Nom de domaine abandonné : attention aux risques
Dans le vaste secteur des risques cyber, les directions juridiques et cabinets d’avocats ne sont pas épargnés. Alors d’un cabinet d’avocats américain s’est récemment vu réclamer 42 millions de dollars, d’autres pratiques moins connues que le rançongiciel se révèlent tout aussi dangereuses. C’est le cas des noms de domaine abandonnés, qui peuvent devenir des portes d’entrées pour les hackers aguerris. Réalisons un tour d’horizon des risques et des bonnes pratiques en matière de Propriété Intellectuelle et de cybersécurité.
Nom de domaine et emailing, le risque de l’abandon
Lors de la fusion de cabinets d’avocats ou de changement de nom d’entreprise suite à un rachat ou une fusion, la création d’une nouvelle marque occupe les esprits. Un nouveau nom de domaine est alors enregistré et sert à créer des emails professionnels à chaque collaborateur.
Que faire de l’ancien nom de domaine ? Très souvent, il est simplement abandonné lors de la prochaine échéance. Après une période de grâce, il tombe dans le domaine public. Il peut alors être enregistré par n’importe qui sans aucune vérification préalable. Des milliers de noms de domaines sont ainsi abandonnés chaque année.
Si vous raisonnez uniquement en défense des marques ou cybersquatting, vous vous dites qu’il est toujours possible de contester l’usurpation. Mais le véritable danger est ailleurs !
En effet, il suffit à un hacker de récupérer la propriété du nom de domaine abandonné pour accéder facilement à votre ancienne messagerie. En créant à nouveau des emails aux noms de collaborateurs et en réinitialisant leurs mots de passe, il devient possible de se connecter à tous les portails et outils pour lesquels votre ancien email professionnel était utilisé !
Votre email sert non seulement à envoyer des courriers professionnels contenant des informations personnelles sensibles, voire des données financières. Il sert également à vous connecter à un grand nombre d’applications, de sites et d’outils parmi lesquels votre banque, votre expert-comptable, un ou plusieurs clouds, ceux de vos clients, vos contacts, vos réseaux sociaux, les services administratifs et fiscaux, les greffes des tribunaux, etc.
Très souvent, seule l’adresse email est requise pour retrouver un mot de passe perdu. Cette faille de sécurité a d’ailleurs conduit plusieurs services en particulier les banques à adopter une double authentification : à votre email et mot de passe s’ajoute le plus souvent une vérification sur votre mobile.
La 2ème directive 2015/2366 du 25 novembre 2015 relative aux services de paiement dans le marché intérieur (DSP2) a ainsi été transposée en droit français par la loi n°2016-1321 du 7 octobre 2016 pour une république numérique et par l’ordonnance n°2017-1252 du 9 août 2017. Les banques ont jusqu’au 31 décembre 2020 pour se mettre en conformité avec les nouvelles règles de sécurité.
Et imaginez l’impact d’une telle fraude sur l’image de votre cabinet d’avocats ou de votre entreprise. Imaginez qu’un hacker envoie des messages à d’anciens clients, collègues ou se crée de faux comptes sociaux ! Engager des procédures judiciaires contre des hackers invisibles et intraçables est une lutte complexe et sans fin.
Un sociologue américain a tenté une expérience intéressante en matière de respectabilité du nom de domaine : il a enregistré un nom de domaine abandonné “ChristianTimesNewspaper.com” et fort de cette crédibilité journalistique erronée a publié des fake news concernant Hillary Clinton. Ses articles ont obtenu 6 millions de clics et ont fini par être partagés par Donald Trump en campagne pour son élection !
Comment éviter de voir un ancien nom de domaine piraté ?
D’après les professionnels de la cybersécurité, quelques bonnes pratiques suffisent à éviter le pire.
- En premier lieu, ne pas abandonner votre ancien nom de domaine, le coût du renouvellement est loin d’être exorbitant ! Vous pouvez d’ailleurs créer simplement une page web qui informe de la création d’une nouvelle entité et renvoie vers le nouveau site du cabinet.
- Fermer les comptes des utilisateurs enregistrés avec l’ancien email de vos collaborateurs sur tous les services en ligne.
- Modifier les emails professionnels sur tous les réseaux sociaux.
- Privilégier la double authentification et adopter des mots de passe uniques pour chaque site !
- Être conscient que les avocats sont une cible intéressante pour les hackers. Le célèbre cabinet d’avocats américain Grubman Shire Meiselas & Sacks, qui défend les intérêts de célébrités des médias, des arts et du sport s’est vu réclamer au printemps 42 millions de dollars après l’intervention d’un rançongiciel…
Notre cabinet d’avocats en Propriété Intellectuelle bénéficie d’une expertise conséquente dans la gestion de portefeuilles de noms de domaine. Il accompagne les entreprises dans leur fusion et changement de nom par une stratégie d’enregistrement de marques et de noms de domaine cohérente et sûre.
Stéphane Bellec, avocat associé du Cabinet De Baecque, Fauré, Bellec
Avocat Propriété Intellectuelle
Tél. + 33 (0) 1 53 29 90 00
Étiquettes : Cybersquatting, Défense de marques, Hacker, Nom de domaine