Aller au contenu Aller au menu principal Aller au menu secondaire Aller au pied de page

Usurpation d’identité par nom de domaine : ce que fait l’Afnic

Accueil > Observatoire & ressources > Papiers d’experts > Usurpation d’identité par nom de domaine : ce que fait l’Afnic
Le 10/09/2018

Le temps s’écoule paisiblement quand soudain on vous accuse de tous les maux ou presque et tout cela parce que votre identité est usurpée par un nom de domaine… voire plusieurs. Comment ? Quand des noms de domaine sont enregistrés en utilisant tout ou partie de vos données personnelles (patronyme et coordonnées).

Dans la plupart de ces cas, vous êtes alors, à votre insu, victime de noms de domaine utilisés par des tiers pour des actes de cybercriminalité : escroqueries, ventes de produits contrefaits, arnaques aux entreprises, diffamation, etc.

Dans un jugement du Tribunal de grande instance de Paris rendu le 02 mars 2017, Madame X. constate qu’un tiers identifié dans la base Whois du .fr comme étant Madame Y. avait enregistré en novembre 2016 un nom de domaine utilisé pour exploiter un site de vente en ligne de chaussures et accessoires, site vraisemblablement frauduleux. Or dans cette affaire, madame Y. n’était pas à l’origine de l’enregistrement du nom de domaine litigieux. Cet enregistrement résultait d’une usurpation de son identité.

En matière d’usurpation d’identité pour l’enregistrement d’un nom de domaine, l’Afnic et les bureaux d’enregistrement sont amenés à intervenir, dans la limite de leurs prérogatives, lorsqu’ils sont saisis par les victimes de ces procédés.

Depuis 2015, l’Afnic a identifié et traité 50 demandes relatives à des usurpations d’identité dans l’enregistrement de 115 noms de domaine[1].

Si à notre niveau nous ne recensons que peu de cas par rapport au nombre total de noms de domaine enregistrés en .fr (3 millions), il n’en demeure pas moins que ces pratiques peuvent avoir des impacts sur les victimes susceptibles de devoir rendre des comptes, sans savoir pourquoi, aux forces de l’ordre ou dans le cadre de procédures judiciaires ou extra judiciaires.

C’est dans ce contexte que l’Afnic vient vous alerter, vous informer et lorsqu’elle le peut intervient.

L’Afnic vous alerte !

Tout d’abord nous vous invitons à la vigilance dans votre navigation et votre utilisation de l’Internet.

Pour ce faire, il est important d’adopter de bonnes pratiques pour protéger vos données personnelles et notamment :

  • Ne pas se connecter à un site web ni commander des produits en ligne ou exercer toute autre action sans avoir vérifié au préalable : le nom et l’existence légale de l’éditeur du site, les conditions de vente ou de fourniture de services, la sécurité du site (URL en https, certificat de sécurité par la présence d’un cadenas vert), ou encore la cohérence du site (logo, pages, contenus cohérents, présence de mentions légales non factices, etc.).
  • Ne pas divulguer ses données personnelles y compris sur les réseaux sociaux.
  • Se méfier des sites de ventes litigieux ou de sondages non sérieux, prétextes à la collecte de données identifiantes ensuite revendues à des tiers pour des utilisations frauduleuses.
  • Ne communiquer que les données personnelles pertinentes via des canaux sécurisés.
  • Configurer vos outils en mode privé.
  • S’informer et se former à la sécurité numérique et à la protection de son identité numérique grâce aux sites web suivants :
  • Pouvoir se défendre en mettant dans ses favoris le site internet Cybermalvaillance.gouv.fr qui propose un dispositif d’assistance aux victimes d’actes de cybermalveillance.

L’Afnic vous informe !

Même avec de bonnes connaissances et de bonnes pratiques le risque d’usurpation d’identité par nom de domaine existe.

Il est important de rappeler qu’il n’y a pas de contrôle a priori des enregistrements des noms de domaine.

En application du cadre légal propre aux noms de domaine en .fr, l’Afnic ne procède à aucun contrôle préalable des demandes d’enregistrement, à l’exception de celles portant sur les termes soumis à examen préalable dans les conditions prévues par la charte de nommage. L’enregistrement d’un nom de domaine s’effectue sur la base des déclarations faites par le demandeur et sous sa seule responsabilité.

Ainsi, au moment de l’enregistrement, l’Afnic n’a pas d’obligation de contrôle ni de vérification de l’identité du titulaire du nom de domaine. Par conséquent l’Afnic ne peut être tenue responsable d’informations erronées, fausses, mensongères ou de toute omission au sein de la base de données « Whois ». De même elle ne saurait voir sa responsabilité engagée du fait de l’enregistrement et/ou de l’utilisation d’un nom de domaine, ni de leurs conséquences dommageables directes ou indirectes.

Compte tenu de ces modalités d’enregistrement des noms de domaine sans vérification préalable d’identité, les autorités publiques dans le cadre de leurs investigations ainsi que les personnes privées confrontées à de la cybercriminalité par noms de domaine doivent permettre à une personne figurant à son insu dans la base whois de démontrer qu’elle est victime d’une usurpation d’identité.

Le Collège SYRELI s’est trouvé devant cette situation notamment dans la décision FR-2018-01537. En l’espèce, l’Afnic avait notifié l’ouverture de la procédure au titulaire en utilisant l’adresse électronique ainsi que l’adresse postale figurant dans le Whois ; or les coordonnées postales du titulaire se sont avérées être celles de la victime d’une usurpation d’identité. Dans le cadre de la procédure SYRELI, la victime peut alors répondre sur la plateforme pour se défendre et donner un accord à la demande du Requérant qui obtient ainsi la transmission ou la suppression du nom de domaine litigieux.

L’Afnic intervient !

Les dispositions de la charte de nommage permettent à l’Afnic de procéder à des opérations de vérification ou de contrôle dans des conditions précises présentées sur le site de l’Afnic et expliquées dans sa brochure juridique : Guide pratique à l’attention de l’ayant droit.

Par ailleurs, la fourniture de données inexactes par le titulaire peut emporter la suppression de l’enregistrement du nom de domaine correspondant dès lors que l’Afnic a permis au titulaire d’un nom de domaine de régulariser sa situation.

En cas d’usurpation d’identité dans le cadre de l’enregistrement de noms de domaine, la première des choses à faire est de déposer plainte auprès d’un commissariat de police ou d’une gendarmerie. Munie de cette plainte, l’Afnic demandera au bureau d’enregistrement de contacter son client, titulaire du nom de domaine en cause, et d’apporter une réponse dans les meilleurs délais. En parallèle, l’Afnic procédera au gel du nom de domaine. Le nom de domaine sera supprimé dès lors que le bureau d’enregistrement n’aura pu valider l’identité du titulaire, confirmant ainsi l’usurpation.

C’est ainsi que, face à ce type de situation, l’Afnic met en œuvre avec le bureau d’enregistrement auprès duquel le nom de domaine a été enregistré, toutes les diligences à sa disposition pour mettre un terme rapide à l’usurpation d’identité avérée.

 

 

 


[1] Ces chiffres prennent en compte uniquement les usurpations d’identité de personne physique pour l’enregistrement de noms de domaine.