Les institutions publiques devraient mieux protéger leurs noms de domaine

Particulièrement les collectivités territoriales

En jouant avec http://iqwhois.com, un "white" acteur trouve une liste de noms de domaines enregistrés/gérés par la même personne : monétisation de services gratuits, site avec du faux "gouv" dedans ... Selon lui, « une belle pourr ... ure exploitant les plus crédules » [1].

Dans le même style, le rachat des noms de domaine expirés des communes pour remonter un site proposant la réalisation d’actes administratifs ... payants. Cet acteur explique avoir déjà « eu le cas pour un client (collectivité), face à une agence web bien gonflée ».

En lui répondant sur Twitter, je tente de lister les raisons à l’origine de ces arnaques :

– Les collectivités territoriales ne font pas comme les sociétés commerciales dans le préventif. Elles n’investissent pas l’argent nécessaire pour acheter les deux ou trois dizaines de variantes les plus évidentes de leur nom de domaine. Déjà, un tel achat préventif — à renouveler tous les ans — peut être trop cher pour les petites villes. De plus, cela implique l’embauche d’un spécialiste de la propriété intellectuelle, un poste rare en collectivité.

– Le droit des noms de domaine : les règles d’enregistrement des .fr restent assez libérales. Il y a bien l’art. L 45-2 CPCE : l’AFNIC peut peut refuser si le nom de domaine est « identique ou apparenté à celui [...] d’une collectivité territoriale ou d’une institution publique »
Mais la pratique (elle le dit elle-même) de l’AFNIC n’utilise pas — et de loin — tout le potentiel de l’art. L 45-2. Apparemment, elle informe au mieux — mais ne bloque pas.
Le "white" acteur précité confirme : « Oui, elle se "réserve le droit de", mais cherche également une certaine neutralité, équilibre périlleux. Et même en procédure Syreli c’est compliqué, cf l’historique du contentieux Dataxy (C. Casss. c/ un refus en Syreli) et récemment. Concernant les collectivités territoriales, retour de Dataxy devant le collège Syreli concernant un nom de commune. On se rappellera de la saga Saône-et-Loire où Dataxy avait in fine perdu en Cour de cassation. Dataxy est ici confronté à la commune de Château-Thierry. Et elle gagne : la plainte de la ville est rejetée pour insuffisance de preuve. »
J’ajoute : De plus, on le voit sur cette présentation datant de 2021, il y a peu de sanctions (donc là, on est a posteriori) AFNIC sur la base de l’article 45-2 al. 3 CPCE.

– Il y a un manque de sensibilisation et de moyens (cf nombre de mairies avec du Wanadoo.fr ...) et une absence d’agilité propre au marché public dans un domaine NTIC assez mouvant.
Il n’y a pas que les collectivités territoriales (sauf Paris évidemment vu les enjeux) pour se soucier comme d’une guigne de la protection de leur nom de domaine. Je l’ai vu aussi dans une grande institution publique. Où mes supérieurs pensaient : "ils" n’oseront pas. Eh bien, si, "ils" osèrent. L’institution leur demanda de laisser tomber le nom de domaine et ils choisirent autre chose. Mais aurait-elle été moins puissante ...

Un autre twittos tempère l’impact des ces arnaques : « En tant que personne physique, les données sont anonymisées. Mais le bureau d’enregistrement et l’AFNIC y ont accès, ainsi que tout tiers demandant à y accéder s’il justifie d’un intérêt légitime. Du coup aucun intérêt pour faire des phishing, la moindre plainte et on remonte à la personne qui a enregistré les domaines en 2 min. »