Comment protéger son entreprise contre l’usurpation de site web ?
Fiche pratique | Publié le 04 décembre 2024 | Mis à jour le 27 décembre 2024
De plus en plus d'entreprises sont victimes d’usurpation de site web. Des cybercriminels créent un site web qui ressemble au site internet d'une entreprise existante pour obtenir des identifiants de connexion, des données bancaires ou encore pour réaliser de fausses ventes. Cette fiche pratique vous explique ce qu'est l'usurpation de site internet et comment protéger son entreprise face à ce risque.
Qu’est-ce que l’usurpation de site internet ?
L’usurpation de site internet (en anglais « website spoofing ») est un type d’attaque par usurpation d'identité par lequel un site web malveillant se fait passer pour un site légitime dans le but de tromper les utilisateurs.
Cette technique, qui désigne de multiples réalités, vise à exploiter la notoriété d’une entreprise en créant un site internet qui endosse l'identité d'un site légitime en vue de dérober des informations sensibles à des internautes, telles que les identifiants de connexion ou des informations bancaires ou pour réaliser de fausses ventes au nom de l'entreprise.
L'usurpation de site internet frappe toutes les entreprises quelle que soit leur taille et constitue un risque à ne pas négliger. Perte de chiffre d’affaires, préjudice réputationnel, contentieux commerciaux… les conséquences de ce procédé frauduleux pour les entreprises sont potentiellement nombreuses.
Quelle sont les techniques les plus courantes utilisées pour l’usurpation de site web ?
Cybersquattage (appropriation du nom de domaine)
Le cybersquattage (ou cybersquatting) consiste à enregistrer un nom de domaine correspondant à une entreprise ou une marque, avec l'intention de le revendre ensuite à l'ayant droit, d'altérer sa visibilité ou de profiter de sa notoriété.
Cette appropriation du nom de domaine touche notamment les petites entreprises qui ne disposent pas de site internet. Les escrocs profitent du fait qu'elles ne soient pas présentes en ligne pour créer de toute pièce un site web qui usurpe leur identité (nom de domaine, identité visuelle, mentions légales, etc.) pour récupérer des données sensibles ou vendre de fausses prestations en leur nom.
Témoignages de TPE qui se sont fait usurper leur identité faute de posséder un site web
Faute de présence en ligne, un vendeur de matériel de travaux des Côtes-d'Armor se fait usurper son identité
Des escrocs ont profité du fait que l’entreprise SAV TP, située à Grâces (22), près de Guingamp, n’ait aucune présence en ligne pour usurper son identité via un faux site web et de faux comptes de réseaux sociaux. Depuis plusieurs mois ils vendent du matériel en son nom, au détriment...
Un vendeur de bois victime d'usurpation d'identité faute d'avoir créé son site web
Arnaud Dubois vendeur de bois de chauffage à Beugnies, dans l'Avesnois, a dû faire face aux mécontentements de clients, victimes d'arnaqueurs qui avaient conçu un site web qui usurpait son identité.
Typosquattage (altération du nom de domaine)
Le typosquattage (ou typosquatting) consiste pour les pirates à enregistrer des noms de domaine dont la graphie ou la phonétique est similaire au nom de domaine du site visé afin que l'utilisateur faisant une faute d'orthographe ou une faute de frappe soit dirigé vers le site détenu par le pirate.
Le typosquattage utilise souvent le recours à des homoglyphes : les pirates emploient des caractères visuellement similaires ou très proches (par exemple la lettre O et le chiffre 0) afin de concevoir des noms de domaine ressemblant à ceux de sites légitimes.
Pour rendre crédibles leurs faux sites les cybercriminels, dans de nombreux cas, ont recours au clonage du site web qu’ils veulent usurper. Ils copient intégralement son apparence, sa structure et ses contenus du site.
Comment fonctionne la gestion des noms de domaine ?
Un nom de domaine est l’adresse du site internet de votre entreprise. Un nom de domaine est la traduction littérale de l'adresse IP, le numéro d'identification unique qui lui est attribué. Il est composé de deux éléments : un nom et une extension. Dans le nom de domaine « exemple.fr », « exemple » est le nom et « .fr » est l’extension.
La gestion des noms de domaine est confiée, pour chaque extension, à des entités spécifiques, généralement désignées comme « registres » ou « offices d’enregistrement ». Par exemple :
L’extension « .fr » est gérée l’Afnic, Association Française pour le Nommage Internet en Coopération, partenaire de France Num tandis que l’extension « .com » est prise en charge par l’entreprise américaine Verisign.
L’enregistrement et la gestion des noms de domaine sont effectués par les bureaux d’enregistrement, accrédités par les registres ou leurs revendeurs.
Comment limiter le risque d’usurpation de site ?
Enregistrer son nom de domaine
Enregistrer son nom de domaine auprès d’un bureau d’enregistrement accrédité par l’Afnic ou l’ICANN garantit que le processus de sécurisation et de protection du domaine respecte les normes de sécurité établies.
S'il n'est pas possible d'acheter tous les noms de domaine proches ou similaires au vôtre, vous pouvez néanmoins acheter quelques noms de domaines similaires les plus importants. Par exemple, votre nom de domaine au singulier, au pluriel, avec un point, un tiret, votre nom de domaine décliné avec les différentes extensions de domaines : .fr, .com, .net, etc.
Il est également recommandé de mettre en place des systèmes d’alerte en cas d’achat de nom de domaine proche de celui que vous utilisez.
Important : lorsque votre contrat se termine, faute de renouvellement, le nom de domaine est à nouveau libéré et c’est la règle du « 1er arrivé, 1er servi » qui prévaut.
Mettez en place un renouvellement automatique de vos noms de domaine à l’échéance. Vous serez assuré de ne jamais perdre vos noms de domaine. Et sachez que vous pouvez enregistrer votre nom de domaine pour plusieurs années (10 ans maximum). N’hésitez pas à vous protéger en enregistrant sur plusieurs années dès le début.
Lire la fiche pratique :
Protéger le nom de domaine avec une stratégie de marque
La seule réservation du nom de domaine ne vous octroie pas de protection sur le plan de la propriété intellectuelle.
Pour protéger votre nom de domaine des concurrents et des cybersquatteurs, garantir ses droits exclusifs et faciliter les actions en cas de litige, il est recommandé d'enregistrer également le nom de domaine sous forme de marque à l'Inpi, l'Institut national de la propriété industrielle, en complément de la réservation du nom de domaine.
La protection offerte par l’Inpi offre un monopole d’exploitation sur la marque ainsi déposée pour une durée de 10 ans. Cette protection est renouvelable indéfiniment.
Consultez la fiche pratique sur Entreprendre.service-public.fr et nos ressources :
- Réserver le nom de domaine d'un site internet
- Comment protéger le nom de son site internet ?
- Marque et nom de domaine : quelles différences ?
Sécuriser son site internet et sensibilisez les utilisateurs
Mettez en place les mesures techniques de sécurité indispensables pour sécuriser votre site web et limiter le risque de fraude ou d’usurpation. Consultez les conseils de l'Afnic pour éviter les piratages de son site web :
Communiquez auprès de vos utilisateurs et incitez-les à reconnaître les signes de sécurité, comme le cadenas HTTPS dans la barre d'adresse de leur navigateur, les mentions légales, la base Whois afin de déterminer si le détenteur du site est véritablement celui qu’on pense être.
Que faire en cas d’usurpation de son site web ?
En cas d’usurpation de sites, il est nécessaire d’agir rapidement.
1. Récolter et conserver des preuves
Il est nécessaire de conserver tous les éléments de preuve de l’usurpation, et notamment :
- l’adresse URL en cas de cybersquatting ou typosquatting ;
- les capture d’écran des pages web usurpées affichant des contenus similaires ou identiques à ceux du site légitime. Attention, une bonne capture d’écran est celle permettant d’identifier la source de parution du contenu mis en avant (adresse URL du site web), sa date (horodatage du système d’exploitation utilisé lors de la capture, apparaissant généralement en bas à droite ou en haut à droite de l’écran) ;
- les copies des emails, messages ou plaintes utilisateurs vous ayant notifié l’usurpation de votre site ;
- les preuves issues de vos serveurs, montrant par exemple, une collecte non autorisée de vos contenus (crawling) ou une activité suspecte émanant de certaines adresses IP.
2. Identifier le titulaire du nom de domaine
Dans l’objectif de suspendre l’accès du site litigieux, il faut tout d’abord identifier la personne morale ou physique qui a enregistré le nom de domaine.
Pour obtenir ces informations, plusieurs outils et méthodes peuvent être utilisés. Une recherche WHOIS est une première étape incontournable. Elle permet d’obtenir des détails sur l’enregistrement du domaine, notamment le bureau d’enregistrement et les dates de création et d’expiration.
Pour les extensions françaises, vous pouvez interroger le registre de l'Afnic :
Pour les autres extensions, vous pouvez par exemple utiliser le service mis à disposition par le bureau d'enregistrement Gandi :
Hébergeur et bureau d'enregistrement : des fonctions distinctes (parfois assumées par un même acteur)
Beaucoup d’entreprises d’hébergement web proposent à la fois des services d’hébergement, où le site web et les fichiers sont stockés sur leurs serveurs, et des services de bureau d’enregistrement (registrar) c’est-à-dire qu’elles permettent d’acheter et de gérer des noms de domaine.
Toutefois, lorsqu’il s’agit de contester un nom de domaine ou d’agir en cas d’usurpation, il est important de distinguer les actions relatives à la gestion des noms de domaine de celles qui relèvent de la Loi pour la confiance dans l’Economie Numérique (LCEN), dont le cadre a été renforcé avec l’entrée en vigueur du Règlement européen sur les services numériques (DSA).
En effet, ces deux cadres répondent à des objectifs différents et impliquent des démarches distinctes :
- La LCEN encadre les responsabilités des acteurs de l’Internet, notamment les hébergeurs et éditeurs de contenus. Ces actions permettent de contester les contenus publiés sur le site. Elles visent à faire cesser la diffusion des contenus illicites.
- Les actions relatives au nom de domaine, concernent directement le nom de domaine litigieux et son enregistrement. Elles visent à récupérer et/ou faire cesser l’exploitation d’un nom de domaine.
Les deux démarches peuvent parfois se compléter, mais répondent à des problématiques distinctes. Afin d’identifier le cadre juridique le plus adapté, les entreprises sont invitées à consulter leur conseil juridique habituel.
3. Contacter le titulaire du nom de domaine
Comme évoqué précédemment, la méthode la plus rapide consiste à identifier le titulaire du nom de domaine via des outils de Whois et à le contacter afin de lui demander la cession du domaine. Si la prise de contact directe échoue, il convient d’envoyer directement une mise en demeure.
Pour les extensions gérées par l’Afnic :
- si les coordonnées du titulaire du nom de domaine contesté sont anonymisées, il est possible pour les extensions gérées par l’Afnic de demander la divulgation des données personnelles du titulaire via à un formulaire.
- si les coordonnées du titulaire fournies par l'Afnic ne vous permettent pas de contacter le titulaire, il est possible de faire, en ligne et gratuitement, une demande afin de procéder à la vérification des coordonnées du titulaire du nom de domaine.
Cette vérification entraine le gel du portefeuille de noms de domaine du titulaire, puis, si aucun élément ne permet de conclure au respect par le titulaire des règles d’éligibilité et de joignabilité du .fr, son blocage et enfin sa suppression par l’Afnic.
La voie judiciaire est toujours ouverte en cas de non-levée de l’anonymat.
Pour les autres extensions
Les voies de recours pour obtenir les coordonnées du titulaire d'un nom de domaine pour les autres extensions sont plus complexes ou plus restreintes.
4. Initier une procédure alternative de résolution du litige
Des procédures alternatives de règlement des litiges sont mises en place par les bureaux d’enregistrement et les registres. Elles différent selon le type d'extension.
Règlement des litiges pour les extensions génériques (.com, .org, .net, etc.)
Pour les extensions génériques (gTLD), c’est-à-dire les domaines de premier niveau non associés à un pays, comme .com, .org, ou .net, l’ICANN utilise les principes directeurs de la "Uniform Domain Name Dispute Resolution Policy" (UDRP) pour régir le règlement des litiges relatifs aux noms de domaine. Les principes UDRP sont imposés aux registres, qui les appliquent contractuellement aux titulaires des noms de domaine lors de la réservation.
La procédure UDRP est administrée par le Centre d’arbitrage et de médiation de l’Organisation mondiale de la propriété intellectuelle (OMPI). Elle permet d’obtenir le transfert ou la radiation d’un nom de domaine identique ou similaire à une marque antérieure enregistrée ou non enregistrée, sous réserve que le titulaire n’ait aucun droit sur le nom de domaine et l’ait enregistré ou l’utilise de mauvaise foi.
Règlement des litiges pour les extensions nationales (.fr)
Pour les extensions nationales (ccTLD), correspondant aux domaines de premier niveau associés à des pays (par exemple .fr pour la France ou .de pour l’Allemagne), chaque registre peut définir sa propre procédure de règlement des litiges, généralement dans ses politiques de registre.
Pour les extensions françaises, comme le .fr l’Afnic propose et administre deux procédures :
- Procédure Syreli (Système de Résolution des Litiges), accessible en ligne sur syreli.fr. Les décisions sont rendues par le Collège de l’AFNIC. Les frais de procédure sont à la charge du requérant et s’élèvent à 250 euros H.T.
A noter : la procédure est gratuite quand elle est initiée par certains opérateurs de l’État tels que la Direction Générale de la Concurrence, de la Consommation et de la Répression des Fraudes (DGCCRF), la Direction Générale des Douanes et Droits Indirects (DGDDI), ou le Service d’Information du Gouvernement (SIG) par exemple.
- Procédure PARL EXPERT en collaboration avec le Centre d’arbitrage et de médiation de l’OMPI, accessible en ligne sur parl-expert.fr. Les décisions sont rendues par des experts sélectionnés sur dossier par l’Afnic et l’OMPI.
Consultez le Guide pratique d’accompagnement aux PARL - Procédures alternatives de résolution de litiges (pdf ; 34 p. ; 831 ko)
Pour en savoir plus, consultez la page de l'Afnic consacrée à la résolution des litiges.
A noter : si les procédures Syreli et PARL EXPERT permettent de récupérer un nom de
domaine litigieux en invoquant d’autres droits qu’une marque antérieure, tel n’est pas toujours le cas des procédures applicables aux autres extensions. Notamment, un nom de domaine enregistré dans l’extension [.com] ne pourra être récupéré qu’en invoquant une marque antérieure enregistrée ou non enregistrée
5. Engager une procédure judiciaire
Des procédures judiciaires peuvent également être mises en œuvre, telles que l’action en contrefaçon ou l’action en responsabilité civile.
En cas d’usurpation d’identité d’une entreprise, qui est une personne morale, c'est le droit des marques qui est le plus souvent invoqué dans la mesure où le site usurpateur utilise aussi la marque du site usurpé dans la composition du nom de domaine. L'entreprise victime pourra arguer de l’usurpation d’identité caractérisé par un usage de mauvaise foi du nom de domaine.
Il convient néanmoins de privilégier les procédures alternatives, plus rapides et moins onéreuses, lorsqu’elles celles-ci sont possibles.
Victime d'un acte de cybermalveillance ?
Cybermalveillance.gouv.fr : Assistance aux victimes de cybermalveillance
La plateforme Cybermalveillance.gouv.fr renforce ses actions d'assistance, de sensibilisation aux risques numériques et aux attaques informatiques (ACYMA)
L'essentiel
Enregistrez votre nom de domaine dès que possible ! Dès que vous avez l’idée, vous pouvez / devez enregistrer le nom de domaine avant que quelqu'un d'autre ne le fasse avant vous. En effet, pour les noms de domaine, c'est la règle est « premier arrivé, premier servi » qui s'applique.
Privilégiez une extension fabriquée en France, gérée par l'Afnic (.fr, .paris, .bzh, .alsace, .corsica, .museum, etc) qui, outre ses nombreux atouts, permet de bénéficier, en cas de litige sur votre nom de domaine :
- des procédures de médiation et de réglement des litiges mises en place par l'Afnic ;
- de l'assurance, en cas de procédure judiciaire, que c'est la législation française qui s'applique.
Et donc d'obtenir gain de cause plus vite et à moindre coût.
Et pensez aussi à enregistrer le nom de domaine sous forme de marque à l'Inpi, l'Institut national de la propriété industrielle, pour bénéficier d'une protection étendue en cas d'usurpation.
Victime d'usurpation de nom de domaine ?
En savoir plus
- Comment choisir le bon nom de domaine pour le site internet de son entreprise ?
- Noms de domaine : affirmer et sécuriser sa présence sur internet (pdf ; 22 p. ; 1Mo)
- Guide pratique à l'attention de l'ayant droit (pdf ; 17 p. ; 436 ko)
- Procédures techniques et opérationnelles des domaines de premier niveau de l’internet correspondant aux codes pays du territoire national (pdf ; 24 p. ; 886 ko)
- Usurpation d'identité, phishing ou cybersquatting : comment se protéger des menaces sur les noms de domaine
Julien Karachehayas | Licence etalab-2.0
Dans la même thématique
Arnaque au Kbis : soyez vigilants face au risque de fraude
Face à une hausse significative des arnaques au Kbis Infogreffe appelle les entreprises à la plus gr...
Fiche pratique | 17 décembre 2024
Le VPN, un outil indispensable pour sécuriser votre TPE PME
Le VPN est l'outil indispensable pour garantir la protection de vos données sur internet et de sécur...
Fiche pratique | 29 octobre 2024
Le chiffrement des données : une protection indispensable pour les TPE PME
Le chiffrement des données constitue un des maillons essentiels de la cybersécurité des TPE PME. En ...
Fiche pratique | 20 juin 2024