Le phishing constitue une menace cybercriminelle majeure exploitant les noms de domaine pour tromper les internautes. Cette pratique frauduleuse consiste à usurper l’identité d’une entité légitime en créant des sites web dont les noms de domaine ressemblent fortement aux originaux. Les cybercriminels utilisent ces plateformes falsifiées pour collecter des données sensibles ou injecter des logiciels malveillants. Face à l’augmentation de 220% des attaques de phishing en 2022 selon l’ANSSI, le cadre juridique s’est progressivement adapté pour sanctionner ces infractions et protéger les titulaires de noms de domaine. Cet examen approfondi aborde les mécanismes juridiques encadrant l’usurpation de noms de domaine à des fins de phishing et les moyens de défense disponibles.
Fondements techniques du phishing par détournement de noms de domaine
Le phishing par détournement de noms de domaine s’appuie sur plusieurs techniques sophistiquées visant à tromper les utilisateurs. La compréhension des aspects techniques constitue un prérequis pour saisir les enjeux juridiques associés à ces pratiques frauduleuses.
Les techniques de typosquatting
Le typosquatting représente la méthode la plus répandue pour créer des noms de domaine frauduleux. Cette technique consiste à enregistrer des noms de domaine comportant des fautes de frappe ou des variations mineures par rapport aux noms légitimes. Par exemple, « amaz0n.com » au lieu de « amazon.com » ou « paypa1.com » au lieu de « paypal.com ». Les cybercriminels exploitent les erreurs courantes de saisie des utilisateurs ou leur inattention pour rediriger le trafic vers des sites malveillants.
La CNIL a répertorié plusieurs variantes de typosquatting utilisées pour le phishing :
- La substitution de caractères similaires (rn/m, 1/l, 0/O)
- L’ajout ou la suppression de caractères (googgle.com, gogle.com)
- La transposition de caractères adjacents (paypla.com)
- L’utilisation de domaines de premier niveau différents (.org au lieu de .com)
Le cybersquatting et le domaine hijacking
Le cybersquatting implique l’enregistrement de noms de domaine contenant des marques commerciales ou des noms connus sans détenir de droits légitimes sur ces noms. Cette pratique vise souvent à revendre le nom de domaine au propriétaire légitime de la marque à un prix élevé, mais peut aussi servir de base pour des opérations de phishing.
Le domain hijacking (détournement de domaine) représente une forme plus agressive de fraude où les attaquants prennent le contrôle d’un nom de domaine existant en compromettant le compte du registraire ou en exploitant des failles dans le processus de gestion des domaines. En 2020, une étude de Proofpoint a identifié plus de 300 000 tentatives de domain hijacking visant principalement des institutions financières.
L’homographe attack et l’IDN homograph attack
L’homograph attack exploite la similitude visuelle entre différents caractères pour créer des URL trompeuses. L’IDN homograph attack (attaque homographe par nom de domaine internationalisé) utilise des caractères non-ASCII ressemblant aux caractères latins standards. Par exemple, le caractère cyrillique « а » ressemble au « a » latin mais possède un code Unicode différent.
Ces techniques permettent de créer des noms de domaine visuellement identiques aux originaux mais techniquement différents. En 2017, des chercheurs en sécurité ont démontré qu’il était possible de créer un faux domaine « аррӏе.com » (utilisant des caractères cyrilliques) visuellement indiscernable de « apple.com ».
Cadre juridique applicable à l’usurpation de noms de domaine
La lutte contre le phishing par détournement de noms de domaine s’inscrit dans un cadre juridique complexe, mêlant droit pénal, droit des marques et réglementations spécifiques aux noms de domaine.
Qualifications pénales des actes de phishing
En droit français, le phishing peut être poursuivi sous plusieurs qualifications pénales. L’escroquerie, définie à l’article 313-1 du Code pénal, constitue le fondement le plus courant. Elle est caractérisée par « l’usage d’un faux nom ou d’une fausse qualité » ou « l’emploi de manœuvres frauduleuses » pour tromper une personne et l’induire à remettre des fonds ou des données confidentielles. La peine encourue atteint cinq ans d’emprisonnement et 375 000 euros d’amende.
L’usurpation d’identité numérique, sanctionnée par l’article 226-4-1 du Code pénal, s’applique spécifiquement aux cas où le fraudeur se fait passer pour un tiers en ligne. Cette infraction est punie d’un an d’emprisonnement et de 15 000 euros d’amende.
Les attaques de phishing peuvent également relever de :
- L’accès frauduleux à un système de traitement automatisé de données (article 323-1 du Code pénal)
- La collecte frauduleuse de données personnelles (article 226-18 du Code pénal)
- La contrefaçon et l’usage de marques contrefaites (article L.716-9 du Code de la propriété intellectuelle)
Protection par le droit des marques
Le droit des marques offre une protection efficace contre l’utilisation frauduleuse de noms de domaine incorporant des marques déposées. L’article L.713-2 du Code de la propriété intellectuelle interdit « la reproduction, l’usage ou l’apposition d’une marque » sans l’autorisation du titulaire.
Dans l’affaire SFR contre Orange (Cour d’appel de Paris, 24 septembre 2008), la cour a condamné l’opérateur ayant utilisé un nom de domaine reprenant la marque d’un concurrent dans une campagne de phishing. La jurisprudence reconnait systématiquement la contrefaçon lorsqu’un nom de domaine reprend à l’identique ou de manière similaire une marque protégée pour des produits ou services identiques ou similaires.
Réglementations spécifiques aux noms de domaine
La gestion des noms de domaine est encadrée par des règles spécifiques établies par les organismes de gouvernance d’internet. L’ICANN (Internet Corporation for Assigned Names and Numbers) a mis en place des procédures de règlement des litiges, notamment l’UDRP (Uniform Domain Name Dispute Resolution Policy) applicable aux domaines génériques (.com, .org, etc.).
Pour le domaine national .fr, l’AFNIC (Association Française pour le Nommage Internet en Coopération) a établi une procédure similaire, la PARL (Procédure Alternative de Résolution des Litiges). Ces procédures permettent aux titulaires de droits de contester l’enregistrement abusif d’un nom de domaine sans recourir aux tribunaux.
La loi LCEN du 21 juin 2004 (Loi pour la Confiance dans l’Économie Numérique) impose par ailleurs des obligations d’identification aux titulaires de noms de domaine, facilitant la lutte contre les enregistrements anonymes à des fins frauduleuses.
Responsabilité des acteurs de l’écosystème des noms de domaine
La lutte contre le phishing implique divers acteurs dont les responsabilités sont définies par le cadre juridique. La détermination précise de ces responsabilités s’avère fondamentale pour l’efficacité des actions préventives et répressives.
Obligations des bureaux d’enregistrement
Les bureaux d’enregistrement (registrars) jouent un rôle central dans la prévention du phishing par détournement de noms de domaine. Leur position d’intermédiaires entre les demandeurs et les registres leur confère des obligations particulières.
La jurisprudence française a progressivement défini l’étendue de leur responsabilité. Dans l’arrêt Louis Vuitton Malletier c/ Akanoodle (TGI Paris, 26 juillet 2007), le tribunal a considéré qu’un bureau d’enregistrement devait vérifier que les demandes d’enregistrement ne portaient pas atteinte aux droits des tiers, notamment aux marques notoires.
Les bureaux d’enregistrement ont l’obligation de :
- Vérifier l’identité des demandeurs (obligation renforcée par le RGPD et la loi LCEN)
- Mettre en place des mesures techniques pour prévenir les enregistrements massifs automatisés
- Réagir promptement aux notifications d’usage frauduleux
Le non-respect de ces obligations peut engager leur responsabilité civile sur le fondement de l’article 1240 du Code civil pour faute par négligence.
Rôle et responsabilité des registres
Les registres (registry) gèrent les extensions de noms de domaine (.com, .fr, etc.) et définissent les politiques d’attribution. Leur responsabilité dans la lutte contre le phishing est encadrée par les contrats passés avec l’ICANN ou, pour les extensions nationales, par les réglementations locales.
En France, l’AFNIC, responsable de l’extension .fr, a mis en place un système de vérification d’éligibilité et d’identification des titulaires, renforcé par le décret du 6 février 2007. Cette politique inclut la possibilité de suspendre ou supprimer des noms de domaine utilisés à des fins frauduleuses.
Dans l’affaire SNCF c/ AFNIC (Tribunal de grande instance de Nanterre, 28 novembre 2013), la juridiction a reconnu la légitimité de l’intervention de l’AFNIC pour bloquer des noms de domaine manifestement frauduleux, tout en précisant les limites de cette intervention pour préserver la neutralité du registre.
Responsabilité des hébergeurs et fournisseurs d’accès
Les hébergeurs bénéficient d’un régime de responsabilité limitée défini par la directive européenne e-commerce et transposé en droit français par la loi LCEN. Ils ne sont pas tenus d’une obligation générale de surveillance mais doivent agir promptement pour retirer les contenus illicites portés à leur connaissance.
Dans le cas spécifique du phishing, la Cour de cassation (Civ. 1re, 14 janvier 2010, n°08-16.330) a précisé que la connaissance effective du caractère illicite pouvait résulter d’une simple notification mentionnant l’existence d’une activité de phishing.
Les fournisseurs d’accès à internet (FAI) peuvent être contraints par décision judiciaire de bloquer l’accès aux sites de phishing. L’article 6-I-8 de la loi LCEN permet au juge d’ordonner « toutes mesures propres à prévenir un dommage ou à faire cesser un dommage occasionné par le contenu d’un service de communication au public en ligne ».
Mécanismes juridiques et techniques de protection contre le phishing
La protection contre le phishing par détournement de noms de domaine nécessite une approche combinant outils juridiques et solutions techniques. Cette double approche permet d’agir tant en prévention qu’en réaction aux attaques.
Actions préventives et défensives
La stratégie préventive la plus efficace consiste à enregistrer les variations possibles de son nom de domaine. Cette politique de défensive registration implique l’acquisition des principales variantes typographiques et des extensions les plus courantes pour un nom de domaine stratégique.
La surveillance des noms de domaine constitue un second pilier préventif. Des services spécialisés permettent de détecter rapidement les enregistrements suspects similaires à des marques ou noms de domaine protégés. En 2022, Kaspersky a rapporté avoir bloqué plus de 500 millions de tentatives d’accès à des sites de phishing, démontrant l’importance de ces outils de détection précoce.
Sur le plan technique, les certificats Extended Validation SSL (EV SSL) offrent un niveau supérieur d’authentification, rendant plus difficile l’usurpation d’identité en ligne. Ces certificats nécessitent une vérification approfondie de l’identité du demandeur et sont visuellement identifiables dans la barre d’adresse des navigateurs.
Procédures alternatives de résolution des litiges
Les procédures alternatives de résolution des litiges offrent des voies de recours rapides et moins coûteuses que les actions judiciaires traditionnelles.
La procédure UDRP (Uniform Domain Name Dispute Resolution Policy) de l’ICANN permet de contester l’enregistrement abusif d’un nom de domaine en generic top-level domains (.com, .org, etc.). Pour obtenir gain de cause, le plaignant doit démontrer trois éléments :
- Le nom de domaine est identique ou similaire à une marque sur laquelle il détient des droits
- Le titulaire du nom de domaine n’a aucun droit ou intérêt légitime sur ce nom
- Le nom de domaine a été enregistré et est utilisé de mauvaise foi
Pour les noms de domaine en .fr, la procédure SYRELI (Système de Résolution des Litiges) gérée par l’AFNIC offre un mécanisme similaire. Dans l’affaire Crédit Agricole c/ Whois Privacy Protection Service (Décision SYRELI FR-2018-01582), l’AFNIC a ordonné le transfert d’un nom de domaine utilisé pour une campagne de phishing imitant le site de la banque.
Actions judiciaires et sanctions
Les actions judiciaires constituent l’ultime recours contre les cas graves de phishing. L’action en contrefaçon, fondée sur les articles L.716-1 et suivants du Code de la propriété intellectuelle, permet d’obtenir des dommages-intérêts substantiels et la cessation de l’atteinte.
La procédure de référé (articles 808 et 809 du Code de procédure civile) offre une voie rapide pour obtenir des mesures conservatoires ou de cessation en cas d’urgence. Dans une affaire Société Générale c/ John Doe (TGI Paris, 14 mars 2019), le tribunal a ordonné en référé le blocage d’un site de phishing et la divulgation de l’identité du titulaire du nom de domaine frauduleux.
Sur le plan pénal, les poursuites pour escroquerie, usurpation d’identité numérique ou accès frauduleux à un système informatique permettent d’obtenir des sanctions dissuasives. En 2021, le tribunal correctionnel de Paris a condamné l’auteur d’une campagne de phishing visant les clients d’une banque française à trois ans d’emprisonnement dont un ferme et 50 000 euros d’amende.
Évolution des stratégies juridiques face aux mutations du phishing
Les techniques de phishing évoluent constamment, forçant le cadre juridique à s’adapter pour maintenir son efficacité. Cette dynamique d’évolution parallèle entre menaces et protections juridiques constitue un aspect fondamental de la cybersécurité moderne.
Adaptation aux nouvelles techniques de phishing
Le phishing ciblé (spear phishing) représente une évolution sophistiquée ciblant des individus ou organisations spécifiques avec des messages hautement personnalisés. Cette technique s’appuie souvent sur des noms de domaine très proches des domaines légitimes, parfois limités à des sous-domaines particuliers pour cibler des services précis.
Face à cette menace, les tribunaux ont étendu la notion de contrefaçon. Dans l’affaire LVMH c/ Domain Admin (TGI Paris, 25 juin 2018), la juridiction a reconnu que même l’usage d’un sous-domaine reprenant une marque protégée pouvait constituer une contrefaçon lorsqu’il visait à tromper les consommateurs.
Le pharming, technique détournant le trafic internet vers des sites frauduleux en manipulant les serveurs DNS, pose des défis juridiques particuliers. La Cour d’appel de Paris (12 février 2020) a qualifié cette pratique d’accès frauduleux à un système de traitement automatisé de données, sanctionné par l’article 323-1 du Code pénal.
Impact du RGPD sur la lutte contre le phishing
Le Règlement Général sur la Protection des Données (RGPD) a profondément modifié l’équilibre entre protection des données personnelles et lutte contre le phishing. L’anonymisation partielle des données WHOIS (base de données publique des titulaires de noms de domaine) complique l’identification des responsables d’attaques.
Cette tension a conduit à l’élaboration du modèle d’accès SSAD (System for Standardized Access/Disclosure) permettant aux ayants droit et autorités d’accéder aux données complètes sous certaines conditions. La CNIL a validé ce système dans sa délibération n°2020-091 du 17 septembre 2020, reconnaissant la légitimité de l’accès aux données personnelles des titulaires de noms de domaine dans le cadre de la lutte contre la fraude.
Parallèlement, le RGPD renforce les obligations des entreprises victimes de phishing. L’article 33 impose une notification des violations de données aux autorités compétentes dans les 72 heures, obligation qui s’applique lorsque des données clients sont compromises suite à une attaque de phishing réussie.
Perspectives d’évolution du cadre juridique
Le projet de Règlement eIDAS 2 (electronic IDentification, Authentication and trust Services) vise à renforcer l’identification numérique au niveau européen, ce qui pourrait réduire les risques de phishing en améliorant l’authentification des services en ligne.
La proposition de Directive NIS 2 (Network and Information Security) étend les obligations de sécurité à davantage d’acteurs et renforce la coopération entre États membres face aux cybermenaces, incluant explicitement le phishing parmi les risques à traiter.
Au niveau international, l’ICANN travaille sur le projet DAAR (Domain Abuse Activity Reporting) pour améliorer la détection et le signalement des abus de noms de domaine. Ce système pourrait servir de base à des mécanismes de suspension rapide des domaines utilisés pour le phishing.
La Convention de Budapest sur la cybercriminalité, ratifiée par 68 pays, constitue le principal instrument de coopération internationale en matière de lutte contre la cybercriminalité. Son protocole additionnel en cours de négociation vise spécifiquement à renforcer la coopération pour l’accès aux preuves électroniques transfrontalières, élément crucial dans les enquêtes sur le phishing international.
Stratégies pratiques de défense juridique pour les entreprises
La protection contre le phishing par détournement de noms de domaine nécessite une approche proactive combinant vigilance technique et anticipation juridique. Les entreprises doivent intégrer ces dimensions dans leur stratégie globale de cybersécurité.
Élaboration d’une politique de noms de domaine défensive
Une politique de noms de domaine robuste constitue la première ligne de défense contre le phishing. Cette stratégie commence par l’identification des actifs numériques critiques – marques, produits, services – nécessitant une protection prioritaire.
L’enregistrement défensif doit couvrir :
- Les principales variantes typographiques (substitution, transposition, omission de caractères)
- Les extensions stratégiques (.com, .fr, .eu, mais aussi .org, .net selon le secteur d’activité)
- Les combinaisons incluant des termes génériques liés à l’activité (banking, secure, login…)
La Chambre de commerce internationale recommande d’étendre cette protection aux domaines utilisés pour les campagnes marketing temporaires, particulièrement vulnérables après leur expiration. Le cas Carrefour c/ Domain Admin (NAF FA2008001242893) illustre ce risque : un ancien domaine promotionnel expiré avait été récupéré pour du phishing.
La centralisation de la gestion des noms de domaine auprès d’un registrar unique proposant des services de veille et de protection avancés représente une pratique recommandée par l’ANSSI dans son guide de cybersécurité pour les entreprises.
Mise en place d’un système de surveillance et de réaction rapide
La détection précoce des tentatives de phishing constitue un facteur déterminant pour limiter les dommages. Un système efficace de surveillance doit combiner :
La veille automatisée sur les nouveaux enregistrements de noms de domaine similaires aux marques protégées. Des services spécialisés comme DomainTools ou MarkMonitor permettent d’identifier rapidement les domaines suspects.
Le monitoring des certificats SSL via les logs publics (Certificate Transparency) pour détecter l’émission de certificats sur des domaines similaires, souvent précurseur d’une attaque de phishing.
La mise en place d’une procédure de takedown (suppression rapide) impliquant une coordination entre services juridiques, sécurité informatique et communication. Cette procédure doit définir clairement :
- Les critères d’évaluation du risque et de priorisation des actions
- Les modèles de notifications aux hébergeurs et registrars
- Les contacts d’urgence chez les partenaires techniques et juridiques
Une étude de Verizon indique que 50% des utilisateurs cliquent sur les liens de phishing dans les deux heures suivant la réception, soulignant l’importance d’une réaction immédiate.
Documentation et constitution de preuves
La constitution méthodique d’éléments probatoires s’avère déterminante pour le succès des actions juridiques contre les auteurs de phishing. Cette documentation doit inclure :
Des captures d’écran horodatées des sites frauduleux, idéalement certifiées par huissier ou via un service de constat en ligne comme Legaproof ou Proofkeep. La Cour de cassation (Civ. 1re, 5 avril 2012, n°11-14.289) reconnaît la valeur probante de ces constats numériques lorsqu’ils respectent certaines formalités techniques.
L’historique complet des recherches WHOIS et des données techniques (adresses IP, informations d’hébergement) associées au domaine frauduleux. Ces informations sont particulièrement utiles pour établir le lien entre différentes campagnes de phishing potentiellement orchestrées par les mêmes acteurs.
Les rapports d’impact documentant les préjudices subis : nombre de clients affectés, données compromises, atteinte à l’image. Ces éléments seront déterminants pour l’évaluation des dommages-intérêts.
L’expérience démontre que les juridictions sont sensibles à la qualité de la documentation présentée. Dans l’affaire BNP Paribas c/ John Doe (TGI Paris, 7 novembre 2018), le tribunal a accordé des dommages-intérêts substantiels (75 000 euros) en s’appuyant sur une documentation exhaustive du préjudice subi suite à une campagne de phishing.
La mise en place d’une veille jurisprudentielle permet d’adapter continuellement la stratégie de défense juridique aux évolutions des décisions de justice et des pratiques frauduleuses. Cette approche proactive renforce considérablement l’efficacité des actions entreprises contre les auteurs de phishing.