Les abus sur les noms de domaine toujours plus nombreux et sophistiqués

Sur Internet, des noms de domaines sont détournés et utilisés par des personnes malveillantes. Les techniques sont nombreuses – cybersquatting, phishing, spam… – et deviennent plus perfectionnées avec le temps. Gaël Mancec, juriste NTIC chez Germain Maureau, propose un tour d’horizon… qui incite à redoubler de vigilance.

Il y a quelques semaines, nous avons publié la première partie de notre dossier sur les noms de domaine. Nous avions notamment expliqué les différences importantes entre ceux avec deux lettres – qui appartiennent aux pays – et les autres, avec trois lettres ou plus.

• C’est quoi un nom de domaine, les différences entre ccTLD et (New) gTLD

Durant les « rencontres juridiques » de l’Afnic, un panorama a été dressé sur les nombreux types d’abus liés aux noms de domaine… un vaste et inquiétant sujet. Marianne Georgelin, directrice juridique de l’Afnic, ouvrait le bal.

Rappel des grands classiques : Vitale, Amendes, ANTS…

Elle a commencé par un rappel, qui ne surprendra personne : « On surveille les enregistrements, c'est une évidence. On s'intéresse à certains termes problématiques ». Il y a ainsi des tendances de fond autour des thématiques comme la carte vitale, l’ANTS (Agence nationale des titres sécurisés), les amendes et l’URSSAF.

On retrouve aussi « du gouv, bien sûr », même si depuis longtemps les noms de domaines en « -gouv.fr » ne sont plus autorisés. Une protection d’autant plus utile que le gouvernement recentre ses services officiels vers des noms de domaine en *.gouv.fr.

Du côté des marques, les grands classiques sont toujours plus ou moins les mêmes : Chronopost, La Poste, Colis, les différentes banques, Disney, Netflix, Amazon… et finalement « toutes les plateformes qui vont nécessiter de se connecter avec des codes et des moyens de paiements… C’est à foison ». De nombreuses procédures concernant les abus passent par Syreli (ou une procédure UDRP), ajoute Marianne Georgelin.

• Syreli de l’Afnic : la résolution des litiges sur les noms de domaine .fr

« L’usage email est aujourd'hui quasiment plus fort en termes d'abus que l’usage web »

Gaël Mancec, juriste NTIC chez Germain Maureau, prend la parole pour un tour d’horizon des abus auxquels il a été confronté. Il commence par rappeler qu’un nom de domaine, ce n’est pas uniquement un site internet, c’est également une adresse email. « C'est d'autant vrai que l'usage email est aujourd'hui quasiment plus fort en termes d'abus que l'usage web, c'est-à-dire le site internet du nom de domaine ».

L’image ci-dessous regroupe les différents types d’abus que l’on peut rencontrer.

Le cybersquatting, « est de moins en moins présent par rapport aux autres types d'abus », affirme Gaël Mancec. Situation inverse pour le phishing : « C'est vraiment aujourd'hui le gros sujet sur les noms de domaine. Les demandes qui arrivent sont désormais principalement liées à des problématiques de phishing ».

Autre point noir, le spam : « malgré tous les protocoles mis en place […] ce sont des choses qui existent encore aujourd'hui »… et massivement, pourrait-on préciser. Quant aux différents protocoles SPF, DKIM et DMARC, ils n’étaient pas tous implémentés par les quatre fournisseurs d’accès à Internet nationaux lors de notre tour de table (en mars de cette année).

• • Sécurité des emails : trop peu de « .fr » sont protégés, quid des quatre FAI nationaux ?

Enfin, les logiciels malveillants et botnets ne sont pas dans le champ d’action du juriste. Cela concerne davantage des solutions de sécurité.

Des attaques qui passent IRL avec les codes QR

« La petite nouveauté, et c'est un des effets secondaires du covid, est que l'on a eu beaucoup de codes QR […] Un code QR, c'est un petit peu la même logique qu'un raccourcisseur d'URL. On ne sait pas vraiment sur quoi on va arriver ». Et c’est toujours problématique sur Internet de ne pas savoir sur quel site on est redirigé, on risque de tomber sur une contrefaçon (plus ou moins bien faite).

« Ce sont des atteintes qui sont passées IRL (In Real Life). On est sur des impressions papier avec des faux avis de stationnement, des faux avis de passage et des contraventions distribués dans des boîtes ». Nous en parlions l’année dernière déjà. Et cela ne concerne évidemment pas que la France.

Toujours être prudent face aux codes QR que l’on peut trouver un peu partout, d’autant qu’ils peuvent rediriger vers le bon site, mais après une série de redirections « invisibles ». On en reparle un peu plus loin avec la fraude au clic.

• • Tentative d’arnaque avec un faux avis de passage de La Poste, un code QR et une faille

Dans l’enfer des annonces sponsorisées

Les annonces sponsorisées pour des arnaques sont toujours très populaires, notamment dans le milieu des cryptos, explique Gaël Mancec, surtout « en période de fête ». Et il rappelle un fait que l’on a parfois tendance à oublier : « Google, avant d'être un moteur de recherche, c'est un annonceur. Et il discrimine de moins en moins les résultats naturels des résultats payants ».

Des attaquants vont en profiter pour « se positionner sur des domaines extrêmement similaires à des noms de domaine légitimes ». Ils vont mettre « un petit peu de budget » pour apparaitre en premier dans les recherches. Et comme les contenus publicitaires ont tendance à se fondre de plus en plus dans la masse, c’est d’autant plus simple d’attirer des visiteurs.

Le juriste explique que, d’un point de vue légal, le problème vient aussi de l'aspect pas toujours reproductible de ce type d’abus. La raison est simple : un annonceur sur Google peut cibler très précisément des requêtes ou des zones géographiques.

Des robots chinois à fond sur les dépôts de marque

Durant la conférence, Gaël Mancec détaille une « combine » qu’il a découverte : « j'ai analysé tous les dépôts de marque réalisés auprès de l’EUIPO [Office de l’Union européenne pour la propriété intellectuelle, ndlr ] sur six mois. J’ai fait toutes les conversions en noms de domaine et je me suis rendu compte que des équipes asiatiques ont des robots qui surveillent les dépôts de marque USPTO [United States Patent and Trademark Office, ndlr] ou EUIPO et génèrent toutes les déclinaisons possibles des noms domaines en .com pour vérifier la disponibilité ». Si le nom de domaine est disponible, il le réserve dans le but de le revendre par la suite à la marque.

Il ajoute que ces équipes ont visiblement des moyens financiers pour réserver des milliers de noms de domaine (Gaël Mancec en a dénombré pas moins de 6 000 en six mois). Les attaquants se positionnent ensuite de « manière intelligente » niveau tarif.

Ils proposent généralement les noms de domaine juste en dessous du coût d’une procédure de type UDRP (que nous avons évoqué dans notre précédent article). Résultat des courses : « beaucoup de sociétés vont privilégier un rachat » car plus rapide et un peu moins coûteux.

Louper son renouvellement peut coûter cher, y compris aux contribuables

Via l’exemple de certaines collectivités territoriales, le juriste revient ensuite sur une petite erreur qui peut coûter cher et avoir de graves conséquences : oublier de renouveler des noms de domaine. Cela n’arrive d'ailleurs pas qu’aux autres, pensez à vérifier ce qu’il en est pour vous !

Les noms de domaines de nouveau disponibles sur le marché vont être « rachetés par des tiers qui vont mettre en place des faux sites administratifs ». Ils vont récupérer des informations et faire payer des dizaines d’euros des procédures normalement gratuites.

Cerise sur le pirate : les faux sites profitent d’un bon référencement et d’un trafic naturel acquis par l’ancien propriétaire, de quoi rendre l’arnaque encore plus rentable et rapidement. Que demander de plus ? Pensez à renouveler vos noms de domaines !

Voilà les fake shops

Une nouveauté prend de l’ampleur cette année : les fake shops. Il n’est pas ici question de faire la promotion d’un produit ou d’un service contrefaisant. On parle bien de « sites qui se présentent comme des sites de contrefaçons, mais qui ne livrent absolument rien ». Après le dropshipping, voici donc le noshipping.

Souvent, ce genre de boutique associe une marque à un pays (avec un tiret entre les deux par exemple). L’intervenant note tout de même un changement de comportement depuis le début de l’année. Les boutiques passent sur des noms de domaines génériques (c’est-à-dire sans être associées à des marques) et pour éviter de tomber sous le coup d’une procédure UDRP.

Préventivement, il est possible d’établir une stratégie SEO et prendre en compte les intentions de recherche, même si elles ne sont pas dans la cible des marques. Un exemple avec Louis Vuitton : « Ils ont fait quelque chose d'assez intéressant. Si vous cherchez "Louis Vuitton pas cher", ils ont fait une page dédiée qui apparaît en premier résultat ». La marque y rappelle sa politique de prix – « jamais de soldes, de promotion ou de réduction ». Cela évite de laisser un boulevard aux fake shops.

Fraude au clic et à la redirection

Un autre type d’abus concerne le click fraud ou fraude au clic. Dans cette configuration, un nom de domaine n’est pas utilisé pour du phishing ou de la (fausse) vente de produits, mais redirige vers un site ayant pignon sur rue, Google (par exemple).

Sauf qu’avant d’arriver sur le moteur de recherche, on passe par plusieurs redirections avec des liens d’affiliation au passage. Ces redirections peuvent aussi générer des clics virtuels pour augmenter le coût de campagne publicitaires d’un concurrent par exemple.

Profiter de l’absence d’une société sur Internet

D’autres abus consistent à scanner le registre du commerce avec des codes APE pour cibler certains types de marché (le bois, les granulés et les poêles en hiver par exemple). Si des sociétés n’ont pas de présence en ligne, cela laisse un « boulevard » à des attaquants pour monter une arnaque en se faisant passer pour une société réelle.
Sur ces sites, on retrouve donc des mentions légales, de vrais numéros de SIREN et TVA, la bonne adresse postale, etc. En cas de vérification par un client sur un site type societe.com ou pappers.fr, les informations correspondront. Seules différences : le numéro de téléphone et l’email (rattaché au nom de domaine qui appartient à l’attaquant). Si vous appelez, envoyez un email ou passez directement commande, vous tombez dans le piège.

[caption id="attachment_120342" align="aligncenter" width="800"] Crédits : Gaël Mancec, Germain Maureau Conseils - Les rencontres juridiques de l'Afnic 2023[/caption]

Gaël Mancec donne une petite « astuce » : vérifier si le numéro de téléphone mis en avant sur le site vient de l’opérateur virtuel Onoff : « Ça peut déclencher des alertes […]. C'est un opérateur de SIM virtuelles. C’est quelque chose de très légitime, mais très utilisé dans le milieu de la cybercriminalité  […] Même s’ils répondent plutôt bien aux réquisitions », explique Gaël Mancec.

• • onoff : on a testé l’application de Taïg Khris qui multiplie les numéros de mobile

L’Arcep permet pour rappel d’identifier un opérateur à partir des premiers chiffres du numéro (hors portabilité).

Pirater des boîtes email et rester dans l’ombre pendant des mois

Pour des attaques par email, des personnes mal intentionnées vont se servir de toutes les informations disponibles sur Internet.

Depuis 2019, les informations du registre du commerce et des sociétés sont en open data (gérées par l’INPI). Cela permet assez facilement de « récupérer des PV d’assemblées générales, donc des signatures et des tampons légitimes », ainsi que les trois derniers compte de résultats. Les pirates passent alors des commandes de palettes en se faisant passer pour légitimes. Ils profitent du paiement à +30/45 jours pour détourner la marchandise avant de disparaitre.

Le juriste passe à une attaque plus complexe, de « très très haut niveau ». Un pirate va compromettre une boite email et suivre les échanges (pendant des mois s’il le faut) jusqu’à ce qu’une transaction arrive. Il va remplacer les pièces jointes et le texte contenant les informations de paiement par d’autres éléments afin de récupérer les fonds (il mettra son RIB par exemple). Une attaque de type « man in the middle » avec beaucoup de patience.

Lors de l’envoi des faux documents, le pirate utilise un nom de domaine très proche pour continuer les échanges. Son interlocuteur va continuer à répondre au même fil de discussion. Il ne va pas forcément se méfier et voir le changement.

Ce type d’arnaque est très lucratif : « Le préjudice moyen est à cinq, six, sept chiffres. On est vraiment sur des montants moyens de plusieurs centaines de milliers d'euros ».

[caption id="attachment_120339" align="aligncenter" width="800"] Crédits : Gaël Mancec, Germain Maureau Conseils - Les rencontres juridiques de l'Afnic 2023[/caption]