La récente création de nombreux sous domaines en .qouv.fr usurpant des noms de domaine de sites .gouv.fr fait craindre le risque de campagnes d’« hameçonnage » (ou « phishing ») se faisant passer pour des administrations françaises.

• Gouv.fr cybersquatté : le g devient un q et c’est le drame

Les risques de typo- et cybersquatting des signes identitaires de l’État n'auraient commencé à être vraiment pris en compte par les autorités qu'à partir de 2022, expliquait la Direction des Affaires Juridiques (DAJ) des ministères économiques et financiers en avril 2023.

Jusqu'en 2021, la mission Appui au Patrimoine Immatériel de l’État (APIE) du ministère de l'Économie, des Finances et de la Souveraineté Industrielle et Numérique (MEFSIN), « chargée de la gestion des portefeuilles de marques » de l’État, ne s'y employait, en effet, que « de manière ponctuelle ».

En juillet 2021, le Secrétariat général de la défense et de la sécurité nationale (SGDSN) lançait un appel d'offres de « Mise en œuvre d'un service de lutte contre le cybersquattage ». Il précisait que, « dans le cadre de ses missions, l’Agence Nationale de Sécurité des Systèmes d’Information (ANSSI) souhaite lutter contre le cybersquattage ».

Le marché visait à faire établir par un prestataire externe un « service de surveillance des noms de domaine en lien avec la sphère étatique ». Il lui était également demandé une activité de conseil « sur les méthodologies retenues et la définition du périmètre surveillé, ainsi qu’une expertise juridique pouvant lui permettre de soutenir l’État dans ses démarches en cas d’attaques avérées ».

Cette activité de conseil comprenait, en particulier, la définition des typologies de cyber- et typosquattage (typovariation, homoglyphe, etc.) ainsi que des « méthodologies de détection et réaction adaptée au cadre étatique ». Le prestataire devait en outre « être force de proposition quant à la définition du service de lutte contre le cybersquattage ».

Détecter l'ensemble des cybersquattages potentiels ou avérés

Le prestataire devait ainsi mettre en œuvre une veille sur le périmètre défini pour « détecter l'ensemble des actes de cybersquattage (potentiel ou avéré) quelle que soit la méthode employée ».

« En particulier, mais sans être exhaustif », précisait l'ANSSI, son analyse devait permettre de « lever les faux positifs et distinguer les attaques avérées » nécessitant une intervention rapide en raison de leur impact sur les administrations de l'État ou les usagers.

De plus, le prestataire devait être en capacité de placer les noms de domaine pouvant servir à des fins de cybersquattage sous surveillance, afin de « monitorer leur évolution de façon à pouvoir conduire les actions nécessaires le cas échéant ».

Il devait également disposer des connaissances et du savoir-faire quant aux « différentes procédures françaises et étrangères ou méthodes permettant de résoudre les cas de cybersquattage ».

Par ailleurs, le prestataire devait aussi être en capacité d'accompagner les services juridiques compétents de l'État dans le cadre de cette prestation, « et ceci quelles que soient les procédures engagées ».

Une centaine de termes sélectionnés pour leur degré de sensibilité

La passation par l’ANSSI de ce marché global de lutte contre le cybersquattage des identités de l’État a permis de mettre en œuvre à partir de 2022 une « politique systématique » de protection contre les attaques de sites internet de l’État, « en recourant à un prestataire spécialisé et aux expertises juridiques et actions de défense de la mission APIE », précisait la DAJ :

« Une phase expérimentale s’est déroulée en 2022 en ouvrant ce service de veille et défense à quelques ministères, et portant sur une centaine de termes sélectionnés pour leur degré de sensibilité (sites collectant des données bancaires ou personnelles, sites régaliens, sites de forte fréquentation publique). »

Concrètement, l’APIE analyse la liste des noms de domaine litigieux issus de la surveillance quotidienne réalisée par le prestataire, et décide différentes actions selon le degré de menace : mise sous surveillance par le prestataire, demande de suspension du site manifestement illicite auprès de l’hébergeur, lettre de mise en demeure au propriétaire du nom de domaine pour faire cesser les atteintes identifiées.

Ces actions peuvent ensuite donner lieu à des procédures alternatives de règlement des litiges, en demandant la suppression du site litigieux ou son transfert à l’Etat, « s’il apparait stratégique », soulignait la DAJ.

Plus de 1 300 sites « manifestement illicites » bloqués en 2022

Les attaques identifiées en 2022 avaient « principalement porté sur des sites très largement consultés », comme celui des impôts ou FranceConnect, des sites relatifs au paiement des amendes, aux prestations d’assurance maladie ou de carte vitale ou à la délivrance de vignettes Crit’air.

La technique la plus fréquente était celle du « site miroir », qui copie fidèlement un site public avec des signes officiels (Marianne, couleurs bleu blanc rouge) et un nom de domaine proche de l’adresse officielle (par exemple : « impots-gouv-fr.com » ou « vignette-critair-officiel.fr »).

Même en l’absence de site actif, la configuration d’un serveur de messagerie sur un nom de domaine litigieux laissait supposer des opérations d’hameçonnage avec pour objectifs d’obtenir des paiements indus, informations bancaires, identifiants et données personnelles.

Depuis le lancement du dispositif, résumait la DAJ, « plus de 4 300 noms de domaine ont été analysés et environ 4 000 ont été placés sous surveillance ». « Près de 1 300 sites manifestement illicites » ont par ailleurs été bloqués, et des actions juridiques ont permis la suppression ou le transfert à l’État d’ « une vingtaine de noms de domaine stratégiques ».

« Au regard des résultats très positifs obtenus en un an », il a été décidé d’étendre le dispositif, « qui s’inscrit dans la priorité gouvernementale de lutte contre la fraude », à l’ensemble des ministères en 2023. « Le dispositif trouvera ainsi à s’appliquer à tous les domaines d’action et d’intervention de l’État », concluait la DAJ.

Plus de 2 500 « suspensions de sites illicites » depuis 2022

Le Service du numérique (SNUM) du ministère de l'Économie vient de publier, début août, un nouvel appel d'offres de « prestations de mise en œuvre d'un service de lutte contre le cybersquattage des signes identitaires de l'État français » pour les besoins et au bénéfice de la Direction des Affaires Juridiques de l'APIE.

À titre indicatif, l’estimation du marché est de 1,6 M€ (HT) sur la durée totale de l’accord-cadre (reconductions comprises, à savoir quatre ans), pour un montant maximum de 4,8 M€, précise le règlement de consultation (RC).

Le Cahier des clauses techniques particulières (CCTP) avance de son côté que, depuis la mise en place d'un « service interministériel de lutte contre le cybersquattage des identités de l'État », début 2022, « plus de 220 signes identitaires de l’État ont été placés sous surveillance et plus de 2 500 actions de suspension de sites illicites ont été réalisées », soit 1 200 de plus que depuis l'article de la DAJ d'avril 2023.

Il évoque également une liste d'environ 250 vocables déjà surveillés, et la possibilité de monter jusqu'à 400. À titre d'illustration, il précise que la notion de « vocable » renvoie à un terme ou une expression surveillée, de sorte que les déclinaisons de « ministère économie » puissent identifier les noms de domaine ministereeconomie.fr ou ministere-econonomie.fr, par exemple.

Les fonctionnalités de paramétrage de l'outil de surveillance seront déterminées par le titulaire, et pourront notamment inclure l’utilisation de mots-clés et synonymes, l’ajout ou l'exclusion de termes, etc.

L'administration attend de lui qu'il optimise la précision de la surveillance et affine la pertinence des résultats obtenus, l'objectif étant de fournir à l’administration « des résultats exhaustifs en excluant les résultats non pertinents ».

En réponse à une question d'un éventuel soumissionnaire, l'administration répond qu' « actuellement, 300 vocables sont surveillés », et qu'à titre d'illustration, « en moyenne » :

• « sur les 700 noms de domaine classifiés, 400 noms de domaine nous sont remontés par le prestataire, soit environ une centaine de noms de domaine par semaine ;
• un total de 3000 noms de domaine est identifié chaque mois par l'outil de surveillance ;
• sur ce total, 700 noms de domaine font l'objet d'un classement par notre prestataire actuel. »

Homoglyphes, ortho-phonétiques et caractères spéciaux

La surveillance devra permettre de détecter les noms de domaine nouvellement enregistrés « reproduisant ou imitant, sur le plan orthographique, lexical ou intellectuel le cas échéant », au sein d’un nom de domaine un vocable correspondant à un signe identitaire de l’État, y compris avec des variantes telles que :

• des caractères spéciaux ;
• des homoglyphes (tels que 1, l et I, ou 0 et O, ndlr) ;
• d'autres alphabets ;
• des modifications orthographiques ;
• des modifications ortho-phonétiques ;
• etc.

La surveillance mise en place par le titulaire devra également permettre de couvrir l'ensemble des extensions génériques (gTLDs), de pays (ccTLDs) ainsi que les nouvelles extensions (nTLDs) rendues accessibles par les registres.

Le titulaire devra aussi mettre en œuvre une procédure d'alertes, permettant d'informer l'administration de la détection de noms de domaine squattés, et lui fournir l'ensemble des informations nécessaires à la détermination des démarches/actions pertinentes à mener.

La procédure d'alerte indiquera, outre le nom de domaine détecté, les données issues de la fiche WHOIS, la présence ou non d’un serveur de messagerie ou d'une redirection, une capture d'écran horodatée du site web s'il est en ligne. Il devra aussi lui transmettre une « qualification du niveau de menace », a minima en fonction de ces trois niveaux :

• absence de menace, le nom de domaine présentant une criticité faible ;
• menace potentielle : nom de domaine présentant une criticité moyenne ;
• menace avérée : nom de domaine présentant une criticité forte et devant être traité en urgence.

Pour les menaces potentielles, la périodicité des alertes sera hebdomadaire, mais quotidienne pour les menaces avérées, afin de permettre une réaction rapide. Le titulaire devra au surplus les surveiller en continu, pour détecter l'apparition d'un contenu sur un nom de domaine inactif, les modifications de contenu sur les sites web actifs, ainsi que la configuration de serveurs de messagerie.

Des services de « takedown », « backorder » et « rachat anonyme »

Le titulaire devra aussi disposer d’une expertise en matière d’actions permettant la suspension (« takedown ») potentielle d'au moins 1 000 sites illicites par an, et la mettre à profit de l’administration. Si cette dernière le juge nécessaire, elle pourra aussi lui réclamer de signaler ces sites aux bases anti-phishing, telles que « Google Safe Browsing », ou en demander le déréférencement auprès des moteurs de recherche.

Il devra en outre proposer un service de récupération automatique de noms de domaine (« backorder ») retombant dans le domaine public, ainsi que de « rachat anonyme » de noms de domaine, « incluant la prise de contact anonyme avec le réservataire du nom de domaine, la représentation anonyme de l’administration dans les négociations, la sécurisation transaction ainsi que le transfert du nom de domaine vers l’administration ».

Le CCTP précise par ailleurs que sont expressément exclues du présent marché, les prestations suivantes :

• la gestion administrative et technique des noms de domaine ;
• les actions/démarches juridiques ayant pour objectifs la suppression ou la récupération d'un nom de domaine, notamment :
• levée d'anonymat ;
• procédure de vérification d'éligibilité/de joignabilité du réservataire du nom de domaine ;
• lettre de mise en demeure/demande de modification du contenu d'un site Internet ;
• procédures alternatives de résolution des litiges en matière de noms de domaine (dites, procédures PARL), telles que les procédures UDRP, Syreli, etc.

En mai 2023, Next avait aussi relevé que les services de la Première ministre venaient de lancer un appel d'offres de gestion de leurs 2 600 noms de domaine (GÉNOME), dont 383 actifs (en .fr, .com, .org, .eu, .net et .info), et 2 211 « parqués » (y compris en .paris, .biz, .mobi, .app, .tv, .club, .xyz, ainsi qu'un .xxx, a priori assigné aux sites à caractère pornographique). À ce jour, l'avis d'attribution n'a toujours pas été publié.

• Matignon remet en vente la gestion, confiée à Gandi, de ses 2 600 noms de domaine

Vous trouverez ci-après la description initiale du projet de « Mise en œuvre d’un service de lutte contre le cybersquattage » rédigée par l'ANSSI en 2021, suivie du CCTP de l'appel d'offres de « prestations de mise en œuvre d'un service de lutte contre le cybersquattage des signes identitaires de l'État français » de 2024 :