Sécuriser ses noms de domaine : un enjeu crucial pour les services publics dématérialisés

Concept illustrant le nom de domaine
©Canva/DAJ

Depuis plusieurs années, les services publics s’adaptent aux nouveaux besoins issus de la transformation numérique de la société, et proposent de plus en plus de démarches administratives en ligne. Il est désormais possible, et parfois même nécessaire, d’accéder à des plateformes numériques pour effectuer sa déclaration d’impôts, accéder à ses données d’assurance maladie, ou encore formuler ses vœux d’affectation à des formations de l’enseignement supérieur.

Pour proposer des outils numériques adaptés et sécurisés, les administrations doivent conjuguer la simplicité d’utilisation aux enjeux croissants de cybersécurité liés à ces plateformes, sur lesquelles transitent, notamment, des données personnelles sensibles.

Pour un internaute, la porte d’entrée  d’un service public en ligne est indiscutablement son nom de domaine, c’est-à-dire l’adresse internet qui permet d’accéder au site officiel de l’administration. Lorsqu’il visite un site accessible via un nom de domaine se terminant par la séquence « .gouv.fr » (par exemple : www.certificat-air.gouv.fr), l’internaute a la garantie de naviguer sur un site officiel, sur lequel il ne risque de pas de transmettre ses données personnelles à des tiers malveillants ou de se faire facturer de faux services.

Mais l’extension « .gouv.fr » n’empêche pas les acteurs malveillants de reproduire à l’identique la physionomie des sites officiels pour tromper les internautes (pratique des « sites miroirs ») et ainsi obtenir qu’ils divulguent des données personnelles voire bancaires. Pour cela, les cybersquatteurs utilisent notamment des noms de domaine très proches de l’adresse du site officiel, en y apportant une variation minime  difficilement perceptible (par exemple www.certiificat-air-officiel.fr), et/ou copient l’extension « .gouv.fr » (par exemple www.certificat-air-gouv.com).

Quatre conseils pour mieux protéger les identités publiques sur internet

1.    Sécuriser le nom de domaine avant toute divulgation du nom du dispositif

Avant tout lancement d’un nouveau service dématérialisé, mais plus généralement avant toute communication (notamment annonce politique) sur une nouvelle politique publique, il est indispensable de réserver le nom de domaine qui accueillera le site associé.

La règle générale en matière de noms de domaine est celle du « premier arrivé, premier servi ». Il s’agit donc d’un actif peu cher (son coût annuel est de quelques dizaines d’euros) et très facile à obtenir (pas de procédure d’examen, son achat auprès d’un bureau d’enregistrement est – lorsqu’il est disponible – immédiat).

Sécuriser le nom de domaine qui permettra d’accéder à un service public en ligne doit donc impérativement être une étape préalable à l’annonce de ce service. A défaut, il est probable que des démarches opportunistes ou malveillantes soient engagées par des tiers, rendant le nom indisponible et pouvant contraindre l’entité publique à chercher un nouveau.  

2.    Etablir un périmètre défensif adapté et suffisant autour du nom retenu

Pour un même radical (le nom du service public), il existe de très nombreuses extensions possibles (.fr, .com, .org, .net, .eu, etc.).

Dès lors, au-delà de l’adresse officielle qui hébergera le service public dématérialisé, il est indispensable de réserver d’autres noms de domaine correspondant au nom dudit service (et, éventuellement, à des variantes évidentes) avant toute annonce du nom retenu.

S’il n’est ni pertinent ni réaliste de réserver un nom de domaine dans toutes les extensions (il en existe des centaines), ce périmètre défensif doit être adapté pour chaque projet, en fonction des enjeux associés au service concerné (notamment ses risques d’usurpation). Dans l’exemple fictif d’une plateforme numérique baptisée « Ma Plateforme Numérique » dont le site officiel serait accessible sur <ma-plateforme-numerique.gouv.fr>, il serait intéressant de réserver <ma-plateforme-numerique> dans les extensions principales telles que le .fr, le .com, le .net, le .org, le .info voire le .eu, ainsi que les variantes autour de <maplateformenumerique>, <ma-plateformenumerique> ou <maplateforme-numerique>.

L’objectif n’est pas d’activer ces noms vers un site mais de les rendre indisponibles pour des tiers, qui ne pourront donc pas les utiliser pour des démarches parasitaires ou illicites.

3.    Mettre en place une surveillance des créations de noms de domaine identiques/proches

Pour pouvoir identifier précocement les créations de noms de domaine malveillants, il est recommandé d’associer à ces démarches préventives un dispositif actif de surveillance permettant de détecter les réservations de noms de domaine identiques ou proches du nom d’un service public.

En s’adressant à un prestataire spécialisé, il est en effet possible d’être informé de la création de noms de domaine identique ou proches du nom du dispositif public, en obtenant certaines précisions sur l’identité du réservataire, la configuration d’un site internet actif, voire l’existence ou non d’un serveur de messagerie laissant craindre le lancement de campagnes de hameçonnage visant à envoyer des courriels frauduleux à des internautes. Ces informations permettent d’envisager rapidement des actions en réponse.

4.    Agir rapidement pour défendre le nom de domaine officiel

En mettant en place une telle veille, des actions peuvent être engagées rapidement pour obtenir la suspension d’un site internet illicite, son déréférencement des moteurs de recherches et/ou introduire des procédures spécifiques visant la suppression ou la récupération du nom de domaine litigieux (procédures alternatives de résolution des litiges dites « PARL »). En 2022, les services de l’Etat ont, par exemple, utilisé ces outils pour récupérer la titularité de noms de domaine stratégiques, tels que <tracfin-france.fr>, <anssi-france.org> ou encore <agrement-qualiopi.fr>.

Enfin, il est utile de rappeler que, lorsqu’il est exploité (qu’il dirige vers un site Internet actif), le nom de domaine peut être mobilisé comme fondement de procédures judiciaires (par exemple, pour mettre en cause la responsabilité civile d’une personne causant un préjudice à une entité publique) mais également dans le cadre de procédures extra judiciaires. Par exemple, depuis la réforme du droit des marques, le nom de domaine est devenu un nouveau fondement permettant de s’opposer devant l’INPI à l’enregistrement d’une marque postérieure, sous certaines conditions. Ainsi, le dépôt d’une marque reprenant le nom d’un service public peut être mis en échec sur la base d’un nom de domaine antérieur dirigeant vers un site exploité.

Ces multiples rôles du nom de domaine, outil de communication et d’identification des politiques publiques sur internet, mais également levier juridique à part entière, confirment son rôle d’actif clé d’une stratégie efficace de valorisation et de défense du patrimoine immatériel public.

Plus d'infos sur les procédures alternatives de résolution des litiges