Le domain flipping et la loi : marques déposées, UDRP et escroqueries

Faire du « domain flipping » (l'achat-revente de noms de domaine) est légal. Cependant, revendre les mauvais domaines vous coûtera le nom, l'argent que vous avez payé pour l'obtenir, et parfois une condamnation à cinq chiffres en plus. La différence entre ces deux issues ne tient pas à la chance. Elle repose sur un petit corpus de lois que vous pouvez apprendre en un après-midi, ainsi que sur une poignée d'habitudes opérationnelles qui protègent votre portefeuille et évitent que vos transactions ne soient compromises au dernier moment.

Ceci est le pilier juridique et de sécurité de notre série sur le domain flipping. Il couvre la frontière entre le « domaining » et le cybersquatting, les deux systèmes de résolution des litiges qui font respecter cette frontière, comment conclure une vente sans se faire arnaquer, et comment empêcher quelqu'un de vous dérober un nom. Rien de tout cela ne constitue un conseil juridique (voir l'avertissement à la fin), mais tout cela représente les connaissances pratiques que les flippers expérimentés intègrent dans chaque transaction.

La seule ligne à ne pas franchir : les marques déposées

Illustration éditoriale d'une étiquette de domaine générique avec une coche verte d'un côté d'une ligne de démarcation et un domaine avec un emblème de marque bloqué par un panneau d'interdiction rouge de l'autre

Toute la question juridique se résume à une seule distinction. Enregistrer un nom générique, descriptif ou inventé pour le revendre est un investissement ordinaire. Enregistrer un nom qui exploite la marque d'une entreprise spécifique relève du cybersquatting, et c'est le seul geste qui transforme un flip légitime en une opération perdante.

La définition de Wikipedia est la norme : le cybersquatting est la pratique consistant à enregistrer, à faire le commerce ou à utiliser un nom de domaine sur Internet, avec l'intention de mauvaise foi de profiter de la notoriété d'une marque appartenant à quelqu'un d'autre. Deux termes dans cette phrase sont essentiels : mauvaise foi et marque déposée. Un mot du dictionnaire comme loans ou un nom inventé comme Zapio n'appartient à personne en particulier. nikeshoes-store.com s'appuie clairement sur une marque qui, elle, a un propriétaire. Plus un nom est proche d'une marque existante, plus il semble que vous l'ayez enregistré pour extorquer de l'argent à cette marque, et c'est précisément cette intention que la loi sanctionne. Nous définissons cette frontière en détail dans cybersquatting vs domaining : UDRP et ACPA.

Un filtre pratique avant d'acheter : une personne raisonnable supposerait-elle que ce nom est destiné à pointer vers une entreprise particulière ? Si oui, passez votre chemin, peu importe son prix. Les fondamentaux qui font la valeur d'un nom sont traités dans comment évaluer un nom de domaine et qu'est-ce qu'un domaine ; un nom qui échoue au test de la marque déposée a une valeur négative, car le détenir constitue un passif.

L'UDRP : comment un titulaire de marque récupère un nom

La voie d'exécution rapide et peu coûteuse est la Procédure uniforme de règlement des litiges relatifs aux noms de domaine (UDRP). Elle fait partie des règles de l'ICANN, intégrée dans le contrat d'enregistrement que vous acceptez chaque fois que vous enregistrez un nom, vous y êtes donc déjà soumis. L'ICANN a adopté l'UDRP en 1999, et les litiges sont tranchés par des prestataires accrédités, principalement l'Organisation Mondiale de la Propriété Intellectuelle (OMPI).

Un plaignant doit prouver trois choses, sans exception. Comme le résume Wikipedia, le nom doit être identique ou prêter à confusion avec une marque de commerce ou de service sur laquelle le plaignant a des droits ; le titulaire n'a aucun droit ni intérêt légitime sur le nom de domaine ; et le nom a été enregistré et est utilisé de « mauvaise foi ». S'il manque l'un de ces trois éléments, la plainte échoue.

Les enjeux d'une procédure UDRP sont limités mais absolus. Les seuls recours sont l'annulation ou le transfert du domaine. Aucune somme d'argent n'est accordée, mais vous perdez l'actif purement et simplement, et un panel peut le prendre en quelques semaines plutôt qu'en plusieurs mois comme le ferait un procès. Ce système est très sollicité : l'OMPI a signalé qu'en 2024, des titulaires de marques de 133 pays ont déposé 6 168 plaintes en vertu de la Procédure uniforme de règlement des litiges relatifs aux noms de domaine (UDRP) et de ses variantes nationales pour les ccTLD. Pour un flipper, la leçon est simple : une UDRP est l'outil rapide et bon marché qu'une marque utilisera en premier, donc tout nom susceptible d'en attirer une est un nom que vous ne voulez pas dans votre inventaire.

L'ACPA : quand le litige se transforme en procès et en argent

L'UDRP ne peut que transférer le nom. La loi des États-Unis va plus loin. L'Anticybersquatting Consumer Protection Act (ACPA), promulgué en 1999, permet à un titulaire de marque de poursuivre en justice devant un tribunal fédéral et de demander des dommages et intérêts, et non plus seulement le domaine.

L'ACPA se concentre sur la question de savoir si le titulaire a une intention de mauvaise foi de tirer profit de la marque, et les tribunaux évaluent une liste de facteurs pour en décider. Plusieurs de ces facteurs visent directement les flippers : un tribunal examine l'intention du titulaire de détourner les clients de l'emplacement en ligne du propriétaire de la marque ainsi que toute offre de transférer, vendre ou céder le nom de domaine au propriétaire de la marque ou à un tiers pour un gain financier sans usage légitime. Lisez cela deux fois : envoyer un e-mail à une marque pour lui proposer « son » nom contre de l'argent est en soi une preuve de mauvaise foi. C'est le piège dans lequel tombent les flippers non avertis.

L'aspect financier est ce qui fait mal. En vertu de la loi, un plaignant peut opter pour des dommages et intérêts statutaires de pas moins de 1 000 $ et pas plus de 100 000 $ par nom de domaine, selon ce que le tribunal juge équitable. Enregistrez une poignée de noms proches de marques et le risque se multiplie rapidement. Rien de tout cela ne concerne les noms génériques et « brandables » qui constituent un portefeuille sain. Ceci est entièrement évitable en n'achetant jamais de noms qui surfent sur la marque de quelqu'un d'autre.

La défense du flipper : le détournement de nom de domaine inversé

La loi est à double tranchant, et c'est la partie que la plupart des débutants ignorent. Parfois, c'est le titulaire de la marque qui agit de mauvaise foi, en essayant d'intimider un titulaire légitime pour l'évincer d'un nom sur lequel il n'a aucune véritable revendication. La procédure a un nom pour cela. Le détournement de nom de domaine inversé (ou « reverse domain name hijacking ») se produit lorsqu'un titulaire légitime de marque tente d'obtenir un nom de domaine en formulant des allégations de cybersquatting contre le propriétaire « cybersquatteur » du nom de domaine. Les règles de l'UDRP le définissent comme le dépôt d'une plainte de mauvaise foi, entraînant un abus de la procédure administrative UDRP.

Si vous avez enregistré un mot générique des années avant qu'une entreprise ne l'adopte comme marque, vous avez un intérêt légitime, et un panel peut statuer contre le plaignant pour avoir tenté le coup. C'est exactement pourquoi il est important d'avoir des registres d'acquisition datés et documentés. Plus votre histoire est claire — nom générique, enregistré pour une raison évidente de non-contrefaçon, jamais utilisé pour cibler qui que ce soit — plus votre défense est solide et plus il est probable qu'un panel dénonce un intimidateur. Gardez vos enregistrements WHOIS et vos preuves d'achat en ordre ; ce sont vos preuves.

Conclure la vente sans se faire arnaquer

Illustration éditoriale d'un acheteur avec des pièces et d'un vendeur avec une étiquette de domaine, tous deux passant par un coffre-fort de séquestre neutre qui libère les fonds et le domaine simultanément

Le risque de marque est le danger juridique. Le danger transactionnel est la transaction elle-même. Une vente de domaine est une impasse de confiance classique : le vendeur ne transférera pas avant d'être payé, et l'acheteur ne paiera pas avant de recevoir le nom. Celui qui agit en premier est exposé, et les escrocs vivent de cette faille.

La solution standard est le service de séquestre (ou « escrow ») — un tiers neutre qui, selon la définition générale, reçoit et verse de l'argent ou des biens pour les parties principales à la transaction, le versement dépendant de conditions convenues. L'acheteur approvisionne l'agent de séquestre, le vendeur transfère le domaine, l'agent confirme la passation, puis débloque l'argent. Aucune des parties n'a besoin de faire confiance à l'autre, seulement à l'agent. Nous détaillons les mécanismes dans l'explication du séquestre de domaine et dans l'entrée du glossaire sur le séquestre.

Quelques schémas d'escroquerie reviennent assez souvent pour être mémorisés, et nous en cataloguons davantage dans comment éviter les escroqueries à la vente de domaines :

Faux sites de séquestre. Un « acheteur » insiste pour utiliser un service de séquestre dont vous n'avez jamais entendu parler, avec une URL qui imite un vrai service. Le site leur appartient ; votre domaine et les frais éventuels disparaissent. N'utilisez que des services de séquestre que vous avez choisis et vérifiés indépendamment.
Fraude à la rétrofacturation et à l'annulation. Un acheteur paie par une méthode réversible, vous transférez le nom, puis il annule le paiement. Les services de séquestre réputés et les règlements irréversibles existent précisément pour contrer cela.
Escroqueries au trop-perçu. Un « acheteur » envoie trop d'argent et demande le remboursement de la différence ; le paiement initial est ensuite annulé.

Le fil conducteur : ne jamais céder le contrôle d'un nom sur une promesse. Pour le guide complet du vendeur, consultez comment vendre un nom de domaine que vous possédez et l'aperçu plus large du domain trading.

Empêcher le vol de votre portefeuille

Illustration éditoriale d'une étiquette de domaine protégée par un cadenas fermé et un bouclier avec une clé en forme d'enveloppe, tandis qu'un hameçon de phishing rouge est bloqué

La dernière menace n'a pas du tout besoin de votre coopération. Le détournement de nom de domaine (ou « domain hijacking ») est l'acte de modifier l'enregistrement d'un nom de domaine sans la permission de son titulaire d'origine. Pour un flipper, votre portefeuille est votre compte bancaire, et un nom premium détourné peut être vendu à un tiers innocent avant que vous ne vous rendiez compte qu'il a disparu.

Les pirates informatiques cassent rarement la cryptographie. Ils passent par les gens et les e-mails. Les voies courantes, selon Wikipedia, sont l'accès non autorisé à, ou l'exploitation d'une vulnérabilité dans le système du bureau d'enregistrement de noms de domaine, par le biais de l'ingénierie sociale, ou simplement en accédant au compte e-mail du propriétaire du domaine qui est associé à l'enregistrement du nom de domaine. Compromettez l'e-mail enregistré et un voleur peut réinitialiser les mots de passe du bureau d'enregistrement et approuver un transfert. Comment le détournement de domaine se produit réellement retrace toute la chaîne d'attaque.

Les défenses sont peu coûteuses et méritent d'être intégrées à votre routine auprès de chaque bureau d'enregistrement que vous utilisez :

Verrouillez vos noms. Le statut clientTransferProhibited indique au registre de rejeter les demandes de transfert du domaine et a pour but d'aider à prévenir les transferts non autorisés résultant du détournement et/ou de la fraude. Laissez-le activé pour tout nom que vous n'êtes pas en train de transférer.
Protégez le code d'autorisation. Un transfert inter-registraires légitime nécessite le code d'authentification (code d'autorisation) de votre bureau d'enregistrement actuel — le secret requis pour le transfert entre bureaux d'enregistrement. Traitez-le comme un mot de passe ; ne le collez jamais dans un « formulaire de transfert » d'un inconnu.
Sécurisez l'e-mail enregistré. Activez l'authentification à deux facteurs sur le compte e-mail lié à votre bureau d'enregistrement, car cette boîte de réception est la clé maîtresse de l'ensemble de votre enregistrement de propriété de domaine.

Comment la propriété tokenisée change le risque

La plupart des dangers ci-dessus partagent une cause profonde : la propriété d'un domaine traditionnel est une ligne dans une base de données chez un bureau d'enregistrement, prouvable uniquement via le compte de ce bureau d'enregistrement et la récupération par e-mail, et transférable uniquement par un processus en plusieurs étapes où chaque passation est une occasion de se faire arnaquer ou détourner. C'est la surface sur laquelle travaillent les attaquants et les fraudeurs.

La tokenisation d'un vrai domaine ICANN réduit cette surface d'attaque. Lorsque le contrôle est représenté on-chain, la propriété est auditable plutôt que basée sur la confiance, et un transfert s'effectue de manière atomique au lieu de s'étaler sur une période où quelqu'un peut intervenir — avec une continuité DNS pour que le nom continue de se résoudre proprement pendant le transfert. Cela n'abroge pas le droit des marques (un nom qui viole une marque reste une mauvaise idée sur n'importe quel support), mais cela s'attaque directement au problème de confiance du séquestre et au problème du détournement par e-mail. C'est la lacune que Namefi a été conçue pour combler, et nous approfondissons ce sujet dans comment les places de marché tokenisées remplacent le séquestre.

En bref

Achetez des noms génériques, descriptifs et inventés ; jamais de noms qui s'appuient sur une marque. Sachez qu'une procédure UDRP peut vous prendre un nom rapidement et que l'ACPA peut vous prendre de l'argent en plus. Gardez des registres clairs pour pouvoir défendre un nom légitime, y compris contre le détournement inversé. Concluez chaque vente via un service de séquestre que vous avez choisi vous-même, et sécurisez votre portefeuille pour que personne ne puisse s'en emparer. Faites cela, et la loi sera une clôture qui protège votre entreprise plutôt qu'un piège prêt à se refermer.

Avertissement amical (Lisez-moi !)

Nous ne sommes ni avocats, ni comptables, ni conseillers financiers, ni médecins, et rien dans cet article ne constitue un conseil juridique, financier, fiscal, comptable, médical ou de toute autre nature professionnelle. Nous écrivons ces articles pour nous informer et pour la commodité de nos clients. Les informations ici peuvent être obsolètes, spécifiques à une géographie ou tout simplement incorrectes. Nous faisons aussi des erreurs.

Pour toute décision importante, veuillez consulter un vrai professionnel (sérieusement !). Ou si ce n'est pas votre style, demandez à un ami, demandez sur Twitter, sur Reddit, à une IA ou à un médium. En bref : DOYR - Faites vos propres recherches. Apprenons et amusons-nous.

Sources et lectures complémentaires

Wikipedia — Cybersquatting (définition ; intention de mauvaise foi de tirer profit d'une marque déposée)
Wikipedia — Uniform Domain-Name Dispute-Resolution Policy (les trois éléments ; recours en annulation ou en transfert ; OMPI)
OMPI — Nombre record de cas de cybersquatting en 2024 (6 168 cas UDRP, 133 pays)
Wikipedia — Anticybersquatting Consumer Protection Act (promulgué en 1999 ; facteurs de mauvaise foi)
Cornell Law / U.S. Code — 15 U.S.C. § 1117(d) (dommages et intérêts statutaires de 1 000 à 100 000 $ par nom de domaine)
Wikipedia — Reverse domain name hijacking (plainte de mauvaise foi ; abus de la procédure UDRP)
Wikipedia — Escrow (un tiers neutre détient et verse des fonds selon des conditions convenues)
Wikipedia — Domain hijacking (définition ; voies de l'ingénierie sociale et du compte e-mail)
Wikipedia — Extensible Provisioning Protocol (clientTransferProhibited ; code d'autorisation comme secret de transfert)