Suivant la grande tendance actuelle, un nouveau pays a décidé d’entamer un processus de libéralisation de son extension nationale : la Colombie.
Cette libéralisation fait suite à la réassignation de la gestion de l’extension colombienne, qui, à partir de février prochain ne sera plus gérée par l’université des Andes, mais par une start-up américaine .

L’extension .CO est très intéressante car elle signifie quelque chose pour nos amis anglophones. En effet, « co » est le diminutif habituel de « company ». Il y a fort à parier que de nombreuses sociétés désireront acquérir un nom de domaine reprenant leur dénomination sociale ou leur nom commercial et en y ajoutant un .CO
En quelque sorte, on peut dire que le .CO de Colombie est aux entreprises ce que le .ME du Monténégro est aux particuliers : une extension permettant d’indiquer qui ils sont.
Toutefois, .CO est aussi une erreur typographique commune : il arrive fréquemment qu’un utilisateur écrive .CO au lieu de .COM. Ce qui va faire de cette extension un Eldorado pour les cybersquatteurs. Il suffit de voir ce qu’il est advenu du .CM camerounais, qui a été libéralisé l’année dernière :

En effet, selon l’éditeur de logiciels de sécurité McAfee, 80% des noms de domaines enregistrés sous le .CM le sont à des fins frauduleuses. Les pirates informatiques et autres cybersquatteurs capitalisant une erreur typographique commune, à savoir l’omission du « o » de .COM lorsque l’utilisateur écrit une URL dans la barre d’adresse de son navigateur.

Et, hélas, vu les conditions d’enregistrement annoncées par le nouveau registre, à savoir une extension complètement libre, sans que ne soit requis aucun document  ou justificatif, il y a fort à parier que le .CO suivra le (triste) exemple du .CM.
Cependant, contrairement au .CM, le nouveau registre, en charge du .CO a mis en place une procédure d’ouverture graduelle (Sunrise Period, puis Landrush) qui va permettre aux titulaires de marques de se protéger contre les abus.

Logo du .CO

L’ouverture va se faire en 4 temps:

• Tout d’abord, durant tout le mois de mars, les titulaires de noms de domaines en .COM.CO (la seule extension qui était accessible, et encore, uniquement pour les locaux) enregistrés avant le 30 juillet 2008 pourront enregistrer l’équivalent de ce nom de domaine en .CO.

• Puis, du 1er au 20 avril, une seconde période débutera, permettant aux titulaires de marques enregistrées en Colombie avant le 30 juillet 2008 d’enregistrer un nom de domaine reprenant la marque à l’identique. Si un nom de domaine est désiré par plusieurs titulaires de marque, celle-ci reviendra au plus offrant après une procédure d’enchères.

• Ensuite, du 26 avril au 10 juin, tout titulaire de marque enregistrée avant le 30 juillet 2008, sans que celle-ci ne vise obligatoirement la Colombie pourra enregistrer un nom de domaine reprenant la marque à l’identique. Là encore, si plusieurs titulaires de marque désirent le même nom de domaine, celui-ci reviendra au plus offrant après une procédure d’enchères.

• Enfin, du 21 juin au 13 juillet, tout le monde pourra se porter acquéreur d’un nom de domaine. Cependant, là encore, si plusieurs personnes désirent devenir le titulaire d’un même nom de domaine, celui ci reviendra au plus offrant suite à une procédure d’enchères.

• Pour finir, à partir du 20 juillet 2010, n’importe qui pourra acquérir un nom de domaine selon la règle du « premier arrivé, premier servi ».

Nous ignorons encore les prix qui seront pratiqués par le registre colombien lors des différentes vagues d’enregistrement. Nous vous tiendrons informés dès que ces informations nous seront communiquées par le registre en question.

Adrien Palumbo

Le 12 janvier dernier, le moteur de recherche utilisé par plus de 60% des internautes chinois, Baidu, a été piraté. Ainsi, pendant quelques heures, le nom de domaine baidu.com ne pointait plus vers le serveur de la société chinoise (adresse IP 220.181.6.81 ), mais vers un serveur iranien (adresse IP 188.95.49.6), une opération de reverse DNS nous montre que ce serveur héberge également de nombreux sites proposant des logiciels  et autres produits culturels contrefaits.
Ainsi, pendant quelques heures, tout internaute se connectant au site www.baidu.com ne voyait plus la page d’accueil habituelle, mais la page ci-dessous :

Vue du site Baidu.com lors de l'attaque

Comment cette « Iranian Cyber Army », déjà célèbre pour avoir fait subir le même sort à twitter.com le mois dernier, s’y est-elle prise ?
En utilisant une méthode connue sous le nom de DNS hijacking (détournement de DNS), laquelle comporte l’immense avantage de ne pas nécessiter beaucoup de connaissances en informatique ou de matériel perfectionné.


En effet ce type d’attaque utilise la faille que comporte tout système informatique, aussi sécurisé et perfectionné soit il : le facteur humain.
Les pirates ont, en fait, envoyé un email qui paraissait légitime à un employé de Baidu de la part de ce qui paraissait être leur registrar afin de récupérer les identifiants et mots de passe de l’interface de gestion des noms de domaines de Baidu chez ce registrar (REGISTER.COM).
Une fois en possession de ceux-ci, les pirates ont tout simplement modifié les serveurs DNS utilisés par ce nom de domaine afin de mettre les leurs (hébergés par Yahoo) à la place, comme le montre les captures d’écran ci-dessous :

Whois de baidu.com le jour de l'attaque (à gauche). Et Whois actuel (à droite).

L’attaque est invisible et indolore, du moins le temps de la propagation des DNS. Ce qui explique que ni Baidu, ni Register.com n’aient réagi à temps. Le seul moyen de s’en apercevoir, aurai été que le bureau d’enregistrement, Register.com, mette en place un contrôle systématique de toute modification apportée au nom de domaine Baidu.com.
Un autre avantage (ou inconvénient selon le point de vue) de ce type d’attaque, est que même lorsqu’il est mis fin au DNS hijacking, de nombreux utilisateurs continuent d’en souffrir pendant quelques heures, le temps que la propagation des nouvelles zone files  se fasse.


Suite à cette attaque, le Chief Technology Officer, numéro deux dans l’organigramme de Baidu, ainsi que le Chief Operating Officer ont tout deux démissionnés  pour « raisons personnelles ».


Aujourd’hui, Baidu a décidé de porter l’affaire devant les tribunaux américains, accusant la société REGISTER.COM de négligence impardonnable. En effet, selon Baidu, REGISTER.COM aurait du mettre en place des mesures de sécurités afin d’empêcher que ce type d’attaque ai lieu. A noter que dorénavant, ces mesures ont été prises. Le whois actuel affichant le status « server update prohibited ».
Se pose alors la question de la responsabilité, que devront trancher les tribunaux américains : dans quelle mesure un bureau d’enregistrement (registrar), est il responsable de la gestion des noms de domaines ? N’est-il que le mandataire, à la manière d’un bureau d’enregistrement de marque, du titulaire du nom de domaine ? Ou bien est il considéré comme un hébergeur, et doit, à se titre, garantir la pérennité et la sécurité des services qu’il propose ? Ce sera à la Cour Fédérale de l’état de New York de trancher cette question. Soyez assurés que la décision, quel qu’elle soit, trouvera quelques échos en ces lieux. Mais si les juges New-Yorkais tranchent en faveur de Baidu, cela obligerait  surement tous les registrars américains à mettre en place de, couteuses, procédures de contrôle. Coût qui sera alors probablement répercuté sur le coût des noms de domaines.


Quoi qu’il en soit, une leçon est à tirer de cette mésaventure : Il est en effet édifiant de voir à quel point une multinationale spécialisée dans le secteur des nouvelles technologies est vulnérable. En fait, au jour d’aujourd’hui, l’immense majorité des sociétés de premier  plan  sont vulnérables à ce genre d’attaque. Et si aujourd’hui les pirates,  se contentent de rediriger le trafic des domaines ainsi détournés vers une page célébrant leurs « exploits », rien ne les empêche, demain, de rediriger le trafic d’utilisateurs vers des sites malveillants utilisant des méthodes avancés de phishing ou de cross scripting. Et là, l’attaque pourrait être extrêmement dommageable pour les utilisateurs des services de la société visée.


Il existe deux contre-mesures simples pour éviter ce genre d’attaque :
Tout d’abord, et c’est l’évidence même, restreindre au maximum le nombre de personnes ayant connaissance des identifiants permettant de faire une quelconque modification. Et sensibiliser ceux-ci sur les méthodes utilisées par les pirates pour essayer de s’emparer desdits identifiants.
Une autre mesure est bien sûr de choisir avec soin son registrar : Il est plus facile d’opérer à un détournement de DNS lorsque le nom de domaine est géré par une grosse société ne pouvant se permettre de contrôler une par une chaque modification de DNS. Evidemment, passer par les services d’une société effectuant systématiquement de telles vérifications, comme le fait IP Twins, a un coût. Reste à voir pour les grandes sociétés si celui-ci n’est pas grandement inférieur au cout d’une attaque de type DNS hijacking.

Adrien PALUMBO

Depuis plusieurs jours, durement touché par un séisme dévastateur, Haïti fait l’objet de toutes les attentions du reste du monde.

Chacun cherche à aider à sa manière les survivants : des soignants partent sur place pour soigner, des soldats sont envoyés pour protéger, certains artistes ont d’ores et déjà composé et enregistré une chanson de soutien… et puis discrètement, bien loin des journalistes, les administrateurs des serveurs secondaires du .HT ont reconfiguré les machines pour sauver le .HT.

Cette information peut sembler pour le moins futile au regard des souffrances des Haïtiens et des efforts déployés pour les aider. Elle est néanmoins révélatrice d’une certaine idée de la mondialisation et de la communication virtuelle : grâce à la mobilisation de ces administrateurs disséminés en France, au Canada et aux Etats Unis, les sites web en .HT sont toujours accessibles (télévision nationale , Ministère de l’Economie et des Finances , Ministère de l’Education Nationale de la Formation Professionnelle …) alors que toutes les liaisons Internet et la plupart des bâtiments correspondants ont été détruits. Ces sites web sont autant de pages de mémoire, d’archives qui pourront se révéler précieuses pour reconstruire le pays.

Concrètement, cela n’a été possible que par la prudence de l’Administrateur haïtien (qui a pu être joint depuis et qui se porte bien), qui a multiplié les serveurs (2 à Haïti et des serveurs secondaires à l’étranger). Afin d’éviter toute interruption définitive du domaine .HT, les responsables des serveurs secondaires se sont donc concertés afin de copier la base de données du registre en Australie, configurer une machine comme primaire puis configurer les machines secondaires pour rerouter vers cette nouvelle machine primaire. Sans qu’aucune autorité ne soit intervenue pour approuver ce travail, sans avoir à demander des autorisations diverses et compliquées, ces hommes ont pris la meilleure décision selon leur expérience et leurs compétences Internet pour sécuriser et protéger le domaine rapidement et efficacement.

Internet a été le seul moyen de communication dans les premières heures du drame. Depuis des initiatives sont apparues sur la Toile : la carte d’Haïti - équivalent open source de “Google map”), Twitter et tous les sites des ONG permettant des dons rapides (Médecins du monde (présents à Haïti depuis plusieurs années et bien intégré localement) , Fondation de France , Unicef .

Laëtitia Canezza

http://is.gd/5RzgO

La fondation RESTENA, l’organisme ayant la charge de la gestion du ccTLD luxembourgeois, le .LU, a annoncé un profond bouleversement de sa politique d’enregistrement de noms de domaine, qui pourrait augmenter considérablement le nombre de noms de domaine enregistrés sous cette extension (il y en avait 47.797 au 31 décembre 2009)

Tout d’abord, à partir du 01/02/2010, il sera possible d’enregistrer des noms de domaines internationalisés (IDN). Cette ouverture aux IDN s’accompagnera d’une sunrise period de deux mois (jusqu’au 1er avril 2010 donc).

Les caractères accentués qui pourront être ajoutés aux noms de domaines sont les suivants:

ä - ö - ü - à - â - æ - ç - è - é - ê - ë - î - ï - ô - ù - û - œ

Durant cette période, seuls les titulaires d’un nom de domaine en .LU pourront enregistrer l’équivalent dudit nom de domaine en IDN. A partir du 1er avril 2010, n’importe qui pourra procéder à l’enregistrement de tels noms de domaine selon la règle du premier arrivé, premier servi.
Si vous souhaitez vous assurer la titularité d’un IDN en .LU, il est donc recommandé de d’ores et déjà enregistrer sa version non IDN afin de pouvoir prétendre à participer à la sunrise period.

En effet, un nom de domaine ASCII enregistré, même la veille du début de la sunrise period, permet de participer à celle ci. Nous ne pouvons nous empecher de tiquer devant cette règle. En effet, avec cette politique de protection des titulaires de noms de domaine anterieurs, un cybersquatteur pssédant un nom de domaien anterieur, aura la priorité sur un titulaire de marque.

Les correspondances ASCII vers IDN qui pourront être utilisées durant la sunrise period sont les suivantes:

D’autre part,  il est nécessaire aujourd’hui nécessaire de disposer d’un contact administratif local. A partir du 1er février 2010, cette restriction disparaitra. EN d’autres temes, il sera possible pour une personne ne résident pas au Luxembourg d’enregistrer un nom de domaine sans pour autant recourir aux services d’un contact administratif résidant au Grand Duché.
Si vous désirez vous assurer la titularité d’un nom de domaine en .LU, il peut être intéressant de le réserver dès aujourd’hui, avant la probable vague d’enregistrements qui suivra la libéralisation de cette extension. A cette fin, IP Twins dispose d’un contact administratif local, lui permettant d’enregistrer des noms de domaines en .LU pour le compte de clients non luxembourgeois.

Adrien PALUMBO

Fait plutôt rare dans le microcosme des noms de domaine: alors que la plupart des registres semblent avancer vers une plus grande libéralisation de leurs règles d’enregistrement (voir, encore récemment le .DO, et, très prochainement, le .EE), CNNIC, le registre chinois vient de modifier les règles d’enregistrement de nom de domaine en .CN pour les rendre plus restrictives. Et ce, sans aucune information préalable.

Mascottes de la cyberpolice chinoise

Alors que jusqu’à aujourd’hui, il était aussi simple d’enregistrer un .CN qu’un .COM, cela va devenir beaucoup plus complexe.
En effet, dans un bref communiqué, le CNNIC annonce que les règles ont changé et que dorénavant, non seulement les particuliers ne pourront plus enregistrer de nom de domaine, mais, en plus, que les sociétés devront apporter des preuves concrètes de leur existence. Pour une entreprise française, cela va se traduire par (i)  la production d’un extrait Kbis, (ii) une demande officielle d’enregistrement comportant le cachet officiel de la société et enfin (iii)  une copie d’une pièce d’identité de la personne faisant la demande.
Il semblerait que ces règles ne soient pas rétroactives. Les titulaires actuels de noms de domaine n’ont, pour l’instant, aucune démarche à entreprendre.
On peut bien sûr s’interroger sur les raisons et les conséquences de cette brusque modification de politique.
Les raisons peuvent se comprendre : il est vrai que la charte de nommage du .CN relativement protectrice du droit des marques  n’était pas vraiment, jusqu’alors, respectée par les registrars. Est-ce que ce durcissement des procédures est un moyen de les contraindre à mettre en place des protocoles de contrôle ?
Quoi qu’il en soit, cela a pour conséquence probable, et nous nous en réjouissons,  de diminuer le nombre de domaines enregistré sous cette extension à des fins de cybersquatting.
La courbe de croissance exponentielle  des .CN va, en tous cas, ralentir, et le .DE peut envisager de reconquérir la deuxième place après le .COM qui était la sienne jusqu’à peu.
Reste à savoir vers quelle(s) extension(s) de substitution l’appétit d’enregistrement des particuliers chinois, désormais exclus de l’enregistrement des .CN,va se tourner :  .ASIA, futures extensions IDNs ?
A suivre !

Adrien Palumbo

RIINA PÄRN, Patent Attorney estonienne chez INTELS ( intels@intels.ee) nous fait l’amitié de présenter les prochaines évolutions de l’enregistrement de NDD sous .EE

RIINA PÄRN, DR

Les règles actuelles d’enregistrement de noms de domaine en .EE (Offical Regulations) n’autorisent qu’un seul nom de domaine par personne, pour lequel la présence locale du titulaire est requise.
Pour réformer et libéraliser le système actuel, la fondation Eesti Interneti SA a été créée. Elle sera responsable de la gestion et de l’enregistrement des noms de domaine en .EE en accord avec les nouvelles règles d’enregistrement de nom de domaine. Ce changement devrait être effectif à partir du 1er février 2010. En d’autres termes, à partir de cette date, les nouvelles règles d’enregistrement seront effectives, et une période de transition de 6 mois débutera. (Mise à jour: le début de la libéralisation a été reportée à une date non encore déterminée).
La version actuelle de ces nouvelles règles est publiée sur le site Internet de la fondation Eesti Interneti (en Estonien uniquement). Les principales modifications concernent la suppression de la limite de nom de domaine que peut détenir une personne. Les non-estoniens pourrons acquérir un nom de domaine à condition de fournir un contact administratif local. Des taxes d’enregistrement annuelles vont être  instaurées, et l’enregistrement pourra s’effectuer via un système de registrars.
Pendant la période de transition de 6 mois, l’enregistrement de noms de domaine sous les règles actuelles ne pourra plus être fait et l’enregistrement en accord avec les nouvelles règles sera initié. Les noms de domaine qui étaient déjà enregistrés avant le 1er février devront être réenregistrés avec un registrar. Pendant la période de transition, seuls les titulaires des noms de domaines enregistrés avant le 1er février 2010 pourront les réenregistrer. Après cette période de 6 mois, ces noms de domaines retourneront dans le domaine public s’ils n’ont pas été réenregistrés.
Les nouvelles règles ne contiennent aucune référence à une « sunrise period » ou à un autre type de mesure préventive pour les titulaires de droit. Cependant, le dirigeant d’Eesti Interneti a fait part de sa volonté pour que des règles spécifiques aux titulaires de marques enregistrées s’appliquent durant la période de transition. De plus, une procédure extrajudiciaire de règlement des conflits afférents aux noms de domaine .ee sera mise en place.

Aussi, afin d’être en mesure d’obtenir un nom de domaine en .EE avant le début du processus de libéralisation et pour minimiser les risques, il est possible de, dès à présent, effectuer une demande exceptionnelle d’enregistrement de nom de domaine avec le registre actuel sur la base d’une marque déposée visant l’Estonie. Le titulaire devra être localisé en Estonie, mais un service de proxy peut être utilisé. Pour les clients détenant une marque enregistrée et intéressés par l’extension .EE, nous recommandons d’effectuer cet enregistrement exceptionnel de nom de domaine avant le début de la libéralisation.

Riina Pärn

Traduction: Adrien Palumbo

Le .DO se libéralise et IP Twins vous propose dès aujourd’hui d’enregistrer des noms de domaines sous cette extension de premier niveau.

la note de musique .do

Jeudi 10 décembre, outre l’ouverture aux IDNs du .eu, un nouveau ccTLD viendra rejoindre la longue liste des extensions locales non régulées. En effet, la République Dominicaine a décidé d’ouvrir grande les portes à l’enregistrement de noms de domaine sous l’extension nationale de premier niveau: le .DO.
Jusqu’à aujourd’hui, il était impossible d’enregistrer un nom de domaine directement sous cette extension, seule l’extension .com.do était ouverte aux sociétés étrangères, qui pouvaient uniquement enregistrer un nom de domaine correspondant à leur raison sociale.
Les règles changent du tout au tout, et pas dans le sens le plus favorable aux titulaires de marques car cette ouverture se fera sans « sunrise period ». La seule protection accordée aux titulaires légitimes contre les cybersquatteurs est de leur permettre de déposer en priorité un nom de domaine en .do correspondant à un nom de domaine en .com.do réservé avant le 30 octobre.

L’enregistrement est donc libre, sur la base du « premier arrivé, premier servi ». Les limitations d’usage s’appliquent cependant : La taille du nom de domaine devra être comprise entre 2 et 63 caractères, celui-ci ne devra pas reprendre les termes habituellement réservés, tels que les noms de villes, les termes techniques ou d’autres extensions génériques.
Somme toute, la procédure d’enregistrement du .do s’aligne sur celle du .com, avec les mêmes risques de cybersquatting pour les titulaires de marques. Les seules différences étant une obligation d’enregistrement initial de deux ans et un coût d’enregistrement légèrement plus élevé.
Cette extension reste très intéressante pour les sociétés désirant développer leurs activités dans les caraïbes. Il peut être également intéressant de réserver un nom de domaine sous cette extension afin d’empêcher qu’un cybersquatteur ne le fasse. Nous ne prenons évidement pas en compte tous les noms de domaine qui seront probablement réservés à fin de jeux de mots.

Adrien Palumbo

C’est désormais officiel : le registre russe reconnait la prévalence du droit des marques en matière de d’enregistrement de nom de domaine.

Il faut en effet savoir que jusqu’à présent, les registres ont appliqué, en matière de nom de domaine, la règle dite du « premier arrivé, premier servi ». En d’autre terme : la première personne à demander l’enregistrement d’un nom de domaine se voit octroyer un droit, opposable aux tiers, d’usage dudit nom.

Évidement, depuis quelques années, face aux nombreux abus subis par les titulaires de marque, des procédures ont été mises en place pour permettre auxdits titulaires de faire valoir leurs droits sur la dénomination de et se voir réattribuer, suite à une procédure d’arbitrage, le nom de domaine contrefaisant.

De plus, dorénavant, lorsqu’une nouvelle extension est créée, une procédure dite de « sunrise period » va permettre aux titulaires de marques de déposer les noms de domaines les intéressant en priorité, sans craindre de se faire doubler par un cybersquatteur.

Mais restai jusqu’à aujourd’hui un problème en suspend : quelle règle appliquer lorsque deux titulaires de marques, tous deux légitimes, détiennent la même dénomination ? Un domaine ne pouvant pas se partager  (à quelques exceptions prêt), il fallut trouver un moyen de départager les prétendants.

Jusqu’à aujourd’hui, les registres appliquaient la règle simple du « premier arrivé, premier servi ». En d’autres termes, quand deux titulaires de marque, tout deux légitimes, désiraient tout deux acquérir le même nom de domaine, celui-ci revenait au premier à en avoir fait la demande.

Logo officiel créé par le registre Russe pour le lancement de l'extension .РФ

Mais aujourd’hui, le registre russe propose une solution originale. En effet, dans le cadre de la sunrise period de la nouvelle extension cyrillique .РФ (qui a débuté le 25 novembre 2009 et qui se terminera le 25 mars 2010), il a été décidé que la règle du « premier arrivé » ne s’appliquera pas aux titulaires de marques. En cas de conflit, le nom de domaine sera attribué au titulaire de la marque la plus ancienne.

Ajoutez à cela que le registre n’autorise à participer à la sunrise period que les titulaires de marques en caractères cyrilliques qui étaient enregistrées en Russie ou visant la Russie au 25 mars 2009, pour déboucher sur un système relativement contraignant qui réjouira les titulaires de marques anciennes rédigées en cyrilliques (principalement des marques détenues par des sociétés russes, donc), au détriment des marques nouvellement enregistrées.

Quoi qu’il en soit, IP Twins est prêt à vous assister dans une procédure de d’enregistrement de nom de domaine sous l’extension .РФ .

Adrien Palumbo

Le numéro d’octobre 2009 (volume 21, n°3) des “Cahiers de Propriété Intellectuelle” (Editions Yvon Blais-Québec) nous fait l’honneur de publier l’article d’Alexandre Tessonneau et Sylvain Hirsch:

“La Predec française au miroir des litiges“.

La PREDEC y est discutée sous trois angles:

1) la Predec interpelle les titulaires de marques
2) la Predec interpelle les juristes
3) la Predec et les autres.

Pour recevoir une copie de l’article, merci de me contacter: sylvain.hirsch@iptwins.com

Sylvain Hirsch