Un nom de domaine, ça se vole…

Le nom de domaine a beau être virtuel, sa valeur est bien réelle. Certains n'hésitent donc pas à essayer d'en voler. Comment et pourquoi ? Explications.

Lecteurs réguliers du "Journal du Net" et de cette Tribune, vous savez déjà à quel point le nom de domaine est devenu un actif de valeur. Porte d'entrée sur le Net, identifiant d'une marque ou d'une activité, porte drapeau d'une société ou d'un particulier, il peut représenter parfois des investissements de plusieurs millions. La convoitise que suscite un nom de domaine est donc très forte, au point d'encourager le vol et le détournement par certains individus sans scrupules.
 
A l'achat, certains noms sont valorisés des sommes folles. Parfois parce qu'ils sont courts, ainsi les .COM à 2 ou 3 caractères sont particulièrement prisés. Ceux à 1 caractère, aujourd'hui interdits à l'enregistrement, constituent même un casse-tête pour les instances de régulation de l'Internet. En effet, depuis des années, on se demande comment les commercialiser sans provoquer de raz-de-marée de surenchères et de garantir au plus grand nombre un accès équitable à ces noms...
 
La valeur d'un nom passe aussi par sa signification. Les plus grosses ventes se sont ainsi faites sur des termes génériques en .COM, tout simplement parce qu'ils sont tellement intuitifs qu'ils attirent forcément les Internautes. Surtout lorsqu'il s'agit de noms liés au sexe ou à l'alcool... Ainsi parmi les noms les plus chers de l'histoire on trouve beer.com, revendu $7 millions, porn.com ($9 millions) ou le détenteur du record absolu, sex.com revendu entre 12 et 14 millions de dollars.
 
Volé pendant 5 ans 
  Justement, sex.com est à l'origine d'une incroyable saga. Car il fut volé, puis récupéré, avant d'être vendu pour cette somme affriolante. En 1994 Gary Kremen a une idée aussi géniale que simple. Il enregistre un nom de domaine plutôt évocateur : sex.com. A l'époque, peu de gens comprennent le potentiel de l'Internet et l'importance des enjeux financiers qu'il pourra représenter. Mais Kremen est plutôt du genre génie précoce. La preuve, quelques temps plus tard il va aussi se lancer dans un autre projet, celui de match.com, l'équivalent américain du site de rencontres Meetic.
 
Là où Kremen est doué pour l'Internet, Stephen Michael Cohen donne plutôt dans les arnaques en tout genre. En 1995, il a déjà été plusieurs fois devant les juges aux USA lorsqu'il décide de dérober sex.com. A l'époque, il n'y a qu'un seul registrar (appelé "bureau d'enregistrement" en français, il s'agit des sociétés comme Indom.com, habilitées à enregistrer des noms de domaine) dans le monde. En falsifiant un fax, que le registrar en question ne prendra même pas la peine de vérifier dans le détail, Cohen obtient la gestion de sex.com. Dorénavant, il contrôle ce nom qui ne lui appartient pas et va pouvoir l'exploiter pour en tirer profit.
 
Ainsi, de poursuites en procès, Gary Kremen mettra 5 ans pour récupérer sex.com. Entre temps, Stephen Michael Cohen profitera au maximum de son bien mal acquis et récoltera une petite fortune. Lors du jugement définitif dans cette affaire, le tribunal ordonnera d'ailleurs le paiement à Kremen de $65 millions de dommages et intérêts ! Voilà qui donne une petite idée de son manque à gagner pendant les 5 années où il n'a pu exploiter sex.com...
 
Les vols de noms sont fréquents 
L'affaire sex.com illustre parfaitement l'importance de se soucier, et de se prémunir, contre le vol d'un nom de domaine. Et des noms dérobés, il y en a tout le temps. Rien que cette année, des noms à valeur élevée comme vl.com, yh.com, MakeUseOf.com ou encore recent.net ont été subtilisés à leurs légitimes propriétaires.
 
Comment vole-t-on ? Pour prendre le contrôle d'un nom de domaine, il faut généralement disposer des codes permettant de le gérer chez le registrar auprès duquel il a été enregistré. Les tactiques pour y parvenir sont similaires à celles utilisées dans la plupart des cas de vols d'identifiants sur Internet. Le voleur va par exemple cibler le compte email du propriétaire (dont l'adresse apparaît sur la fiche Whois du nom de domaine en question). Plusieurs vols récents ont pu être effectués en exploitant des failles de sécurités gmail par exemple.
 
Une fois qu'il s'est approprié les codes d'accès d'un nom de domaine, le voleur peut se connecter aux systèmes du registrar et demander transfert du nom vers un autre bureau d'enregistrement (aussi appelé "transfert sortant"). Il prend de cette façon le contrôle du nom et le met en plus à l'abri d'une récupération rapide en brouillant les pistes. Enfin, il peut rediriger le trafic du nom de domaine vers un site de son choix ou une page parking dont les liens sponsorisés lui apporteront un revenu en rapport avec la notoriété du nom. Par exemple, sex.com, après son vol, générait jusqu'à 15 000 dollars US par jour à son ravisseur !
 
Pourquoi voler ? Généralement dans l'idée de les revendre rapidement, avant que le vol ne soit rendu public, de manière à ce que l'acheteur ne puisse se douter qu'il est victime de recel. Car si le voleur tarde trop à se débarrasser de son butin, il risque de se faire pincer,  l'ère du Far West de l'Internet étant quand même révolue. Aujourd'hui, il est inimaginable de pouvoir exploiter un nom de domaine volé pendant 5 ans sans que son vrai propriétaire ne puisse le récupérer, façon sex.com. Les registrars et les tribunaux sont maintenant informés des risques de vols, et ils n'hésitent pas à agir, souvent en collaboration avec des instances de gouvernance telles que l'Icann, organisme en charge de la régulation technique de l'Internet.
 
Après, si le voleur parvient à vendre le nom, il peut disparaître avec l'argent, laissant l'acquéreur se faire inquiéter. A terme, ce dernier se retrouvera le bec dans l'eau. Le nom de domaine qu'il a acheté sera rendu à son propriétaire légitime, et l'argent qu'il aura versé se volatilisera en même temps que le voleur...
 
Le bon sens avant tout 
On le voit, il y a plusieurs écueils à éviter. Alors, si vous avez un ou des noms de domaine et que vous y tenez, pensez bien à : 

-  Vérifier que l'adresse email que vous utilisez comme identifiant sur le nom est bien à jour (certains ont perdu des noms parce qu'ils ont laissé expirer leur adresse email, qui a immédiatement été reprise par un tiers).

-  Vérifier que l'accès à ce compte email est sécurisé.

Prendre connaissance des mesures de sécurité mises en place par votre registrar pour vous protéger (chez Indom par exemple, un client peut marquer un nom comme critique et demander la vérification systématique des demandes de transferts sortants reçues pour le nom).

Surveiller vos dates d'expiration. Si vous oubliez de renouveler votre nom, un tiers pourra l'enregistrer à votre place. Ce n'est pas un vol, mais les conséquences sont les mêmes : vous perdez l'usage de votre nom. Seulement dans ce cas, il sera très difficile de le récupérer : son nouveau propriétaire l'ayant enregistré légitimement. Seul véritable possibilité, racheter votre propre nom à son nouveau propriétaire...Qui sait très bien que ce nom a une forte valeur à vos yeux, et risque d'en demander cher.
De même, si vous achetez des noms de domaine, il faut aussi vérifier certains points pour ne pas se retrouver avec un nom volé :

L'historique du nom. Si ce dernier a changé plusieurs fois de propriétaire ou de registrar ces derniers mois, il vaut mieux savoir pourquoi.

L'identité du vendeur. Ce dernier accepte-t-il de converser par téléphone ou de donner d'autres coordonnées qu'un simple email, gage de sa bonne foi ?

-  Le moyen de paiement demandé. Un virement bancaire sera toujours plus sécurisé qu'une transaction effectuée uniquement par le biais d'un système de paiement plus ou moins anonyme comment il existe sur le Net.
 
Bien entendu, ces quelques conseils ne sont pas exhaustifs. Dans tous les cas, c'est d'abord le bon sens qui prévaut. Gérer ses noms de domaine à la légère, avec plusieurs adresses emails en identifiants, auprès de plusieurs registrars qui se contentent de vous envoyer une relance email unique à la date d'expiration (relance qui terminera probablement dans votre filtre spam), c'est courir autant de risques et de se rapprocher du désastre.
 
Consolider ses noms chez un même registrar, société qu'on aura pris la peine de connaître en s'assurant qu'elle ait au moins pignon sur rue (si elle possède des bureaux en France c'est encore mieux, la communication et la gestion d'éventuels litiges n'en sera que facilitée), souscrire auprès du registrar à d'éventuels services permettant de se prémunir de transferts sortants abusifs ou d'expirations non signalées, utiliser une adresse email sécurisée pour ses noms... autant de précautions qui vous aideront à vous protéger.
 
En matière de noms de domaine comme ailleurs, il ne sera jamais possible d'empêcher des gens malhonnêtes de convoiter les biens d'autrui, surtout quand ils ont beaucoup de valeur. Aux propriétaires légitimes d'en avoir conscience, et d'éviter de "laisser son portefeuille en évidence, à l'intérieur de sa voiture, lorsque celle-ci est garée dans un lieu public".
 
Une dernière astuce, à la fois pour vous protéger d'éventuels larcins et pour mieux prendre conscience de l'ampleur du phénomène : le site www.domaintheft.org. Comme ce nom l'indique, ce site recense les vols de noms. Y sont listés environs 140 noms volés. C'est bien entendu une goutte d'eau dans l'océan des 190 millions de noms de domaine déposés dans le monde et il n'est pas question de verser dans le catastrophisme. Sauf si on vous propose un de ces noms à l'achat... ou si l'un des noms de cette liste vous appartenait.

Autour du même sujet