Category

Cybersquatting

À vos marques ! Face au cybersquatting, comment lutter ?

By | Cybersquatting

Le cybersquatting, ce véritable fléau qui frappe les marques sur Internet consiste à enregistrer un nom de domaine similaire ou identique à une marque existante afin d’en tirer profit en le revendant à l’ayant droit. Un type d’atteinte qui altère également la visibilité de la marque et contribue à dégrader son image auprès des internautes. Certains pensent que le phénomène est inévitable et que l’on ne peut guère lutter. Pour savoir comment adapter sa stratégie défensive en ligne face à la montée en puissance de ce phénomène, nous avons interviewé Raphaël Tessier, expert en protection des actifs de l’entreprise sur Internet, et Directeur conseil au sein de EBRAND SERVICES.

 

Le temps est loin où il suffisait d’enregistrer sa marque dans les principales extensions génériques pour la protéger. Avec actuellement plus de 1 500 extensions Internet actives, il faut penser différemment. S’il est difficile d’évaluer le nombre de noms de domaine enregistrés avec une intention malveillante à l’égard des marques, on sait cependant que chaque année le nombre de plaintes déposées auprès de l’OMPI (Office Mondial de Propriété Intellectuelle) ne cesse d’augmenter : en 2017, l’Office recensait 3 074 procédures portant sur 6 370 noms de domaine. Notons en outre que ces chiffres ne tiennent pas compte des plaintes non déposées, faute de budget, du nombre de litiges évités grâce aux négociations ayant abouti, ni du nombre de litiges résolus grâce aux procédures mises en place par les registres.

Dans ce contexte de fraude généralisée, quelle stratégie défensive adopter ?

Le mouvement, c’est la vie et sur Internet, le mouvement va très vite. Une stratégie défensive performante doit donc suivre ce mouvement et s’adapter constamment. En 2018, le principe de base pour lutter efficacement contre le cybersquatting est de :

  1. enregistrer les noms de domaine dont on a besoin, c’est-à-dire identiques à la marque et véritablement utiles à l’entreprise ; à titre préventif, je conseille d’enregistrer aussi les quelques variantes évidentes de la marque, incluses dans le périmètre de protection défini préalablement ;
  2. bloquer les enregistrements en utilisant les mécanismes de protection mis en place à destination des titulaires de marques ;
  3. surveiller les enregistrements de noms de domaine identiques ou contenant la marque ;
  4. réagir systématiquement dès qu’un enregistrement abusif est détecté. Il faut ainsi notifier le titulaire et, le cas échéant, tous les acteurs impliqués dans la chaîne.

Concrètement, comment peut-on bloquer les enregistrements abusifs ?

Insuffisamment connus des titulaires de marques, des mécanismes permettent aujourd’hui d’agir de manière préventive :

  • La DPML (Domains Protected Marks List) est un service de blocage qui couvre 238 extensions (parmi lesquelles .EXPERT, .TRAVEL ou .PIZZA) et empêche les enregistrements de noms de domaine correspondant à vos marques,
  • Le TREx (Trademark Registry Exchange) est un service de blocage complémentaire, valable sur 40 extensions Internet, telles que .LONDON, .FASHION ou .DE.

Utilisés conjointement, ils permettent de sécuriser près de 280 extensions sans avoir à recourir à des enregistrements défensifs coûteux. Notons ici un point fondamental, ces mécanismes sont accessibles aux marques inscrites dans la TMCH (Trademark Clearinghouse), le répertoire central des marques enregistrées. Il s’agit là d’un pré-requis à toute stratégie de blocage des enregistrements.

Que peut-on faire concernant les quelque 1 200 extensions non couvertes par ces dispositifs ?

Il faut surveiller ces extensions de près ! Parce que le cybersquatting est devenu un vrai business : certaines sociétés se sont spécialisées dans l’enregistrement de noms de domaine abusifs afin de les revendre à leurs ayant-droits ou à toute autre personne intéressée.

Nous avons à notre disposition aujourd’hui des outils efficaces permettant d’industrialiser l’identification et la suppression des atteintes sur Internet. Il est ainsi possible de surveiller :

On peut en outre adapter la surveillance de façon à couvrir au plus près les marchés et territoires de la marque.

Ces solutions permettent ainsi aux entreprises concernées et à leurs services juridiques de protéger leurs marques, de gagner en efficacité et se concentrer sur l’essentiel. Car rappelons-le, une marque bien protégée est avant tout une marque bien surveillée.

Quel budget faut-il prévoir ?

Contrairement à une idée reçue, il ne coûte pas si cher en 2018 de surveiller sa marque sur Internet. Par exemple, pour 360 € par mois et par marque, vous pouvez à la fois surveiller l’enregistrement de noms de domaine sur l’ensemble du Web et diligenter des actions précontentieuses envers les contrevenants. Rappelons qu’une seule procédure auprès de l’OMPI coûte en moyenne 3 000 € et nécessite beaucoup de temps et d’énergie.

En complément, les dispositifs de blocage des enregistrements coûtent respectivement : DPML, 3 500 € pour 5 ans ; TREx, 349 € par an ; TMCH, 250 € par an ; ce qui représente un budget blocage annuel d’environ 1 300 €, soit 4,67 € par extension protégée.

Pour en savoir plus sur la façon dont EBRAND SERVICES peut vous aider à lutter contre le cybersquatting sur Internet, cliquez ici.

Par Sophie AUDOUSSET pour EBRAND SERVICES France.

Homoglyphe : vrais ou faux noms de domaine ?

By | Cybersquatting

Air France, Ikea, E. Leclerc, Nike… en ont fait les frais ces derniers mois. L’homoglyphie, nouvelle déclinaison du typosquatting, est à la mode chez les fraudeurs. De quoi s’agit-il ?

 

Billets d’avion gratuits pour les 85 ans d’Air France, bons d’achat pour les 75 ans d’Ikea ou les 70 ans de Leclerc, chaussures gratuites chez Nike… Depuis des mois, ces fausses promesses, mais vraies arnaques, se multiplient. Elles sont diffusées et relayées par mail, par SMS, via Facebook, WhatsApp ou autre réseau et sont devenues un véritable fléau pour les titulaires de marques en nuisant à leur image et à leur réputation.

En effet, une nouvelle forme de typosquatting sévit. Il suffit d’enregistrer un nom de domaine en remplaçant un ou plusieurs caractères de la marque attaquée par d’autres caractères quasi semblables. On appelle “homoglyphes” les caractères utilisés à cette fin. Il est facile de les trouver dans les alphabets tels que le cyrillique ou le grec par exemple, mais aussi dans l’alphabet latin. Et lorsque l’on substitue une lettre à une autre dans une adresse email contenue dans le corps d’un message, le consommateur ne le voit généralement pas.

Ainsi une seule lettre distingue www.airfrance.com de www.airfrḁnce.com. Si vous observez bien le deuxième nom, vous remarquerez que sous le “a” de « france », un rond souscrit* fait la différence. Il est quasiment indétectable : “ḁ”.

“www.ikea.com” écrit en caractères cyrilliques devient “www.ıĸea.com”.En lisant rapidement le message, on est facilement trompé… Et si le message provient d’un proche, on ne se méfie guère. Ces attaques sont redoutables : pour les marques, parce qu’elles dégradent leur image, mais aussi pour les consommateurs abusés dont les données personnelles et coordonnées bancaires sont, par ce biais, récupérées. Afin de les combattre et les déjouer, il faut savoir ce qui les rend possibles.

DU TYPOSQUATTING A L’HOMOGLYPHIE : COMMENT TOUT A COMMENCÉ ?

Depuis sa création dans les années 80, le système des noms de domaine permettait l’enregistrement de noms écrits dans les seuls caractères latins non accentués, soit les lettres de «a» à «z», plus les chiffres de 0 à 9 et le tiret «-». Pendant cette période, les fraudeurs ont largement utilisé le typosquatting, pratique consistant à déposer des noms ressemblant à des noms existants en y incorporant une faute volontaire (double voyelle ou consonne, remplacement d’une lettre par une autre, etc.). Pour protéger leurs noms, les titulaires de marques enregistraient alors un maximum de noms dans différentes extensions et les orthographiaient en tenant compte eux-mêmes des fautes possibles.

En février 2003, le nouveau protocole IDNA (Internationalized Domain Names in Applications) permettant l’usage de caractères non définis par le standard ASCII apparaît. Celui-ci autorise l’enregistrement de noms de domaine contenant les caractères accentués comme le « à » ou le « é », ou d’autres caractères n’appartenant pas à l’alphabet latin. Techniquement, ces noms de domaine internationalisés, dits IDNs, sont convertis au format Punycode (reconnaissable par l’utilisation de son préfixe « xn »), afin d’être identifiés et compris par les machines. Ainsi, pour utiliser le nom www.académie-française.fr, on a déposé le nom traduit en punycode www.xn--acadmie-franaise-npb1a.fr. L’enregistrement des noms de domaine dans d’autres alphabets, tels le cyrillique, le scandinave… et de nouvelles graphies, dont les caractères accentués espagnols, français, etc., et les idéogrammes, devient alors possible, et donne un nouvel essor à Internet. Cependant, cette internationalisation et l’arrivée des nouvelles extensions offrent aux fraudeurs la possibilité de déployer leur imagination. L’homoglyphie, nouvelle forme de typosquatting, est née. Les mails et les réseaux sociaux sont leurs principaux vecteurs. Comment y échapper ?

LES ALPHABETS ET EXTENSIONS À RISQUE

Nous conviendrons ici qu’il serait aujourd’hui difficile, long et coûteux d’enregistrer toutes les variantes possibles d’un nom de domaine. De même, il serait beaucoup trop long et fastidieux de détailler ici les procédures techniques utilisées pour gérer les noms de domaine, incluant les noms de domaine internationalisés ou IDNs. Toutefois, il importe de savoir que :

  1. certains alphabets présentent davantage de risques que d’autres : parmi eux, le cyrillique, le grec mais aussi le latin étendu, comme on l’a vu dans le cas d’Air France et de son “ḁ” au rond souscrit* ;
  2. selon les pays et les langues dans lesquels on souhaite communiquer, les règles édictées par chaque registre, pour la ou les extension(s) dont il a la charge, varient et s’avèrent plus ou moins contraignantes. Par exemple :

– l’Afnic, le registre du .FR, a ouvert les IDNs à tous le 3 juillet 2012. Depuis, seuls 67 caractères sont autorisés dans la composition de noms de domaine .FR : a, à, á, â, ã, ä, å, æ, b, c, ç, d, e, è, é, ê, ë, f, g, h, i, ì, í, î, ï, j, k, l, m, n, ñ, o, ò, ó, ô, õ, ö, œ, p, q, r, s, t, u, ù, ú, û, ü, v, w, x, y, ý, ÿ, z, ß, 0, 1, 2, 3, 4, 5, 6, 7, 8, 9, et le «-».

– EURid, le registre du .EU enregistre les noms de domaine internationalisés dans les alphabets cyrillique, grec ou latin à condition, entre autres, que tous les caractères utilisés proviennent du même alphabet.

– Verisign, en revanche, n’impose aucune restriction au niveau de l’enregistrement des noms de domaine .COM. Seuls les deux caractères suivants sont pour l’instant interdits dans la composition des IDNs en .COM, à savoir le « ß » (double ss) issu de l’alphabet latin étendu et le « ς » (sigma), 18e lettre de l’alphabet grec utilisée en fin de mot.

NOTRE CONSEIL D’EXPERT

Définir un périmètre de sécurité autour de sa marque ou de ses noms stratégiques est aujourd’hui essentiel. Pour cela :

  • Enregistrez les évidences, c’est-à-dire les graphies ou alphabets proches de ceux des noms stratégiques dans les extensions où vous souhaitez communiquer ;
  • Organisez la surveillance systématique de vos noms stratégiques à protéger ;
  • Rapprochez-vous de votre conseiller EBRAND SERVICES France qui sera à même d’optimiser la sécurité de votre entreprise sur Internet face aux différentes formes de typosquatting.

Vous l’aurez remarqué, la question est complexe, car il est nécessaire notamment :

  • d’identifier chaque lettre substituable appartenant aux noms de domaine stratégiques utilisés pour communiquer (nom du site de l’entreprise, nom du président, nom utilisé dans les adresses email, etc.) ;
  • de vérifier les règles d’enregistrement de chaque extension choisie.

Enfin, nous vous recommandons de ne jamais ouvrir les liens et les pièces jointes contenus dans les mails dont la provenance est douteuse.

*Le rond souscrit est un signe diacritique de l’alphabet latin, utilisé en phonétique, comme le sont également les accents, le tréma et la cédille.

Par Raphaël TESSIER et Sophie AUDOUSSET pour EBRAND SERVICES France, le 24 octobre 2018.

Distribution sélective : Caudalie contre 1001pharmacies.com, l’analyse de Laure Bourdeau

By | Cybersquatting

Depuis le 13 juillet 2018, Caudalie, entreprise française de cosmétiques spécialisée dans la vinothérapie, peut interdire la vente de ses produits sur les plateformes de vente en ligne qui n’appartiennent pas à son réseau de distribution sélective. Pour savoir dans quel contexte et comment Caudalie a obtenu gain de cause, nous avons interviewé Laure Bourdeau, juriste PI en charge des dossiers de contrefaçon et d’atteinte aux réseaux de distribution sélective au sein de la société EBRAND SERVICES France.

LES FAITS

Depuis 2013, un litige commercial opposait la marque de cosmétiques Caudalie et la société eNova Santé, éditrice de la place de marché 1001pharmacies.com, dédiée aux pharmaciens.

En effet, l’entreprise Caudalie commercialise ses produits cosmétiques dans un réseau de distribution sélective de pharmacies sous contrat. Ce contrat autorise les pharmaciens à vendre les produits de la marque dans l’officine ainsi que sur leur propre site Internet.

Or, en 2011, le site 1001pharmacies.com se met à commercialiser les produits de la marque Caudalie sans autorisation. Cette dernière porte l’affaire en référé devant le Tribunal de commerce et obtient gain de cause en décembre 2014.

C’est le début d’une affaire à rebondissements puisque eNova Santé contre-attaque, estimant que la pratique de l’entreprise de cosmétiques est anticoncurrentielle.

La Cour d’appel de Paris ayant considéré en février 2016 qu’il n’y avait pas lieu à référé, Caudalie décide alors de se former un pourvoi en cassation et obtient un nouveau renvoi devant la Cour d’appel.

Finalement, le 13 juillet dernier, au terme d’une bataille juridique qui aura duré plus de 5 ans, Caudalie a le dernier mot. La société eNova Santé, éditrice du site 1001pharmacies, est déboutée de l’ensemble de ses demandes.

LA LIBRE CONCURRENCE PREVAUT AU SEIN DE L’UNION EUROPEENNE. DANS CE CONTEXTE, COMMENT LA DISTRIBUTION SELECTIVE PEUT-ELLE ECHAPPER A CE PRINCIPE ?

L’article 101 §1 du Traité sur le Fonctionnement de l’Union Européenne (TFUE) prohibe les accords entre entreprises « qui ont pour objet ou pour effet d’empêcher, de restreindre ou de fausser le jeu de la concurrence dans le marché intérieur ». Cependant, certaines conditions permettent une distribution sélective, ce qu’a notamment rappelé la Cour de Justice de l’Union Européenne (CJUE) dans l’important arrêt Coty du 6 décembre 2017.

Pour mémoire, ces conditions ont été énoncées pour la première fois dans le célèbre arrêt Métro rendu par la Cour de Justice des Communautés européennes le 25 octobre 1977. La Cour avait en effet considéré que la distribution sélective ne relève pas de l’interdiction de l’article 101 §1, TFUE, pour autant que le choix des revendeurs s’opère en fonction de critères objectifs de caractère qualitatifs, fixés d’une manière uniforme à l’égard de tous les revendeurs potentiels et appliqués de façon non discriminatoire, que les propriétés du produit en cause nécessitent, pour en préserver la qualité et en assurer le bon usage, un tel réseau de distribution et, enfin que les critères définis n’aillent pas au-delà de ce qui est nécessaire.

La CJUE a ensuite précisé dans son arrêt Pierre Fabre du 13 octobre 2011 que « l’organisation d’un tel réseau ne relève pas de l’interdiction de l’article 101, paragraphe 1, TFUE, pour autant que le choix des revendeurs s’opère en fonction de critères objectifs de caractère qualitatif, fixés d’une manière uniforme à l’égard de tous les revendeurs potentiels et appliqués de façon non discriminatoire, que les propriétés du produit en cause nécessitent, pour en préserver la qualité et en assurer le bon usage, un tel réseau de distribution et, enfin que les critères définis n’aillent pas au-delà de ce qui est nécessaire ».

Or, l’arrêt Coty du 6 décembre 2017 stipule qu’un « système de distribution sélective de produits de luxe visant, à titre principal, à préserver l’image de luxe de ces produits est conforme à cette disposition, pour autant que le choix des revendeurs s’opère en fonction de critères objectifs de caractère qualitatif, fixés d’une manière uniforme à l’égard de tous les revendeurs potentiels et appliqués de façon non discriminatoire, et que les critères définis n’aillent pas au-delà de ce qui est nécessaire ».

C’est sur cette dernière décision que s’est fondée la Cour d’appel de Paris pour donner raison à la société Caudalie cet été.

En l’espèce, les juges ont estimé que les produits de la marque Caudalie correspondaient bien à des produits de luxe, produits dont la qualité « résulte non pas uniquement de leurs caractéristiques matérielles, mais également de l’allure et de l’image de prestige qui leur confèrent une sensation de luxe », définition dégagée par la Cour de Justice dans l’arrêt Coty.

La Cour affirme en effet que « le seul fait qu’il s’agisse de produits de pharmacie n’en fait pas des produits banals » et rappelle également que le contrat de vente à distance par internet dont ils font l’objet prévoit des conditions tenant à la mise en place d’un service de conseil permanent par un pharmacien-conseil.

La Cour a considéré ensuite que le réseau de distribution sélective mis en place par la société Caudalie ne procédait pas de critères discriminatoires, contrairement à ce qui avait été avancé par eNova Santé.

Rappelons que d’après celle-ci, Caudalie aurait fait une application discriminatoire de ces critères en ayant agréé les chaînes de magasins Marionnaud et Beauty Success. De son côté, la société Caudalie a affirmé avoir mis fin à ses relations commerciales avec ces sociétés et avoir engagé des actions pour que la société Amazon ne vende plus ses produits.

Enfin, la Cour a retenu que l’interdiction faite par la société Caudalie aux pharmaciens de son réseau de recourir de façon visible à des plateformes tierces pour la vente de ses produits sur internet était proportionnée au regard de l’objectif poursuivi, celui-ci étant de préserver l’image de luxe des produits Caudalie. En application de l’arrêt Coty du 6 décembre 2017, cette interdiction ne va pas au-delà de ce qui est nécessaire.

Pour retenir cela, la Cour a énoncé que :

  • l’absence de relation contractuelle entre les sociétés eNova et Caudalie empêchait la société Caudalie d’obliger la société eNova à respecter les conditions de qualité imposées aux pharmaciens agréés (en particulier le respect d’un « webpack » comprenant des photographies et textes permettant une valorisation des produits) ;
  • la plateforme 1001pharmacies.com avait mis en vente des produits Caudalie supposés retirés de la vente ;
  • les produits Caudalie étaient vendus aux côtés de produits sans aucun rapport avec ceux-ci (notamment des alarmes-incendie ou des caméras de vidéo-surveillance), ces conditions de présentation étant de nature à porter atteinte à l’image de luxe des produits Caudalie.

Par cet arrêt du 13 juillet 2018, la Cour d’appel de Paris fait une application exacte de l’arrêt Coty rendu quelques mois plus tôt. Ainsi, il s’inscrit dans la lignée de jurisprudences de plus en plus favorables à l’égard des marques à la tête d’un réseau de distribution sélective.

Pour mémoire

La distribution sélective est définie par le Règlement n°330/210 de la Commission européenne du 20 avril 2010 comme un « système de distribution dans lequel le fournisseur s’engage à ne vendre les biens ou les services contractuels, directement ou indirectement, qu’à des distributeurs sélectionnés sur la base de critères définis, et dans lequel ces distributeurs s’engagent à ne pas vendre ces biens ou services à des distributeurs non agréés dans le territoire réservé par le fournisseur pour l’opération de ce système » (art. 1. 1, e).

Par Laure Bourdeau, Sophie Audousset et Raphael Tessier pour EBRAND SERVICES.

Pour en savoir plus sur la façon dont EBRAND SERVICES peut vous aider à lutter contre la contrefaçon sur Internet, cliquez ici .

 

Un cybersquattage IKEA facile à démonter

By | Cybersquatting

Le site www.ıĸea.com n’appartenait pas à IKEA. Cela peut surprendre au premier abord. Mais les apparences sont trompeuses : ıĸea.com n’est pas ikea.com !

 

Le cybersquatteur nous a bernés en recourant à des caractères spéciaux non-ASCII. Ces caractères ressemblent visuellement aux lettres i et k mais correspondent en fait à d’autres signes (un i sans point et un petit K majuscule).

Ces noms de domaine fonctionnent par l’emploi d’un « punycode » qui les transcrit en une chaîne de caractères ASCII exploitable par le système DNS. Ce procédé permet de déposer des domaines en caractères accentués, chinois, cyrilliques etc.

En punycode, le domaine ıĸea.com s’écrit xn--ea-gpa2a.com mais il apparaitra aussi sur votre navigateur sous sa forme ıĸea.com, laissant supposer qu’il s’agit du site officiel d’IKEA.

Son titulaire a enregistré le domaine en octobre 2017 pour mettre en ligne un sondage permettant prétendument de gagner des bons d’achat IKEA. Cette page était vraisemblablement utilisée pour du phishing. Découvrant cette atteinte, la société IKEA a mis en garde ses clients contre ce lien frauduleux.

Bien que ce dernier ait été désactivé, la société Inter Ikea Systems B.V. (l’entité titulaire des marques « ikea ») a déposé une plainte UDRP devant l’OMPI pour récupérer la propriété du nom de domaine. Elle a obtenu gain de cause le 17 janvier dernier (décision publiée ici).

L’arbitre a d’abord estimé que la similitude entre le nom de domaine litigieux et la marque IKEA devait s’apprécier au regard de la version non-ASCII ıĸea.com et non pas en comparaison avec le punycode xn--ea-gpa2a.com. Il a ainsi conclu que les différences étaient « presque imperceptibles » et que le domaine ıĸea.com était « virtuellement » identique à la marque IKEA, ou tout au moins similaire et portant à confusion.

Pour l’arbitre, le déposant ne pouvait ignorer qu’il portait atteinte à une marque aussi notoire qu’IKEA. Le constat de cette mauvaise foi est bien sûr renforcé par l’usage malveillant du domaine avec un site qui visait à tromper les clients de la société IKEA. Un autre élément à charge pris en considération est l’utilisation par le déposant d’un service de « WHOIS anonyme ».

Les critères de l’UDRP sont donc réunis : la similarité prêtant à confusion, l’absence de droit ou d’intérêt légitime du défendeur et sa mauvaise foi dans le dépôt et l’usage du domaine.

L’arbitrage aboutit par conséquent à une décision de transfert du domaine au profit de la société Inter Ikea Systems B.V.

Par Christophe Antoine pour EBRAND Services France le 21.02.2018