L’Affaire Verisign, chroniques d’un cyber-putch, par Sébastien Guerrero, juriste en PI & NTIC.

Après le 11 septembre 2001 dans l’histoire du terrorisme, le 15 septembre 2003 est en passe de marquer les esprits dans l’histoire de l’Internet.

C’est en effet ce jour-là que Verisign, le gestionnaire des extensions ".com" et ".net", a lancé son opération Site Finder (dénicheur de sites), un service de capture de trafic vers des noms de domaines erronés concernant ces extensions.
En fait, il s’agit d’une redirection automatique de toutes les requêtes indiquant un ".com" ou un ".net" qui n’existe pas (c’est-à-dire non encore attribué) vers le site www.sitefinder.verisign.com appartenant à VeriSign et qui se propose comme un moteur de recherche et un annuaire de sites sur lequel le référencement est bien entendu payant...

Le contexte

En charge la gestion technique et administrative des deux zones ".com" et ".net", la société américaine possède le registre de ces extensions, à l’instar de l’AFNIC (Association Française pour le Nommage Internet en Coopération) qui gère l’extension ".fr" pour la France, par exemple.

VeriSign a donc utilisé sa position privilégiée par rapport aux moyens techniques pour réaliser un véritable hold-up du trafic internet dû aux erreurs d’adresses en établissant un wildcard DNS, comme l’on dit dans le jargon, sur ".com" et ".net" pointant vers un de ses propres serveurs.

Il est à noter qu’un projet similaire avait été mené concernant les ".biz" et les ".us", mais l’étude avait été suspendue à la demande du gouvernement américain.

Par ailleurs, il existe des exemples concrets de captation de trafic erroné comme celle de MuseDoma, le gestionnaire de l’extension spécialisée ".MUSEUM", qui redirige vers une page listant les noms déposés en ".MUSEUM" si l’Internaute tape un nom qui n’existe pas.
Seulement, dans ce cas, il s’agit d’un service rendu à l’internaute en lui permettant de se réorienter et qui, de plus, ne génère aucun profit pour le registrar.

L’affaire est d’autant plus importante que les domaines ".com" et ".net" sont les plus prisées car les plus simples à mettre en oeuvre (aucun justificatif à fournir).
Par ailleurs, ils jouissent d’une compétitivité accrue au niveau des prix (on peut trouver un ".net" aux alentours de 12 euros par an alors qu’un ".fr" coûte revient souvent à 45 euros par an).
Enfin, Verisign estime à environ 20 millions le nombre de fautes de frappe faites chaque jour sur des noms de domaines.

On comprend donc mieux l’indignation des milieux concernés, principalement les autres registrars (organismes chargés de la gestion des noms de domaines et affiliés à l’Internet Corporation for Assigned Names and Numbers, l’ICANN) mais aussi les associations et les organismes chargés de la défense des données personnelles.

Car, c’est effectivement là que réside le principal danger pour l’internaute.

Le secret des correspondances en danger

En France, le CIGREF (Club informatique des grandes entreprises françaises) a récemment alerté ses membres ainsi que l’ensemble des autorités, nationales ou internationales sur le sérieux problème de sécurité et de confidentialité des échanges sur Internet que posait le joker de VeriSign.

L’association craint la généralisation de l’interception des courriels mal adressés.
En effet, tous les courriers électroniques mal adressés sous ".com" et ".net" sont maintenant interceptés par VeriSign.
Or, une erreur de typographie ne doit pas remettre en cause le secret de l’ensemble des correspondances circulant sur le réseau mondial.
C’est pourquoi un communiqué a été établi à l’intention des utilisateurs du Réseau dont voici un extrait : "[...]Toutes les requêtes qui étaient auparavant rejetées par les serveurs du .com et du .net faute de correspondre à un nom de domaine valide sont maintenant routées automatiquement vers le site http://sitefinder.verisign.com/index.jsp. Que la pratique soit abusive ou non, ce tour de passe-passe crée un réel danger concernant la sécurité. Tous les courriers électroniques mal adressés sous .com et .net sont maintenant interceptés par Verisign. C’est donc la confidentialité de vos communications qui est remise en cause. [...]".

Cette potentielle intrusion massive dans les correspondances électroniques pèse donc comme une épée de Damoclès au-dessus des internautes mais également de VeriSign...

Des réactions plutôt vives : l’avenir de VeriSign compromis ?

Depuis la mise en service de Site Finder, les actions contre Verisign se multiplient.
Que ce soit par simple jalousie, par volonté de faire respecter la loi ou bien encore par crainte de l’intrusion dans leurs vies privées, les détracteurs ne manquent pas et le tollé est général.

Présentée par VeriSign comme la création d’un service supplémentaire aux internautes, cette décision est néanmoins considérée par de nombreux spécialistes comme un véritable cyber-putch, d’autant plus qu’il est de notoriété publique que l’activité de la société est dangereusement stagnante depuis quelques temps déjà...
"Ce que NSI/Verisign vient de faire et si extrême que l’ICANN devrait plancher sur la possibilité de lui retirer son contrat pour gérer le .com et le .net", a déclaré Brad Templeton, de l’EFF (Electronic Frontier Foundation), une association américaine de défense de la liberté d’expression et de la protection de l’individu sur Internet.

En effet, au travers de cette mesure, l’enseigne américaine s’attribue en quelque sorte l’ensemble des noms de domaines non encore déposés. La firme américaine montre ainsi que sa conception de la gestion d’une extension va bien au-delà de sa simple administration. Verisign semble ainsi considérer que, tant qu’un nom de domaine dépendant de sa zone n’est pas à quelqu’un d’autre, il lui appartient.

Souhaitant montrer leur désapprobation, certains administrateurs de réseaux ont depuis commencé à développer et à mettre en oeuvre des contre-mesures techniques permettant de reconfigurer les routeurs et les serveurs afin de bloquer l’accès au Site Finder et de faire apparaître un message d’erreur à l’intention de l’internaute.

De même, cette affaire semble avoir également déclenché un conflit ouvert entre l’ICANN et Verisign, car celle-ci a répondu par la négative à la demande de suspension de son service, défiant ainsi ouvertement l’organisme de gouvernance du nommage sur l’Internet.

En France, L’AFNIC s’est jointe au CIGREF pour dénoncer publiquement un "détournement de données sur Internet" et que "les jokers représentent un abus de pouvoir caractérisé de la part du registre qui les mettrait en oeuvre" Le registre du ".fr" dénonce également l’accroissement du risque de confusion pour l’utilisateur en ce qui concerne l’éventuelle délégation du domaine en question.

Aux Etats-Unis, Site Finder est accusé de perturber les paramètres de prise en charge de réseau de Windows ou bien encore de fausser le fonctionnement de logiciels de messagerie comme Outlook, notamment en rendant inefficaces certains filtres anti-spam, ces systèmes dépendant de leur capacité à identifier les noms de domaines qui n’existent pas pour, soit générer certains types d’erreur aptes à guider l’utilisateur, soit tout simplement refuser les mails envoyés à partir d’adresses artificielles.
Or, depuis la mise en service de Site Finder, il n’existe plus aucun nom de domaine "libre" en " .COM " et " .NET ". Tous permettent maintenant de diriger vers quelque chose, que ce soit un site légitime ou le site Site Finder.

En outre, on peut remarquer que des signes anti-Verisign comme verisign-sucks.com ou encore verisignsucks.com ont étrangement disparu de la Toile ou presque...

Il semble donc qu’en lançant cette action, Verisign a montré un tel mépris pour l’ensemble de la communauté internet que le retour de bâton risque d’être très violent.
En fait, en ayant abusé du pouvoir qui lui a été confié, c’est bien Verisign elle-même qui risque de se saborder.

Une suite logique : VeriSign devant la Justice...

La société Popular Enterprises LLC a été l’une des premières à réagir en intentant une action en justice pour violation de la loi anti-trust.
Elle accuse Verisign de copier son service. Il paraît en effet évident que, le registre des ".com" et ".net" ayant fait main basse sur l’ensemble des noms de domaines inutilisés, il n’y a plus aucune raison pour que les partenaires commerciaux de cette société fassent encore appel à ses services.
Le registre récalcitrant est donc accusé de pratiques déloyales et anti-concurrentielles par un moteur de recherche qui a déposé une plainte à l’encontre de VeriSign. Celui-ci estime en effet que VeriSign a utilisé sa position d’unique gestionnaire des noms de domaine en ".com" et ".net" pour en tirer un avantage injustifié et demande 100 millions de dollars à titre de dommages et intérêts.

Notons tout de même l’ironie de la démarche, puisque cette société est considérée par beaucoup comme le parfait cybersquatteur.
En effet, pour développer son activité de captation de trafic (Popular Enterprises LLC gère un site de lien similaire au Site Finder de Verisign) la société rachète énormément de noms déjà utilisés qui ne sont pas renouvelés par leurs actuels propriétaires et qui retombent donc dans le domaine public.

GoDaddy, bureau d’enregistrement souvent opposé à Verisign, a également porté l’affaire en justice mais cette fois pour abus de position dominante, ce qui nous semble le fondement le plus juste par rapport aux agissements de Verisign. On remarquera aussi que les registres européens n’en ont pas profité pour attaquer à leur tour...

D’un certain point de vue, la société américaine réalise également à une échelle planétaire des actes de "typosquatting" de façon automatique et généralisée.
D’ailleurs, la jurisprudence des différentes juridictions nationales et de l’OMPI (qui dispose d’un organe d’arbitrage très reconnu en matière de noms de domaines) tend de plus en plus à la répression de tels actes.

Tout récemment, le 06 octobre 2003, l’ICANN a lancé un ultimatum à la société américaine pour cesser son Site Finder dans la journée sous peine de suspendre son activité de registre. C’est maintenant chose faite et les internautes ont retrouvé leur chère page d’erreur 404 en cas d’adresse erronée.
Une réunion du comité de sécurité et de stabilité de l’organisme en charge du nommage sur Internet a commencé à recueillir des réactions au lancement de ce système pour mener une réflexion de fond sur le problème..

Une affaire apparemment réglée. Gageons qu’avec l’habituelle politique de Verisign ce n’est pas tout à fait le cas !

Sébastien Guerrero, Juriste en PI & NTIC

Sources :
www.domaines.info
www.zataz.com
www.foruminternet.org
Yahoo Actualités