La lutte contre le cybersquattage de noms de domaines s'intensifie
Utilisés pour de vastes campagnes d'hameçonnage (carte vitale, vignette Crit'air, CPF...), les noms de domaines administratifs frauduleux ont tendance à se multiplier. L'État s'appuie depuis 2022 sur un prestataire pour lutter contre ce phénomène. Les collectivités semblent, pour le moment, peu concernées.
Le cybersquattage de noms de domaines institutionnels date des débuts d'internet, mais l'explosion de la cybercriminalité – et notamment des escroqueries par hameçonnage – rend le sujet critique pour l'État. Récemment, comme le détaille notre confrère Next, l'Association française pour le nommage Internet en coopération (Afnic) a par exemple été amenée à bloquer le "qouv.fr". Derrière ce "typosquattage " - utiliser la lettre Q, graphiquement proche du G du .gouv réservé à l'État - se cachait à l'évidence de futures tentatives d'hameçonnage autour de l'assurance maladie, du paiement des amendes ou encore de la vignette Crit'air. Alertée par plusieurs sources, l'Afnic, chargée des extensions nationales (.fr ; .bzh, .corsica…) a pu bloquer le nom.
Des centaines de noms illicites
La multiplication de ces dépôts à finalité criminelle a cependant conduit l'État à mettre en place en 2022 une politique proactive de lutte contre le cybersquattage, le typosquattage et le détournement d'autres marqueurs de son identité numérique, comme l'expliquait la direction des affaires juridiques de Bercy dans sa lettre d'avril 2023. Le service interministériel de lutte contre le cybersquattage des identités de l'État s'appuie sur un prestataire – dont le marché est en cours de renouvellement - pour surveiller une liste de vocables, l'usage d'homoglyphes (caractères visuellement similaires, comme "I" et "l"), de variations orthographiques et de caractères spéciaux. Toutes les extensions de noms de domaine, qu'elles soient génériques, géographiques ou thématiques sont surveillées. Le cahier des clauses techniques particulières du marché à venir indique que "depuis le lancement de ce dispositif, plus de 220 signes identitaires de l'État ont été placés sous surveillance et plus de 2.500 actions de suspension de sites illicites ont été réalisées".
Les collectivités concernées
Le "typosquatting" de domaine concerne-t-il les collectivités ? À l'Association des maires de France (AMF) comme à l'Afnic, on nous affirme "ne pas en avoir connaissance, ce qui ne veut pas dire qu'il n'y en a pas eu". Il est vrai que contrairement à l'État, les collectivités encaissent directement peu de recettes du fait du principe de séparation des ordonnateurs et des comptables. Côté cybersquattage, Marianne Georgelin, en charge des affaires juridiques à l'Afnic, rappelle que "l'association ne fait pas de contrôle ex ante des noms de domaine". Les dépositaires doivent juste respecter la charte de nommage de l'Afnic qui exige, par exemple, d'être domicilié dans l'Union européenne pour obtenir un .fr. L'attribution des noms géographiques fait par ailleurs l'objet de contrôles spécifiques, avec une vérification d'identité de la collectivité demandeuse. "Ne sont concernées que les dénominations géographiques Insee", rappelle cependant Marianne Georgelin, ce qui exclut les variations orthographiques ou encore les noms géographiques auxquels seraient ajoutés des termes comme -sud, -commerce, etc.
Des possibilités de recours
Une surveillance des noms déposés est cependant possible, rappelle l'Afnic, car "chaque jour la liste des nouveaux noms déposés est publiée en open data". Ces données sont exploitées par des prestataires spécialisés dans l'e-reputation ou par des sites comme https://red.flag.domains/. Celui-ci repère chaque jour les noms problématiques pour les institutions, à l'image du ".qouv.fr" listé par le site le 30 aout 2024. Les collectivités voulant contester un nom disposent de diverses possibilités de recours détaillées sur le site de l'Afnic. Elles peuvent demander l'identité du requérant pour le contacter et connaitre ses intentions. Si cette procédure n'aboutit pas, elles peuvent aussi demander à l'Afnic une "vérification" susceptible de déboucher sur le gel du nom pendant 7 jours (impossibilité d'opérer des modifications) puis au blocage du nom de domaine pendant 30 jours. Elles peuvent enfin lancer une procédure "Syreli" pour récupérer ou supprimer le nom. Une démarche assez lourde – il y a une procédure d'instruction contradictoire - que peu de collectivités pratiquent. Une recherche dans la base Syreli sur des mots clefs comme mairie ou ville montre une dizaine d'affaires, avec motifs plus locaux que liés à des problématiques cyber.
Trop de communes rurales sans nom géographique
Voici quelques années, l'AMF et l'Afnic avaient fait campagne pour inciter les petites communes à réserver leur nom de domaine géographique en .fr, l'enjeu étant moins de d'inciter les maires à créer un site internet que de leur permettre de disposer d'une adresse mail officielle (mairie-XX.fr, ville-XX.fr) sur un serveur moins facilement piratable. Or, force est de constater qu'aujourd'hui les adresses mairie@wanadoo.fr, mairie@gmail.com ou mairieyahoo.fr subsistent dans de nombreuses communes rurales. À l'AMF, on souligne les risques cyber inhérents à cette pratique - piratage de boîte e-mail en tête - tout en reconnaissant que la "migration est complexe". Certaines communes reculent aussi du fait des coûts induits (changement de papier à en-tête, signalétique…). L'ex-ministre en charge du numérique Jean-Noël Barrot avait annoncé vouloir s'appuyer sur l'Agence nationale de la sécurité des systèmes d'information (Anssi) et l'Agence nationale de la cohésion des territoires (ANCT) pour proposer aux communes un "package" associant nom, hébergement et messagerie. À ce jour, cette offre n'est cependant pas opérationnelle.