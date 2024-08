Lecture Zen Résumer l'article

Une adresse web a été enregistrée avec l’extension .fr attribuée à la France. Jusque-là, rien d’anormal. Sauf que le texte choisi pour figurer dans le nom de domaine, qouv, ressemble fortement au domaine de second niveau réservé à l’administration française (gouv.fr). De quoi laisser penser à une manœuvre de parasitage, via typosquatting. L’Afnic enquête.

Sur Internet, le « typosquatting » peut prendre des formes redoutables pour tromper les internautes. La technique est connue : il s’agit d’enregistrer un nom de domaine qui ressemble énormément à l’adresse du site légitime que l’on veut parasiter. Soit en profitant d’une faute de frappe dans l’URL, soit en exploitant l’inattention du public.

C’est dans le hameçonnage (ou phishing) que le typosquatting est en vogue : en copiant l’interface du site visé, et en imitant ses tournures de phrase, on peut tomber dans le panneau assez facilement. Certaines adresses, bien sûr, sont davantage visées, car stratégiques. On pense aux services publics, à l’image du site impot.gouv.fr.

C’est dans ce cadre que vient d’être découvert un enregistrement qui a tout d’un domaine dédié au phishing. En effet, l’adresse « qouv.fr » a fait l’objet d’un enregistrement le 29 août, comme le confirme le WHOIS. Ce service sert à d’obtenir des informations sur le nom de domaine. C’est ce qui a servi à tracer l’origine de MaRetraiteNupes.fr, par exemple.

L’adresse qouv.fr redirigeait vers une autre, perdu.com. Celle-ci est réputée sur le web, au point d’avoir sa propre page Wikipédia. Le site, en place depuis 1996, est une plaisanterie qui consiste à vous dire où vous êtes sur le web.

Mais le 30 août, en fin de journée, une nouvelle redirection a été mise en place : l’adresse renvoie désormais vers le tweet qui a signalé l’existence de ce « qouv ». Il n’est pas impossible qu’un autre changement de ce type ait lieu dans les heures ou les jours à venir, par goût de la provocation, si le nom de domaine n’est pas fermé.

De prime abord, on pourrait penser que tout ceci est anodin. Il y a pourtant deux problèmes. Le premier, c’est que ce « qouv.fr » ressemble fortement à la façon dont s’écrivent les adresses officielles du gouvernement français. Le second, c’est que des sous-domaines extrêmement douteux ont été vus et partagés par des internautes.

Comme on le voit dans le tweet de Mikołajek, ce domaine donne l’occasion de générer des sous-domaines tendancieux, comme impots.qouv.fr, ainsi que des mails associés. En raison de l’effet de soulignement qui a lieu au niveau du texte quand une adresse est cliquable, le q et le g se confondent : on ne voit plus bien la courbe formant le g.

Des contrôles en cours sur le titulaire

En France, c’est l’Afnic (Association française pour le nommage Internet en coopération) qui a la charge de gérer le nom de domaine de premier niveau attribué à la France (.fr). Il y en a plus de 4 millions. C’est cette structure qui supervise également le domaine de second niveau .gouv.fr, qui s’adresse exclusivement à l’administration française.

Contacté par Numerama le 30 août, le service juridique de l’Afnic indique avoir « a bien été informé de l’enregistrement du nom de domaine qouv.fr » et confirme que son profil « peut s’apparenter à du cybersquatting voire à du typosquatting », avec sa forme quasi identique au gouv.fr. Actuellement, des vérifications sont en cours.

Précisément, cela inclut un contrôle des données du titulaire du domaine « afin de s’assurer que ce dernier est éligible à la charte de nommage du .fr et joignable ». Cela se reflète dans le WHOIS, dont le statut indique « frozen », signe d’un potentiel litige. La durée de ce gel s’étale sur 7 jours, avant que d’autres mesures ne s’enclenchent.

Selon le guide des procédures de l’Afnic, le gel d’un nom de domaine survient « suite à l’ouverture d’une procédure », qui peut déboucher, en cas d’absence de justification, un blocage du nom de domaine. La durée de ce blocage peut s’étendre sur 30 jours, nous précise l’Afnic, et éventuellement aboutir à une suppression, en cas de défaut du titulaire.

C’est l’Afnic qui gère le .fr. // Source : Afnic

L’adresse qouv.fr apparait donc sur la sellette, même si la loi doit garantir notamment le respect de la liberté de communication et d’entreprendre, et, donc, ne pas trop entraver l’enregistrement des noms de domaine. Reste qu’il y a un cadre : certains termes sont soumis à un examen préalable, comme fausse-monnaie, inceste ou torture.

« .gouv.fr », stratégique pour l’État, et cible pour le phishing

Si qouv n’apparait pas dans cette liste et n’est pas un mot porteur d’un sens particulier, il pourrait constituer toutefois une certaine forme de parasitage. Cela pourrait donc amener le gouvernement à se manifester et à demander à l’Afnic d’agir. Par exemple, récupérer le domaine à son profit ou en obtenir la fermeture. Des textes prévoient ces cas de figure.

Comme le rappelle la Cour des comptes, il a été décidé le 7 juillet 2023 que l’extension .gouv.fr pour tous les sites de l’État présenterait désormais un caractère « obligatoire ». La Première ministre d’alors, Elisabeth Borne, a signé une circulaire en ce sens. Depuis lors, une transition s’opère afin de migrer sur des adresses en .gouv.fr.

Cette stratégie vise évidemment à réduire l’exposition aux arnaques. Il y a plus de confiance à aller sur une adresse de type parcoursup.gouv.fr que sur une URL comme parcoursup.fr (celle-ci reste toutefois légitime, et redirige vers la nouvelle). Cela a aussi pour mérite d’homogénéiser les pratiques de l’État sur le net, avec une règle commune.

À l’automne 2023, il était indiqué que cette bascule concernerait 75 sites de l’administration jugés prioritaires d’ici à 2026. Le volume des sites étatiques n’est pas aisément quantifiable. En octobre 2023, la Cour des comptes relevait 2 000 sites et 20 000 noms de domaine juste pour les ministères et leurs services déconcentrés, hors opérateurs.

Compte tenu de la dimension sensible autour du gouv.fr, c’est pour cela qu’il y a des règles spécifiques. Ainsi, la charte de nommage de l’Afnic dispose que « les noms de domaine se terminant par -gouv.fr […] sont interdits », « En raison de leur similarité très forte avec l’extension gouv.fr ». De fait, pourrait se poser la question d’un ajout pour rejeter les formes jugées trop proches, comme qouv.fr, g0uv.fr et autres innovations.

De façon plus générale, il est déconseillé d’être « identique ou apparenté au nom de la République française, d’une collectivité territoriale ou d’un groupement de collectivités territoriales ou d’une institution ou service public national ou local, sauf si vous justifiez d’un intérêt légitime et agissez de bonne foi ». On retrouve ce rappel dans la loi.

Seule échappatoire éventuelle pour le propriétaire de l’adresse désormais face au regard scrutateur de l’Afnic : qu’il justifie d’un intérêt légitime et agit de bonne foi. Cependant, ce sera certainement délicat à plaider, au regard de l’existence de certains sous-domaines. En effet, ils n’ont l’air d’avoir pas d’autres perspectives que de piéger des internautes. De fait, l’horizon pour ce qouv.fr paraît s’assombrir.

