Les stratégies défensives en matière de noms de domaine sont généralement guidées par la pertinence commerciale. Pourtant, certains noms de domaine de premier niveau correspondant à des codes pays présentent des facteurs de risque structurels qui les rendent plus attractifs pour des acteurs frauduleux et plus coûteux à faire respecter. Cet article examine comment l’accessibilité à l’enregistrement, le comportement des registrars et la complexité des procédures de règlement des litiges peuvent aider à identifier des ccTLD à haut risque susceptibles de justifier une priorité défensive — même dans des marchés où la marque est peu ou pas présente.

Lors de la constitution d’un portefeuille défensif de noms de domaine, la pertinence constitue généralement le principe directeur. Les marques enregistrent là où elles exercent leurs activités et là où se trouvent leurs clients. Mais la seule pertinence peut laisser subsister des angles morts. Certains noms de domaine de premier niveau correspondant à des codes pays (ccTLD) présentent des facteurs de risque structurels qui les rendent plus attractifs pour des acteurs frauduleux et plus difficiles ou plus coûteux à faire respecter. Cet article propose une approche complémentaire pour identifier les ccTLD à haut risque, en allant au-delà des simples statistiques d’abus afin d’examiner l’accessibilité à l’enregistrement, le comportement des registrars et la complexité des procédures de règlement des litiges.

Définir le périmètre d’un portefeuille défensif peut sembler intuitif : une compagnie d’assurance sera encline à enregistrer sa marque sous l’extension .INSURANCE, mais ignorera probablement le .PIZZA. De même, une entreprise opérant uniquement en Europe souhaitera enregistrer la version .FR de sa marque, mais considérera le .US comme moins prioritaire.

Ces décisions reposent sur la notion de pertinence : certaines combinaisons logiques entre une marque et une extension produisent des noms de domaine que l’entreprise pourrait utiliser elle-même ou qu’un acteur malveillant pourrait exploiter pour usurper son identité. Ce raisonnement est solide, mais la pertinence ne devrait pas être le seul critère retenu. Les gestionnaires de portefeuille devraient également prendre en compte le niveau de risque associé à une extension donnée. S’agissant des ccTLD, cela peut conduire à enregistrer dans des pays où la marque est peu ou pas présente, mais où les abus sont à la fois plus probables et plus coûteux à traiter.

L’approche habituelle pour identifier les « ccTLD à risque » est mathématique : on divise le nombre de noms abusifs par le nombre total de noms enregistrés et on en déduit un pourcentage. Il s’agit d’un indicateur pertinent, mais qui peut produire des résultats biaisés lorsque l’échantillon est réduit ou lorsque la fraude augmente temporairement en raison de promotions tarifaires.

Le présent article adopte une approche différente, en s’intéressant aux canaux d’enregistrement des noms de domaine et au comportement des utilisateurs afin d’identifier les ccTLD qu’un fraudeur pourrait choisir pour des raisons autres que le prix. Bien que plus spéculative, cette méthode pourrait se révéler plus résistante aux fluctuations temporaires et mieux éclairer les décisions relatives aux enregistrements et renouvellements défensifs sur le long terme.

Aux fins de cet article, nous avons retenu trois caractéristiques des ccTLD que les acteurs frauduleux sont susceptibles de considérer au moment de choisir un nom de domaine :

Le ccTLD peut être facilement enregistré dans leur pays.
Le ccTLD est proposé par des registrars ayant un historique défavorable en matière de traitement des plaintes pour abus.
La politique de règlement des litiges du ccTLD rend difficile, pour une victime étrangère, la neutralisation ou la récupération du nom de domaine.

Approfondissons ces facteurs de risque afin d’identifier les ccTLD méritant une attention particulière.

Dans quels pays opèrent les fraudeurs et quels ccTLD y sont accessibles ?

Ce premier élément suppose de comprendre l’origine géographique des fraudes et des attaques de phishing. Il est difficile d’en tracer précisément la provenance, mais une étude[1] indique la répartition suivante parmi les cinq principaux pays d’origine des courriels de phishing :

Russie (24,77 %)
Allemagne (14,12 %)
États-Unis (10,46 %)
Chine (8,73 %)
Pays-Bas (4,75 %)

On peut considérer que l’Allemagne, les États-Unis et les Pays-Bas sont pleinement intégrés à l’économie mondiale, leurs résidents pouvant utiliser des cartes bancaires locales pour enregistrer des noms de domaine sous de nombreuses extensions. Il en résulte que .DE, .US et .NL ne constituent pas nécessairement le premier choix des fraudeurs dans ces pays, qui pourraient plutôt privilégier l’extension la moins chère.

La situation est différente en Russie et en Chine, dont les économies sont plus fermées. Un fraudeur peut rencontrer des difficultés à obtenir une carte bancaire utilisable auprès de prestataires étrangers[2] et être ainsi incité à recourir à un registrar acceptant des moyens de paiement locaux. De même, les registrars de ces pays peuvent avoir des difficultés à proposer des extensions issues de registres internationaux, voire y être soumis à des restrictions[3]. Cette combinaison de facteurs peut conduire un fraudeur en Russie ou en Chine à enregistrer plus facilement sous .RU ou .CN, simplement parce qu’il dispose d’un moyen réaliste de paiement. Les statistiques traditionnelles des ccTLD les plus utilisés pour le phishing semblent confirmer cette tendance, ces deux extensions figurant parmi les dix premières[4].

Quels registrars pourraient attirer les fraudeurs et quels ccTLD proposent-ils ?

Les exploitants de sites hébergeant des contenus susceptibles d’être considérés comme illégaux ou immoraux recherchent souvent des registrars et des hébergeurs moins enclins à traiter les demandes de retrait[5]. On les qualifie parfois de « bulletproof registrars ».

Nous avons examiné les tableaux de sélection et de tarification publiés sur les sites de trois registrars s’identifiant à ce segment afin de détecter des tendances dans les ccTLD proposés.

Trustname

Pays : Estonie
Extrait du site : « Trustname is the world’s most trusted independent domain registrar for sensitive niches. »
ccTLD disponibles[6] : .AC, .AG, .BZ, .FM, .GL, .LC, .ME, .MN, .MU, .PR, .SC, .VC
Commentaire : principalement issus de petits pays, mais opérés via de grands prestataires techniques (par exemple Identity Digital, CentralNic).

PRQ

Pays : Suède
Extrait du site : « We are a specialized hosting provider, located in Sweden, a free-speech haven. We serve a growing community of international clients with special needs. »
ccTLD disponibles[7] : .ST, .AS, .CA, .CC, .CO, .CR, .DK, .FI, .FR, .IM, .IO, .IS, .ME, .PK, .PW, .SI, .SU, .TO, .TV, .UK, .AI
Commentaire : certains ccTLD sont proposés via de grandes plateformes techniques, d’autres nécessitent des procédures manuelles auprès des autorités locales.

Njalla

Pays : Suède (exploité par Njalla OKTET AB ; fondé par des personnes associées à l’écosystème The Pirate Bay)
Extrait du site : « We are a privacy-focused domain name registrar and hosting provider. We register domains on behalf of our customers to minimize their exposure. »
ccTLD disponibles[8] : .BZ, .CC, .CO, .CX, .FI, .SI, .TW, .AC, .DO, .GS, .IO, .LA, .LC, .MS, .TV, .VC, .GD, .GL, .PE, .PH, .AI, .HN, .HT, .SC, .TL
Commentaire : similaire aux exemples précédents, avec une forte intégration de ccTLD opérant sur le logiciel de registre CoCCA.

À partir de ces éléments, nous concluons que ces registrars ne sélectionnent pas les ccTLD uniquement en fonction d’une pression plus ou moins forte des gestionnaires de registre pour traiter les demandes de retrait. Ils privilégient surtout la facilité d’intégration technique : si un ccTLD est proposé via un opérateur majeur, il sera intégré ; si son intégration suppose l’ajout d’un nouveau prestataire, il pourra être écarté.

Dans ce contexte, il peut être pertinent pour le gestionnaire de portefeuille d’identifier les ccTLD issus de marchés peu pertinents commercialement mais techniquement faciles à intégrer pour les registrars. Ceux-ci pourraient devenir des priorités plus élevées en matière d’enregistrement défensif, dès lors qu’ils peuvent être enregistrés via des prestataires peu enclins à traiter les demandes de retrait, même en cas de fraude manifeste.

Quels ccTLD rendent difficile la présentation d’un litige par des étrangers ?

Lorsqu’il choisit de ne pas enregistrer défensivement un nom dans un pays peu pertinent, un gestionnaire de marque peut supposer qu’en cas de fraude active, une procédure UDRP pourra être engagée. Il est vrai que de plus en plus de pays adoptent l’UDRP ou une variante, mais ils restent minoritaires.

De nombreux pays, y compris certains marchés importants, appliquent des politiques de règlement des litiges imposant le dépôt dans la langue locale et selon des standards peu familiers aux praticiens de l’UDRP. D’autres n’ont aucune politique spécifique et exigent que les litiges soient portés devant les juridictions locales. La récupération d’un nom abusif devient alors nettement plus coûteuse qu’une procédure UDRP, en raison des frais de traduction, d’avocats locaux et de formalités administratives.

Pris isolément, ce facteur ne justifie pas nécessairement un enregistrement défensif. La plupart des pays n’appliquant pas l’UDRP ne remplissent ni le premier ni le deuxième critère de risque évoqué ci-dessus. Il n’y a donc pas lieu de présumer une probabilité plus élevée d’abus. Au contraire, ces ccTLD présentent souvent des procédures d’enregistrement non standardisées et des plateformes propres, ce qui peut rendre leur enregistrement plus difficile et plus coûteux pour les fraudeurs.

L’absence de recours UDRP doit plutôt être considérée comme un facteur aggravant des deux autres critères. Autrement dit, si un ccTLD est accessible aux fraudeurs et en même temps difficile à contester, le risque ne doit pas être négligé. À ce titre, .CN et .RU devraient être envisagés pour un enregistrement défensif, même pour des clients n’ayant aucune activité en Russie ou en Chine, les procédures de règlement des litiges dans ces pays étant réputées complexes pour les étrangers.

Conclusion

Les gestionnaires de portefeuille connaissent parfaitement l’activité commerciale de leur entreprise et savent identifier les noms de domaine les plus pertinents à enregistrer à titre défensif. En revanche, l’univers des ccTLD constitue un réseau complexe d’autorités nationales, d’opérateurs techniques de registre et de registrars accrédités. Démêler cet ensemble afin d’en révéler les risques dépasse souvent le champ d’action des cabinets d’avocats et des juristes d’entreprise, mais relève pleinement de l’expertise de sociétés comme IP Twins.

L’accessibilité à l’enregistrement, la friction en matière d’enforcement et le coût de remédiation sont des dimensions distinctes du risque, chacune augmentant le niveau de priorité à accorder à un enregistrement défensif. Qu’il s’agisse d’un système formalisé (par exemple un système de notation) ou d’une simple prise de conscience accrue, ces dimensions devraient être intégrées dans l’évaluation du seuil justifiant un enregistrement défensif.

Si cet article soulève des interrogations quant aux éventuelles lacunes d’un portefeuille défensif, les responsables de compte d’IP Twins peuvent réaliser un audit et recommander une approche raisonnable afin de couvrir les ccTLD les plus risqués qui pourraient autrement être négligés.