une marque de produit. Il est celui qui va traduire l’adresse IP chiffrée d’un site Internet en un nommage intelligible et mémorisable pour n’importe quel internaute. A ce nom de domaine s’ajoute ensuite une extension qui va catégoriser le site selon un périmètre géographique (.fr pour la France, .de pour l’Allemagne, .it pour l’Italie ou encore le .com pour le monde) ou une activité sectorielle (.org pour les ONG, .tv pour les médias, etc). In fine, le nom de domaine est véritablement la signature numérique d’un acteur économique, gouvernemental, associatif ou autre.

Enjeu n°1 : déposer des noms de domaine, oui mais lesquels ?

Avocate spécialisée en propriété industrielle au cabinet Lexing Alain Bensoussan Avocats, Virginie Brunot connaît bien la première étape du dépôt de nom de domaine pour éviter que celui ne soit enregistré par un tiers (et donc inutilisable pour soi) ou pire par quelqu’un de mal intentionné qui détourne le trafic Web vers un faux site à des fins illégales. Pendant longtemps, les entreprises ont donc adopté une stratégie simple (mais relativement coûteuse) : enregistrer massivement le plus d’adresses possibles pour limiter ainsi les risques d’usurpation et se protéger.

Aujourd’hui, cette position est devenue intenable économiquement au fur et à mesure des nouvelles extensions apparues sur le marché qui sont au nombre d’environ 1 500 dans le monde entier. Pour Virginie Brunot, il convient donc de s’interroger sur les DNS essentiels à l’entreprise (généralement, le .com, le .fr pour un acteur français et éventuellement le .tv ou .media s’il s’agit par exemple d’un organe de presse).

Une fois le dépôt effectué auprès d’un bureau d’enregistrement agréé, il est recommandé de mettre en place une veille fine sur de nouveaux dépôts qui interviendraient sur des DNS non retenus par l’entreprise. Objectif : savoir qui est derrière cet acte et anticiper éventuellement un potentiel risque de malveillance si l’adresse devient active par la suite.

Enjeu n°2 : minorer le risque d’usurpation de DNS

C’est sans doute le point le plus crucial dans la gestion d’un portefeuille de noms de domaines. Si les DNS laissés libres (car jugés non essentiels) ne doivent pas pour autant être laissés sans surveillance, il en est de même pour les noms de domaines approchants (à un caractère près par exemple). Le risque d’être victime de typosquatting est particulièrement fort et nombreux sont les escrocs à y recourir. Directrice commerciale du bureau d’enregistrement chez NameShield, Muriel Bochaton note que ce genre d’action représente près de 15% des litiges liés aux noms de domaine. Avec des conséquences non négligeables : l’internaute peut être victime d’une rançon ou son appareil infecté par un malware dès que la connexion avec le site pirate est établie.

Le risque est d’autant moins neutre que la vérification de l’identité des demandeurs pour enregistrer des DNS n’est pas forcément contraignante. En France, hormis le « .gouv.fr » strictement interdit à tout acteur en dehors de l’État français, les autres extensions restent disponibles. Elles le sont sur le principe du « premier demandé, premier servi » selon les règles édictées par l’ICANN (Internet Corporation for Assigned Names and Numbers), l’autorité de régulation mondiale d’Internet.

Même en France, l’AFNIC (Association française pour le nommage Internet en coopération), en charge du « .fr », a fini par assouplir ses exigences et s’aligner sur la position internationale. L’identité des demandeurs est donc vérifiée a minima sur la base de leur bonne foi morale et sans toujours fournir des éléments comme un nom de contact, une adresse physique ou un téléphone.

C’est là où il convient de bien choisir son bureau d’enregistrement quand on procède à un dépôt de DNS. La plupart des acteurs sont des entités privées à vocation commerciale. Certains encouragent fortement les demandeurs à faire des enregistrements sur les nouvelles extensions qu’ils créent et vendent mais se dédouanent ensuite lorsque des abus du genre cybersquatting surviennent et restent aux abonnés absents.

Enjeu n°3 : quels recours pour protéger ses DNS ?

Avant même d’envisager le piratage ou le cybersquatting, il est une action à mener impérativement et qui est pourtant assez souvent oubliée selon Nicolas Pawlak, qui réalise une veille quotidienne sur les noms de domaine malveillants sur son site « Red Flag Domains » : la date d’expiration du dépôt de DNS. Si le renouvellement n’est pas effectué dans le temps imparti, l’adresse redevient disponible pour quiconque. Il s’agit donc de planifier rigoureusement les échéances pour éviter un tel cas de figure qui peut rendre un site Web inutilisable.

Ensuite, face à un abus constaté, l’entreprise dispose de plusieurs recours pour rendre inactif le site litigieux. En France, elle peut formuler une requête auprès de l’AFNIC pour que celui-ci soit bloqué dans un premier temps puis supprimé si le délit est avéré. La procédure prend entre 2 et 7 jours selon la complexité du cas. D’autant plus que les dossiers ne sont pas toujours évidents. A cet égard, Nicolas Pawlak a cité l’amusante anecdote autour du DNS « mamie est chaude.fr ». Sur le coup, un site pornographique était suspecté. En fin de compte, l’adresse renvoyait vers le site Web d’un boulanger de Versailles !

Le bureau d’enregistrement via lequel les DNS ont été déposés, peut aussi être un allié utile pour entreprendre les démarches face à une dérive avérée. L’hébergeur du site suspect peut également être sollicité mais sans garantie de temporalité courte. Enfin, une fois que le DNS délictueux ou usurpé est radié, l’entreprise peut aussi demander le transfert de ce dernier s’il est considéré comme essentiel dans la gestion de son portefeuille d’adresses.

Enjeu n°4 : s’astreindre à un nommage cohérent et une vraie gouvernance

Autant il est capital d’avoir des noms de domaine signifiants et facilement mémorisables, autant il est fortement conseillé d’avoir une stratégie de nommage homogène pour son portefeuille d’adresses. Jérôme Guihal de l’Anssi déplore que certaines entreprises fassent preuve d’un certain laxisme dans le nommage de noms de domaines qu’elles vont ensuite utiliser.

Le cas de La Poste a été évoqué. Pour ses différents services en ligne, le numéro 1 français de la distribution de courrier n’hésite pas à enregistrer des noms de domaine où ne figure plus la mention « la poste.fr ». C’est le cas notamment pour les activités de Colissimo où le libellé du DNS est totalement différent.

Aux yeux de l’expert, il s’agit certes d’un risque moindre en termes de sécurité pure mais cela peut brouiller la compréhension des internautes. Ceux-ci peuvent en effet penser qu’il s’agit d’une énième opération de phishing ou de site frauduleux et ne pas cliquer sur la notification pourtant vraie qui leur a été envoyée.

Il ressort donc la nécessité absolue pour une entreprise de mettre en place une gouvernance dans la gestion de ses noms de domaines. Et ce pour éviter d’en perdre la jouissance, d’être piraté ou usurpé, voire d’introduire la confusion auprès de ses publics. A cela s’ajoute la précaution de bien choisir son bureau d’enregistrement pour disposer d’un partenaire fiable en toutes circonstances.