- Email spoofing : mail frauduleux reprenant la véritable adresse email d’un expéditeur sans que ce dernier ait envoyé réellement l’email
- Usurpation d’identité via une adresse email issue d’un nom de domaine détenu par un tiers malveillant
- Panorama des arnaques liées à l’usurpation d’identité par email : diffusion de fausses informations, phishing, « ransomware », modification de coordonnées bancaires, faux ordres de virement, arnaque au président, détournement de marchandises…
- Surveillance et procédure de récupération de noms de domaine litigieux
Sécurisez la présence de votre marque sur internet - CCI Bayonne, Juin 2017
Usurpation d'identité numérique par email - La Mêlée Numérique, Toulouse, Avril 2017
1. 1
Usurpation d’identité numérique
par email
• Email spoofing : mail frauduleux reprenant la véritable adresse email
d’un expéditeur sans que ce dernier ait envoyé réellement l’email
• Usurpation d’identité via une adresse email issue d’un nom de domaine
détenu par un tiers malveillant
• Panorama des arnaques liées à l’usurpation d’identité par email :
diffusion de fausses informations, phishing, « ransomware »,
modification de coordonnées bancaires, faux ordres de virement,
arnaque au président, détournement de marchandises…
• Surveillance et procédure de récupération de noms de domaine litigieuxCommission Sécurité de La Mêlée, jeudi 27 avril 2017
2. 2
Jean-François POUSSARD
Président, Fondateur Associé de Solidnames
Online brand management,
Propriété industrielle
Depuis 2004
Expériences professionnelles
SYSTONIC, sécurité internet (2010 – 2016)
Directeur de ProDomaines (registrar) et Keep Alert (Brand Monitoring)
MAILCLUB, registrar (2004-2010)
Directeur commercial
Activités
Formateur auprès des CCI, INPI, IRPI
Professeur en école de commerce, université
Intervenant extérieur auprès de l’ICANN, INTA, UNIFAB, SEO Camp
Consultant médias : 01 Business, BFM, France Info…
Ecole de journalisme
Licence marketing internet
jf.poussard@solidnames.fr
+ 33 (0)7 68 55 42 93
https://solidnames.fr/
poussard.com
poussard.eu
Expert noms de domaine
Formation
3. 3
Définition du nom de domaine
Chaîne de caractères associée à une extension
Exemple : poussard.com
Un nom de domaine peut changer de titulaire
Racheter un nom de domaine
Vendre un nom de domaine
Droit d’usage renouvelable
Déposer, transférer, renouveler auprès d’un bureau d’enregistrement de nom
de domaine « registrar »
Un nom de domaine peut être détenu par un tiers malveillant
Détournement de trafic internet
Contrefaçon
Usurpation d’identité
Nom de domaine est unique
Attribué sur la base du premier arrivé, premier servi
Un nom de domaine peut être récupéré juridiquement
Procédures extrajudiciaires
Procédures judiciaires
Objet de commerce
5. 5
Email Spoofing
Arnaques financières
La demande de changement de RIB consiste pour les fraudeurs à envoyer un mail à un membre du
service de comptabilité de la cible visée en se faisant passer pour un fournisseur. Le mail demande de
verser les prochains règlements vers un autre compte bancaire contrôlé par les escrocs. Cette arnaque
est proche des « Faux Ordres de Virement International » (FOVI) et de « l’Arnaque au Président ».
En France, 485 millions d’euros ont été volés entre 2010 et 2015 suite à ce type d'arnaques ; 2 300
plaintes ont été déposées à leurs sujets. Aux États-Unis, 3 milliards de dollars ont été détournés sur les
3 dernières années.
Changement RIB
La pièce jointe de cet email contient un « ransomware », soit un logiciel malveillant de rançon. Le
destinataire de l'email forgé va l'ouvrir en confiance et enclencher le déploiement d'un cheval de Troie
qui va chiffrer les données des fichiers du réseau qu'il utilise. Le « ransomware » va ensuite demander
de l'argent contre la clé permettant de déchiffrer les fichiers corrompus et inutilisables. Le paiement se
fait majoritairement via une monnaie virtuelle cryptographique comme Bitcoin permettant
l'anonymisation de l'arnaqueur. La France est le cinquième pays le plus touché par les « ransomware »
avec presque 400 000 attaques en 2015
« Ransomware »
6. 6
Email Spoofing
Déstabilisation
Un email forgé peut être utilisé pour la collecte illicite de données. La crédibilité d'un email officiel
engage la victime à répondre à la demande surtout si elle vient d'un responsable hiérarchique.
Le fraudeur peut ici espionner sa victime en récupérant les fichiers internes comme les dossiers
clients, les tarifs, les secrets de fabrication, les identifiants et mots de passe...
Collecte de données
L'usurpation d'identité via un email forgé peut être utilisé pour déstabiliser l'environnement
humain d'une société. Les courriels falsifiés peuvent faire l'objet de rumeurs pour
décrédibiliser des collaborateurs et créer un climat délétère dans l'entreprise.
Ressources humaines
7. 7
Envoi d’email sécurisé par SPF, DKIM et DMARC
Sender Policy Framework (SPF) :
indiquer qui est autorisé à émettre des
courriers électroniques en son nom de
domaine
Signature DKIM, DomainKeys Identified Mail
vérifier l’origine et l’intégrité de ses courriers
électroniques
Domain-based Message
Authentication, Reporting and
Conformance (DMARC) : indiquer
au récepteur quoi faire en cas
d’échec SPF et DKIM (ex :
aucune action, spam en
quarantaine, rejet)
8. 8
Diagnostic de Risque d’Usurpation d’IDentité par Email
Identification
Identifier les prestataires susceptibles d'envoyer des emails via un
de vos noms de domaine (ex : fournisseur de messagerie, emailing,
facturation...)
Contrôle
S’assurer que le prestataire d'hébergement DNS a bien
appliqué les recommandations techniques et la contrôler
régulièrement.
Collecte
Collecte des adresses IP autorisées à envoyer des emails
associés à votre nom de domaine
Mise en œuvre
Retranscription technique de la configuration adéquate
(entrée SPF, DKIM, DMARC) et s’assure de sa mise en place
auprès du prestataire d'hébergement DNS (ex : « registrar »)
Un email forgé ou « spoofé » reprend la véritable adresse email d’un expéditeur sans que ce dernier ait envoyé l’email.
L'email forgé avec l'adresse email habituelle de l'interlocuteur rend vraisemblable la demande émanant du message.
Les fraudes les plus avancées collectent en amont des informations sur l'entreprise (ingénierie sociale) pour crédibiliser l'escroquerie. Des réseaux sociaux professionnels comme LinkedIn permettent
rapidement d'identifier le responsable d'une société, son comptable et d'usurper facilement leurs identités.
Solutions contre l’email « spoofing », « forging »
9. 9
Diffusion de fausse information via un email usurpé
Source : http://www.zdnet.fr/actualites/vinci-victime-d-une-usurpation-d-identite-par-email-chute-lourdement-en-bourse-39845052.htm
10. 10
Usurpation d’identité via des courriels frauduleux
Détournements financiers
Chausson Matériaux, groupe français dans le secteur de la
distribution de matériaux de construction, récupère en
procédure extrajudiciaire le nom de domaine litigieux
<chausson-materiaux.com>. Le cybersquatteur l’a utilisé au
sein d’une adresse email afin d’adresser un courrier
électronique à la société Maison Avenir Tradition, cliente de
l’entreprise, le signataire usurpant l’identité de l’un de ses
collaborateurs en vue de détourner des paiements dus à de
dernier.
Source :
http://www.wipo.int/amc/en/domains/search/text.jsp?case
=D2016-1295
<chausson-materiaux.com> D2016-1295
En mai 2016, un tiers dépose le nom de domaine <pernod--
ricard.com>. Il l’utilise pour envoyer des emails au service
comptabilité de la société de spiritueux en se faisant passer
pour le directeur exécutif de l’entreprise en Inde. Ces
courriels frauduleux demandant le paiement d’une facture
frauduleuse (« Can we make payment for a due invoice
today? »). La marque remporte sa procédure extrajudiciaire
et stoppe cette tentative de lui soutirer de l’argent sous de
faux prétextes.
Source :
http://www.wipo.int/amc/en/domains/search/text.jsp?case
=D2016-1263
<pernod--ricard.com> D2016-1263
Le Groupe Rexel, coté à la bourse française, est un distributeur mondial de
produits et services pour le monde de l’énergie, présent dans 35 pays avec
28 000 employés.
Il a été averti par l’un de ses clients de la réception d’emails provenant des
adresses de messagerie « […]@rexel-groupe.com » lui demandant de
procéder à la modification des coordonnées bancaires de la société Rexel.
<rexel-groupe.com> n’appartient pas à la marque. Il a été déposé par un
tiers en mai 2016 qui ne l’utilise pas pour un site internet mais pour créer
des adresses électroniques et procéder à des manœuvres frauduleuses
d’hameçonnage (« phishing »).
Ces courriels ont été émis par un dénommé François Perret, se présentant
comme étant un salarié du service comptabilité du Groupe Rexel.
Source :
http://www.wipo.int/amc/en/domains/search/text.jsp?case=D2016-1135
<rexel-groupe.com> No. D2016-1135
11. 11
Usurpation d’identité via des courriels frauduleux
Détournements financiers
L’entreprise de lingerie a constaté que des adresses emails ont été créées avec ce
nom de domaine litigieux en usurpant l’identité de collaborateurs du service de
comptabilité de Chantelle. Ces fausses adresses électroniques ont été utilisées pour
envoyer des courriels à des partenaires, justifiant un changement des coordonnées
bancaires du groupe Chantelle. Cette tentative de détournement des versements
bancaires destinés à Chantelle a été rendue possible via un nom de domaine
cybersquatté adjoignant la marque à groupe.
Source : https://solidnames.fr/usurpation-identite-nom-domaine-groupe/
<groupe-chantelle.com> D2016-1961
Source : http://www.wipo.int/amc/en/domains/search/text.jsp?case=D2016-1606
<colasfrance.com> D2016-1606
12. 12
Usurpation d’identité via des courriels frauduleux
Détournement de marchandises
Échanges de mails entre la société Greenworks, société où le défendeur est
commercial et Madame X via [O]@dgsi-airfrance.fr laissent croire que Greenworks
aurait vendu des marchandises à Air France.
Or, Air France affirme que les investigations menées avec Greenwoks
démontrent qu’aucun bon de commande n’avait été émis et encore moins signé
et que les marchandises avaient, quant à elles, bien disparues du stock de
Greenworks.
Après vérification, Mme X n’apparaît nullement dans les bases de données
salariés ou partenaires du Requérant.
<dgsi-airfrance.fr> D2010-0045
Le Défendeur a utilisé l’adresse email suivante “[…]@dulong-calvet.com” afin de contacter des clients du
négociant Dulong Calvet en se faisant passer pour lui. Cette usurpation d’identité a pour objectif de se faire
livrer de nombreuses bouteilles de vins et de champagne sans que les factures correspondantes soient
honorées. Le Requérant a d’ailleurs porté plainte auprès de la Gendarmerie pour usurpation d’identité.
<dulong-calvet.com> D2016-0928
Source : https://www.us-cert.gov/security-publications/GRIZZLY-STEPPE-Russian-Malicious-Cyber-Activity
14. 14
Surveiller l’ensemble des extensions internet (TLDs)
23 gTLDs
(« generic Top
Level Domains »)
dont les historiques
.COM, .NET, .ORG 311 ccTLDs
(« country code Top
Level Domains »)
dont 56 IDN ccTLD en
caractères non latins
1 126 NewgTLDs
(04/201è)
dont les GeoTLDs
(ex : .PARIS) et les brand
TLDs (ex : .LECLERC)
Source : http://www.iana.org/domains/root/db
15. 15
Surveiller 330 millions de noms de domaine (2017)
128
202
.COM Autres Tlds
38 %
% du .COM recule
En 2001. le .COM représentait 80 % des noms de
domaine enregistrés dans le monde.
Depuis 2002, sa part recule : 55 % en 2005, 45 %
en 2010, 40 % en 2015.
0,4 1,8 5,7
20 23 21 26 33
46
61 69 78 84 89 97 105 111 117 121 130
0
50
100
150
200
250
300
350
1997 1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015 2016
.COM Reste du monde
16. 16
Surveiller les extensions majeures
26 extensions avec plus de 2 millions de noms de domaine déposés
0
20
40
60
80
100
120
140
17. 17
Surveillance noms de domaine
Alerte quotidienne nouveaux dépôts
Livrable email
Aperçu des informations principales
Registrant et nombre de noms de domaine associés (reverse whois)
Présence d'un serveur de messagerie
Capture d'écran
Whois parsé complet
18. 18
Surveillance quotidienne de noms de domaine sensibles
Veille régulière à 360 degrés : whois, web, email
Surveillerrégulièrement les
changements whois, l’usage
web et l’activité email liés à un
nom de domaine
Whois
Contrôle des changements des statuts whois du nom de domaine, du
bureau d’enregistrement, des serveurs DNS, de la date d’expiration,
des changements de titulaire
Contrôle et vous avertit des
changements d’activité de l’adresse
surveillée, du descriptif de la page, de la
validité du certificat SSL
Email
Contrôle et vous avertit de la configuration d’un serveur de
messagerie email et vérifie si des adresses emails sont associées et
utilisées
Web
19. 19
Usurpation d’identité via des courriels frauduleux
Cible : Carrefour
<cerrafour.com> D2016-0688
nom de domaine inactif au
niveau de son usage web
Un employé de Carrefour reçoit un courriel prétendument au nom
d'un haut cadre immédiatement reconnaissable de la société
plaignante, avec le nom de ce dirigeant "xxx@cerrafour.com".
Carrefour confirme que cet email est clairement frauduleux et une
constitue une tentative de phishing.
Le nom de domaine <webmail-carrefour.fr> FR-2015-00985 dirige vers un site
imitant le site officiel de Carrefour. Il a été déposé par une personne s’étant
frauduleusement identifiée sous le nom du PDG du Requérant au nom d’une
société CARREFOUR 8 A HUIT ayant fait l'objet d'une liquidation. Le liquidateur a
confirmé la liquidation judiciaire de l'entreprise et sa clôture pour insuffisance
d’actif par jugement du 14 juin 2006. Son étude n'a pas enregistré le nom de
domaine qui l'a été longtemps après (02/07/2015) la liquidation judiciaire de la
société renseignée comme titulaire dans la base Whois. Il s’agit de fausses
informations whois et la véritable identité du réservataire n’est pas connue.
Plusieurs courriels construites
avec le nom de domaine
litigieux <webmail-
carrefour.fr> FR-2015-00985
sont envoyés aux employés de
Carrefour afin d’obtenir leurs
identifiants et leurs mots de
passe en vue d’opérations de
phishing.
20. 20
Usurpation d’identité via des courriels frauduleux
Présence de serveurs de messagerie configurés
Le "passive holding" peut aussi constituer un usage de mauvaise
foi.
Par ailleurs, les serveurs de messagerie ont été activés pour le
nom de domaine litigieux. Le Défendeur pourrait utiliser une
adresse e-mail avec le "xxx@creditmutuelenligne.org" pour de
l'emailing commercial, du spamming, ou à des fins de phishing.
Source :
http://www.wipo.int/amc/en/domains/search/text.jsp?case=D2
016-0404
<creditmutuelenligne.org> D2016-0404
<bouygues-batiment.com> contient des enregistrements Mail
Exchanger (“mx”), démontrant ainsi que le nom de domaine
litigieux était paramétré et prêt à être utilisé aux fins
d’adresser des emails. Ces courriels visaient à passer des
commandes en se faisant passer pour l’entreprise du
Requérant et ainsi tromper les fournisseurs de ce dernier à
des fins d’escroquerie.
Source :
http://www.wipo.int/amc/en/domains/search/text.jsp?case=
D2015-2307
<bouygues-batiment.com> D2015-2307
Site web inactif mais présence d'un service de messagerie
électronique créé sur la base de xxx@kiabicentrale.com qui
permet au Défendeur d'adresser des courriels en français, à
des entreprises d'articles textiles, afin de solliciter des
informations ou de proposer d'entrer en relation avec elles.
Ces courriels sont présentés comme émis par la centrale
d'achat KIABI et signés par le squatteur en se faisant passer
pour le Chef Achats Département Sourcing Tissus de la centrale
d'achat KIABI EUROPE.
Une plainte auprès du Procureur de la République a été
déposée par la centrale d'achat KIABI EUROPE pour
usurpation d'identité.
Source :
http://www.wipo.int/amc/en/domains/search/text.jsp?case=
D2013-0619
<kiabicentrale.com> D2013-0619
23. 23
Marques contrefaites associées à « online » ou « outlet »
<moncleroutletfr> D2017-0346 <jackwolfskinoutlet.store> D2016-2424<moubootsonline.com> D2016-2652
24. 24
Marques contrefaites associées à l’expression française « pas cher »
<slipcalvinkleinpascher.fr> Décision Syreli FR-2016-01191<philipppleinpascher.com> D2016-2617
25. 25
Produits contrefaits associés à « official »
<officialnikefactorystore.com> FA1611001701887<guccissitoufficiale.com> D2017-0023 <officialvalentino.com> D2016-1747
26. 26
Site internet portant à confusion à l’international
Concurrent étranger bloquant la marque, distributeur vengeur créant de la confusion
1 200 partenaires du réseau Barrisol sont présents dans plus
de 145 pays
PME alsacienne spécialiste du plafond tendu
Dépôt d’un concurrent moldave qui a aussi enregistré la
marque en Moldavie 3 ans après celle de Barrisol. Le
concurrent propose des produits rivaux pour perturber
l’activité de Barrisol
<barrisol.md> DMD2011-0002
Barrisol résilie son contrat de 3 ans avec un distributeur non
exclusif en Iran. Ce dernier dépose ensuite le nom de
domaine litigieux et lui propose de rétablir le contrat de
distribution.
<barrisol.ir> DIR2012-0001
27. 27
Marque associée à « arnaque »
Identique ou similaire au point de prêter à confusion ?
L’internaute peut légitimement se demander d’où vient ce site et s’il s’agit
effectivement (axe de défense du cabinet juridique) d’un site de SFR destiné au
recensement des arnaques qui pourraient être effectuées à l’encontre de SFR.
Enregistrement et usage de mauvaise foi ?
Suite à la plainte, le site inexploité devient actif. L'expert estime que le but du
défendeur est de dénigrer systématiquement le requérant en le traitant d’arnaqueur
ce qui constitue un abus du droit à la liberté d’expression.
<sfrarnaque.com> D2007-1505
Intérêt légitime ?
Il n'est pas rapporté que le défendeur a enregistré le nom de domaine litigieux pour
promouvoir, à son profit, la commercialisation de produits concurrents de ceux de SmartBox.
Au contraire, il apparaît manifestement que le site internet exploité exprime des critiques
relatives aux produits commercialisés par le requérant.
Les critiques tenues ne sont pas des débordements manifestes de liberté d'expression.
<smartbox-arnaque.com> D2009-1402
29. 29
Typosquatting : détournement de trafic
Faute typographique : oubli d’une lettre
<credi-agricole.com> D2015-0472 <cronoposte.fr> FR-2014-00823 <swislife.fr> FR-2014-00831
30. 30
Dépôts spéculatifs
Des rachats amiables au tarif proche des procédures extrajudiciaires
Dans les échanges entre Galeries Lafayette et le défendeur, ce dernier propose une cession
amiable à 1 590 € puis à 900 €.
<galerieslafayette.biz> D2014-0647
Un ressortissant chinois dépose le nom de domaine <sporteleclerc.com> sans l’utiliser pour
un site internet. Il propose 1 500 $ pour céder le nom de domaine puis propose une ristourne
à 1 200 $ après un premier refus de Leclerc.
<sporteleclerc.com> D2016-1324
31. 31
Dépôts spéculatifs à des tarifs exorbitants
Redirection vers son concurrent Victoria’s Secret.
Le défendeur demande 250 000 dollars pour le céder. La
marque italienne propose 250 euros refusés par le
défendeur qui réduit sa contreproposition à 2 500 euros.
<calzedonia.online> D2016-1060
Un particulier français qui a déclaré qu’il avait déjà travaillé
pendant deux mois pour le Requérant a demandé 300 000 €
pour restituer l’adresse internet litigieuse.
<francaisedesjeux.co> DCO2016-0026
Le titulaire propose à la banque suisse Pictet de céder le
nom de domaine contre 4 millions de francs suisses, soit
environ 3,6 millions d’euros ! Lors de la procédure, le
défendeur s’avère moins gourmand et propose un accord à
100 000 euros, qui sera refusé par la banque.
<pictet.online> D2016-1081
32. 32
« UDRP » (« Uniform Domain Name Dispute Resolution Policy »)
Principes directeurs régissant le règlement uniforme des litiges relatifs aux noms de domaine
Frais à la charge du requérant
1 500 $ à régler à l’OMPI par la victime du cybersquatting
1er critère : Marque antérieure
i) le nom de domaine enregistré par le détenteur est identique ou semblable au
point de prêter à confusion à une marque de produits ou de services sur
laquelle le requérant (la personne physique ou morale qui dépose la plainte) a
des droits; et
Délai
Décision rapide rendue en 2 à 3 mois
2ième critère : Absence d’intérêt légitime
ii) le détenteur du nom de domaine n'a aucun droit sur le nom de domaine ni
aucun intérêt légitime qui s'y attache; et
Décision
En cas de succès (92 % des décisions en 2015), le requérant obtient le
transfert ou l’annulation du nom de domaine
Absence de dommages et intérêts
3ième critère
iii) le nom de domaine a été enregistré et est utilisé de mauvaise foi.
33. 33
Procédure extrajudiciaire « UDRP »
Identique ou similaire au point de prêter à confusion par rapport à une marque enregistrée
International Rugby Board (“IRB”) attaque le site internet revendant illicitement des billets pour assister à la
coupe de monde de Rugby. Le "look and feel" du site potentiellement litigieux est similaire au site officiel.
Absence d'une marque avec seulement World Cup. Il y a plusieurs "World Cup" en 2011 : Cricket World Cup
2011, FIFA Women’s World Cup 2011, Dubai Racing World Cup 2011, Dance World Cup 2011,
Snowboarding World Cup 2011 ou le FIFA Beach Soccer World Cup 2011
<worldcup2011.com> D2011-1520
Vente illicite de billets pour le tournoi de tennis
Reprise non autorisée du logo Roland Garros sur le site internet litigieux
La Fédération Française de Tennis (FFT) est titulaire de la marque FRENCH OPEN
<frenchopenlivestreaming.com> D2015-0700