Le groupe Chantelle a récemment été victime d’un acte de phishing et d’usurpation d’identité.
Le nom de domaine litigieux « groupe-chantelle.com », a été enregistré le 21 septembre 2016 par un tiers illégitime. Sa composition est quasi identique au nom de domaine du site officiel du groupe : « groupechantelle.com ». Aucun site Internet n’a été associé au nom de domaine litigieux. On pourrait ainsi a priori penser que le risque d’atteinte est faible. Cependant, des adresses e-mails ont été créées sur la base de ce nom de domaine, usurpant l’identité de collaborateurs de la société Chantelle S.A. Elles ont ensuite été utilisées pour envoyer des courriels à certains des partenaires de la société, les informant d’un changement des coordonnées bancaires.
Une semaine après l’enregistrement du nom de domaine litigieux, la société Chantelle S.A. a déposé une plainte auprès du Centre d’arbitrage et de médiation de l’Organisation Mondiale de la Propriété Intellectuelle qui, le 5 décembre 2016 a ordonné le transfert du nom de domaine litigieux au profit de la requérante. Selon l’expert de l’OMPI, «il est incontestable que les actes d’usurpation d’identité auxquels s’est livré le Défendeur sont constitutifs de mauvaise foi. L’enregistrement du nom de domaine litigieux n’a pour seul objectif que de se faire passer pour le Requérant, tromper ainsi les partenaires du Requérant et plus généralement les consommateurs tout en créant une confusion avec les marques du Requérant ». La décision est consultable dans son intégralité sur le site de l’OMPI.
Cette affaire illustre l’importance de la stratégie de surveillance et de pré-contentieux en matière de noms de domaine. Une fois que les actes de phishing sont découverts, il est important d’obtenir dans un premier temps le blocage du nom de domaine en agissant auprès du registrar et de l’hébergeur afin de faire cesser l’atteinte très rapidement. Ce qui a peut-être été entrepris. Dans un deuxième temps il peut être opportun d’engager une procédure UDRP.
Pour rappel dans le cadre d’une procédure UDRP, il revient au plaignant de prouver cumulativement que :
- l’enregistrement du nom de domaine est identique ou similaire au point de prêter à confusion avec sa marque,
- le titulaire ne dispose d’aucun droit ni d’aucun intérêt légitime sur le terme,
- le nom de domaine litigieux a été enregistré et est utilisé de mauvaise foi.
Il est important de préciser que la requérante a pu ne pas se contenter d’une simple procédure UDRP et a intenté des actions complémentaires en parallèle.
Les limites de la procédure UDRP
Mais les conséquences de l’usage qui a été fait du nom de domaine dans cette affaire illustrent bien les limites de cette procédure UDRP. En effet, si dans la plupart des cas elle est un moyen rapide et efficace de récupérer un nom de domaine cybersquatté (et SafeBrands peut annoncer à ce jour 100% de succès sur les actions intentées), elle présente certains désavantages :
- Le coût de la procédure est à la charge de la victime
Le coût d’une procédure UDRP n’est pas négligeable notamment si on le compare au prix de réservation d’un nom de domaine. La taxe pour engager la procédure devant l’OMPI est de 1500 USD auxquels s’ajoutent souvent des honoraires si la victime se fait représenter par un spécialiste. Il n’existe pas de dispositif à l’image de notre article 700 du Code de Procédure Civile permettant de condamner le cybersquatteur aux dépens de la procédure.
- Elle ne permet pas de réparer les dommages causés
Si la philosophie d’une décision de justice est de tendre à remettre les parties dans l’état où elles se trouvaient avant le litige (dommages et intérêt, dédommagements, dépens…), l’UDRP ne prévoit pas de dispositifs permettant à la victime d’être dédommagées des pertes financières et/ou des conséquences négatives dues au cybersquatting. Dans cette affaire on a pu constater que les dommages étaient importants tant sur le plan financier que sur le plan de l’image de l’entreprise auprès de ses partenaires ciblés par les escrocs.
Ainsi cette procédure a certes permis de faire cesser l’atteinte dues à l’usurpation d’identité mais n’a pas permis de réparer les dommages causés.
- La décision est susceptible d’appel devant les juridictions nationales du défendeur (cybersquateur)
Si dans la plupart des cas les cybersquatteurs se conforment à la décision de l’OMPI en « lâchant » le nom de domaine, il arrive que certains interjettent appel de la décision. Or l’appel est jugé devant les juridictions de droit commun du pays du défendeur/cybersquatteur. Le coût d’une représentation devant certaines juridictions peut vite atteindre plusieurs dizaines de milliers d’euros avec des garanties de succès aléatoires.
La stratégie des entreprises peut conduire au recours systématique à l’UDRP selon le principe du refus de négocier avec les cybersquatteurs. Cette stratégie bien que couteuse au départ peut s’avérer payante à terme. En effet, elle découragera les cybersquatteurs car ils sauront qu’ils ne pourront tirer aucun bénéfice si leur but est de négocier une cession du nom de domaine, ce qui n’est pas le cas dans cette affaire dans laquelle le but avéré est un détournement de fonds.
Les alternatives à l’UDRP
D’autres alternatives moins couteuses donnent de très bons résultats en termes de récupération de noms de domaines.
- La récupération amiable
Elle présente le double avantage de récupérer le nom à moindre coût en faisant valoir ses droits et, en cas d’échec dans la négociation, de caractériser la mauvaise foi du titulaire pour une éventuelle action (UDRP ou autre). Il arrive que la mauvaise foi ne soit pas caractérisée au sens des critères requis pour une action devant l’OMPI et lors la négociation en vue d’une récupération amiable, le fait pour le titulaire d’exiger une somme déraisonnable pour céder le nom de domaine suffira à caractériser la mauvaise foi.
L’expérience de SafeBrands en la matière permet de récupérer 8 noms sur 10 par ce biais.
- La vérification des données whois
Procédure plus méconnue que les autres, elle consiste en une demande de vérification des données whois auprès de l’ICANN qui contraindra le registrar du nom de domaine objet du litige a contacter le titulaire. Si les données whois sont erronées le registrar devra bloquer le nom ou le supprimer. En cas de suppression, il suffira ensuite de placer un Back Order sur le nom afin de pouvoir le récupérer automatiquement dès sa retombée dans le domaine public.
- Cessation d’atteinte
Cette affaire met en lumière que l’utilisation d’un nom de domaine cybersquatté peut occasionner des dommages importants aux victimes notamment par le biais du phishing. Dans ce type de cas SafeBrands dans le cadre du développement de son outil de surveillance a tenu à mettre en avant 2 informations primordiales dans les rapports de surveillance :
1 – détection de l’activation des serveurs de messagerie e-mail :
Cette information disponible dans nos rapports de surveillance permet de savoir si des serveurs de messagerie associés au nom de domaine sont activés et ainsi avoir une présomption de campagne de phishing.
2 – le Registrar :
Notre expérience et notre présence sur ce marché depuis bientôt 20 ans nous permet d’avoir une bonne connaissance des acteurs et nous permet d’orienter nos clients aussi en fonction du niveau de collaboration d’un registrar.
Fort de ce niveau d’information, la victime doit être capable de connaître l’ampleur d’une atteinte et vouloir la faire cesser avant toute action en vue de récupérer le nom litigieux. Dans cette affaire on peut constater qu’il s’est passé plus de 2 mois entre la réservation du nom et la décision de l’OMPI.
- Une stratégie de protection bien définie en amont
Le nom de domaine litigieux est la reprise quasi-identique du nom de domaine officiel utilisé par le Groupe Chantelle où les 2 termes sont séparés par un tiret. Les bonnes pratiques de réservation et de sécurisation des noms de domaine impliquent que si 2 termes sont contenus dans un nom de domaine, il convient systématiquement de sécuriser la version avec et sans tiret.