Le Vol de Sex.com : La Lettre Falsifiée qui a Dérobé le Domaine le Plus Précieux d'Internet
En 1995, un escroc nommé Stephen Cohen a volé sex.com à son propriétaire légitime Gary Kremen grâce à une seule lettre falsifiée envoyée à Network Solutions. La longue bataille pour le récupérer s'est soldée par un jugement de 65 millions de dollars, un fugitif au Mexique, et une décision historique établissant que les domaines sont une propriété.
- domains
- security
- dns
- domain-security
En 1995, l'adresse la plus précieuse d'internet a changé de mains à cause d'une seule feuille de papier.
Il n'y a pas eu d'effraction, pas de rançon, pas d'exploit informatique exotique. Un escroc a tapé une lettre, l'a signée d'un nom qui n'était pas le sien, et l'a envoyée par fax à un registrar de noms de domaine en Virginie. Le registrar l'a lue, y a cru, et a remis sex.com — un domaine qui allait générer une entreprise rapportant selon certaines estimations un quart de milliard de dollars — à un homme qui n'y avait aucun droit. Le propriétaire légitime ne l'a appris qu'après coup, puis a passé près d'une décennie à tenter de le récupérer.
Voici le premier grand vol de domaine de l'histoire, et il reste la réponse la plus claire à une question que tout propriétaire de domaine devrait se poser : qu'est-ce qui empêche concrètement quelqu'un de simplement s'approprier mon nom ? En 1995, la réponse s'est avérée être : presque rien.
Bienvenue dans Domain Mayday / 域名浩劫 — des analyses approfondies des incidents de sécurité qui ont façonné notre façon de concevoir la propriété d'un nom en ligne. Épisode 02 : la lettre falsifiée qui a volé sex.com.
Ce que valait sex.com
Au début de l'année 1994, l'entrepreneur Gary Kremen — qui a également fondé Match.com — observait l'internet commercial tout neuf et en voyait l'évidence. Les archives judiciaires fixent la date d'enregistrement avec précision : Gary Kremen a enregistré le nom de domaine sex.com auprès de Network Solutions, Inc. le 9 mai 1994. À l'époque, les domaines étaient gratuits, enregistrés par un simple e-mail, et presque personne ne comprenait ce qu'ils vaudraient un jour. La Neuvième Cour d'appel fédérale a ouvert plus tard son opinion sur l'affaire avec la blague qui a plané sur toute cette saga : « Du sexe sur Internet ? » disaient-ils tous. « Ça ne rapportera jamais rien. »
Ça a rapporté. Après le vol du domaine, le voleur en a fait une machine à profits : un site à forte densité publicitaire qui recevait jusqu'à 25 millions de visites par jour, rapportant selon certaines sources entre 50 000 et 500 000 dollars par mois grâce aux clics et à d'autres formes de publicité. Selon certaines estimations, le domaine volé est devenu la base d'une entreprise de 250 000 000 dollars pendant les années où il en avait le contrôle illicite. C'était un domaine qui, selon les mots d'un observateur du secteur, pourrait selon certains comptes valoir plus que tout domaine jamais vendu à ce jour.
Un nom d'une telle valeur, protégé par la sécurité d'un registrar des années 1990, était un coffre-fort fermé par un verrou en papier.
Le vol : une seule lettre falsifiée
L'homme qui a crocheté cette serrure s'appelait Stephen Michael Cohen, et ce n'était pas un délinquant à son premier méfait. La Neuvième Cour d'appel fédérale et Wikipedia notent tous deux qu'il est arrivé sur sex.com en sortant de prison : Stephen M. Cohen, qui venait de purger une peine de prison après avoir été condamné pour fraude. Il a regardé sex.com et a vu exactement ce que voyait Kremen — une fortune — et il a décidé de la prendre.
Le mécanisme était d'une simplicité presque insultante. Cohen a berné Network Solutions avec une fausse lettre émanant soi-disant d'un cadre inexistant de la société de Kremen, Online Classifieds, autorisant le transfert de Sex.com à Cohen. Dit clairement par la même source, Cohen a volé le nom de domaine sex.com de Gary Kremen simplement en soumettant une fausse lettre de transfert au registrar Network Solutions avec une signature falsifiée.
Le 18 octobre 1995, Network Solutions a transféré, sans autorisation, le domaine à Stephen M. Cohen, un homme qui, selon Wikipedia, cherchait depuis un certain temps à prendre le contrôle du domaine par des manœuvres frauduleuses, en utilisant des appels téléphoniques, des e-mails et des lettres falsifiées. Le nom le plus précieux d'internet avait désormais un nouveau « propriétaire », et le véritable n'en savait rien.
La « lettre Dimmick » falsifiée
Il vaut la peine de s'arrêter sur le faux lui-même, car ce n'était pas un chef-d'œuvre. C'était un fax, et un fax bâclé.
Selon le dossier du tribunal de district, dans une lettre datée du 15 octobre 1995, Sharon Dimmick, soi-disant au nom d'Online Classified, informait Stephen Cohen qu'Online Classified avait « décidé d'abandonner le nom de domaine sex.com ». L'auteur de la lettre avait un vrai problème à résoudre : comment une société « abandonne »-t-elle un domaine pour qu'un inconnu puisse le récupérer ? La réponse de Cohen, citée dans l'opinion d'appel, consistait à faire expliquer par la lettre que n'ayant pas de connexion directe à internet, nous vous demandons de notifier l'organisme d'enregistrement internet en notre nom, afin de supprimer notre nom de domaine sex.com. Une société dont le métier était d'exploiter des sites web, prétendant ne pas avoir accès à internet — et Network Solutions n'a pas cillé.
La « Sharon Dimmick » dont le nom figurait sur la lettre était une vraie personne, mais elle n'avait rien à voir avec un quelconque abandon. Comme l'a rapporté The Globe and Mail, Network Solutions a reçu une lettre fin 1995 apparemment signée par Sharyn Dimmick, alors colocataire de M. Kremen. Cohen avait emprunté le nom de la colocataire de Kremen pour se faire passer pour la propre société de ce dernier.
Et il a mal orthographié le nom. Comme le note platement un résumé de l'affaire, Cohen a mal orthographié la signature de Dimmick sur la lettre falsifiée. La journaliste qui a écrit plus tard un livre sur l'affaire était encore plus cinglante, décrivant le document comme un texte où la personne supposée l'avoir envoyé ne savait pas épeler son propre nom ; l'en-tête ressemble à quelque chose fabriqué avec une imprimante jouet par un élève de maternelle analphabète.
C'est le détail qui fait mal dans cette histoire. La serrure qui protégeait le domaine le plus précieux d'internet était si fragile qu'elle pouvait être crochetée par un faux dont l'« auteure » elle-même ne savait pas épeler son nom — et le registrar l'a pris pour argent comptant et a cédé le contrôle.
Les années de combat pour le récupérer
Faire voler sex.com n'a nécessité qu'une seule lettre. Le récupérer a nécessité des années de procédure judiciaire, et Kremen a dû se battre sur deux fronts à la fois : contre Cohen, et contre le registrar qui avait cédé son domaine.
Face à Cohen, les faits étaient accablants, et Cohen le savait. Il a réagi comme le font les escrocs — en fabriquant davantage de documents. Il a forgé des documents pour prouver qu'il avait toujours été propriétaire du domaine et qu'il détenait une marque déposée pour sex.com, construisant une histoire fictive pour défendre le vol. Le tribunal n'a pas été dupe. Le juge James Ware a déclaré le transfert nul : le tribunal de district a statué que Cohen avait commis une fraude, et a déclaré nulle sa propriété de sex.com car il avait acquis le nom de domaine par le biais d'une lettre frauduleuse. Le dossier de jugement chez morelaw l'énonce simplement — jugement en faveur du demandeur avec ordonnance de restituer sex.com au demandeur. Kremen, que le juge a reconnu comme le véritable propriétaire de sex.com, avait enfin récupéré son nom.
Le combat le plus difficile concernait Network Solutions, et c'est celui qui importait pour tout le monde. Kremen soutenait que le registrar devait être tenu responsable d'avoir converti sa propriété — c'est-à-dire de l'avoir cédée. Network Solutions arguait qu'un domaine n'était pas une « propriété » en soi, juste un service qu'il fournissait, et un tribunal inférieur avait initialement accepté cette thèse. En appel, le juge Kozinski n'était pas d'accord et a pleinement intégré les domaines dans le droit de la propriété : le nom de domaine de Kremen est protégé par la loi californienne sur la conversion. Son analogie était tranchante — remettre un domaine à la mauvaise personne sur la foi d'une lettre falsifiée, a-t-il écrit, n'est pas différent de tenir une société responsable lorsqu'elle cède les actions de quelqu'un dans les mêmes circonstances. L'affaire a été réglée par la suite, mais le principe est resté : un nom de domaine est une propriété qu'on peut posséder, perdre et sur laquelle on peut engager des poursuites.
Le jugement à 65 millions de dollars — et la fuite de Cohen
Le montant attaché au vol était énorme pour l'époque. Le tribunal a reconnu Cohen coupable de fraude et de falsification pour un total de 40 millions de dollars en compensation des profits perdus et de 25 millions de dollars en dommages punitifs — un total que la Neuvième Cour d'appel a résumé comme un jugement accordant 40 millions de dollars de dommages compensatoires et 25 millions supplémentaires de dommages punitifs. The Register a synthétisé la conclusion : la bataille s'est finalement terminée en avril 2001 lorsque Kremen s'est vu restituer le domaine et accorder 65 millions de dollars.
Le recouvrement de cette somme était une autre affaire. Cohen n'avait aucune intention de payer. Il a ignoré l'ordonnance et viré d'importantes sommes d'argent sur des comptes offshore, incitant le juge à, selon les propres termes de l'opinion, enlever les gants : il a déclaré Cohen fugitif de la justice, a signé un mandat d'arrêt et a lancé les U.S. Marshals à sa poursuite. À ce moment-là, Cohen avait déjà disparu. Lorsqu'un mandat d'arrêt a été émis, Cohen a fui au Mexique, devenant ce que The Globe and Mail a appelé le premier fugitif d'internet pour un nom de domaine, recherché par les polices américaine et mexicaine. Il a déclaré faillite personnelle et s'est enfui au Mexique, où il a échappé à la capture pendant plusieurs années avant d'être expulsé par les autorités mexicaines pour infractions à la législation sur l'immigration en 2005.
Kremen a obtenu le domaine et le jugement. Il n'est jamais parvenu à recouvrer l'intégralité des 65 millions de dollars. La leçon est sombre mais importante : un verdict sur le papier ne vaut que ce que vaut votre capacité à l'exécuter contre quelqu'un prêt à prendre la fuite.
Comment les registrars ont laissé cela se produire dans les années 1990
On pourrait être tenté de voir dans cela un registrar négligent et un événement isolé. Ce n'était pas le cas. C'était le résultat prévisible du fonctionnement réel de la propriété des domaines en 1995.
À cette époque, la « preuve » que vous possédiez un domaine était un enregistrement dans la base de données d'un registrar et un contact administratif — et la façon de le modifier était d'en faire la demande, généralement par lettre ou fax. Il n'y avait pas de signature cryptographique, pas de confirmation à double facteur, pas de notification automatique au propriétaire existant avant qu'un transfert soit effectué. Le système fonctionnait sur la confiance et sur l'hypothèse que personne ne mentirait simplement. Face à la lettre de Cohen, Network Solutions n'a fait aucun effort pour contacter Kremen et, comme le résume Wikipedia, a pris la lettre frauduleuse de Cohen pour argent comptant, et n'a effectué aucune vérification préalable pour déceler les incohérences dans le raisonnement de Cohen ou pour contacter Kremen afin de vérifier qu'il avait bien abandonné le nom de domaine.
Deux défaillances structurelles se cumulent ici :
- Autorisation par usurpation d'identité. Le registrar a authentifié un document, pas une personne. Quiconque pouvait produire une lettre d'apparence plausible sur le papier à en-tête de la bonne « société » pouvait déplacer un domaine. L'identité n'était qu'un déguisement.
- Aucune notification au véritable propriétaire. Le seul contrôle qui aurait stoppé net cette situation — informer Kremen que « quelqu'un tente de transférer votre domaine » avant d'agir — n'existait tout simplement pas. La victime était la dernière à l'apprendre.
Ce ne sont pas les fautes de Cohen. Ce sont les défaillances d'un système qui traitait les noms les plus précieux du monde comme des cartes de bibliothèque.
Ce que cela nous apprend sur la propriété des domaines
Le vol de sex.com a trente ans, mais ses leçons restent intemporelles, car l'architecture sous-jacente de la propriété des domaines a moins changé qu'on ne le penserait.
- Votre domaine est une propriété — et la propriété se vole. L'héritage le plus durable de Kremen v. Cohen est la décision selon laquelle un domaine est une propriété protégée par la loi sur la conversion. C'est une bonne nouvelle (vous avez des droits) et un avertissement (quelque chose qui a de la valeur et un propriétaire mérite d'être volé).
- Le maillon faible est le processus de transfert, pas le mot de passe. Cohen n'a jamais deviné un mot de passe. Il a attaqué le chemin administratif — le processus humain pour changer de propriétaire d'un nom. La plupart des détournements de domaine ciblent encore cette faille : le support du registrar, les autorisations de transfert, les modifications des coordonnées de contact.
- La confiance documentaire n'est pas une sécurité. « Ça avait l'air officiel » — voilà comment le domaine le plus précieux de la planète a changé de mains. Une signature, un en-tête, une histoire plausible — rien de tout cela ne prouve quoi que ce soit sur l'identité de la personne réellement autorisée.
- La notification et la vérification ne sont pas négociables. L'unique contrôle qui aurait empêché toute la fraude était de confirmer la demande auprès du véritable propriétaire avant d'agir. Tout système capable de déplacer votre domaine sans impliquer vous de manière prouvable est un système qui peut faire perdre votre domaine.
- Un jugement n'est pas un recouvrement. Kremen a obtenu 65 millions de dollars et en a récupéré bien moins. La prévention bat toujours le contentieux, car on ne peut pas plaider pour récupérer un domaine qu'un fugitif a déjà monétisé et qu'un tribunal ne peut pas retrouver.
L'angle Namefi
Mettez de côté la fuite au Mexique et les revenus d'un empire pornographique, et le vol de sex.com est l'histoire d'une seule chose : il n'existait aucun enregistrement infalsifiable et contrôlé par son propriétaire de qui possédait le nom. La propriété résidait dans une base de données privée, et elle pouvait être réécrite par quiconque pouvait tromper le greffier avec une lettre falsifiée signée d'un nom mal orthographié.
Namefi part du postulat inverse. Lorsqu'un domaine est tokenisé, la propriété est ancrée à des clés cryptographiques que vous contrôlez, et chaque transfert est une action on-chain qui est autorisée, visible et traçable — pas un fax que quelqu'un « prend pour argent comptant ». Il n'y a pas de greffier à tromper, pas de canal administratif secondaire où une lettre convaincante l'emporte sur le véritable propriétaire, et pas de transfert silencieux dont le propriétaire apprend l'existence des mois plus tard. Le contrôle est prouvable, les transferts sont signés par le propriétaire, et la piste d'audit est publique par construction — tout en restant compatible avec le DNS sur lequel repose l'ensemble d'internet.
La lettre falsifiée de Cohen a fonctionné parce que la seule chose qui se dressait entre lui et sex.com était la disposition de quelqu'un d'autre à croire un bout de papier. L'objectif d'une propriété vérifiable et infalsifiable est de rendre cette attaque impossible à même tenter : on ne peut pas usurper une clé privée comme on peut usurper une signature. La leçon la plus précieuse du premier grand vol de domaine d'internet est que qui possède ce nom devrait être un fait que l'on peut prouver — et non une histoire qu'un inconnu peut raconter.
Sources et lectures complémentaires
- Wikipedia — Sex.com
- Wikipedia — Kremen v. Cohen
- U.S. Court of Appeals, Ninth Circuit — Kremen v. Cohen / Online Classifieds v. Network Solutions, 325 F.3d 1035 (opinion complète, PDF)
- MoreLaw — Gary Kremen v. Stephen Michael Cohen, et al. (dossier de l'affaire)
- CircleID — Domain Name Theft, Fraud And Regulations
- The Globe and Mail — The fugitive, the Cupid and sex.com
- The Register — Sex.com: read it if you dare (critique du livre de Kieren McCarthy)
- Studicata — Kremen v. Cohen — Résumé de l'affaire
- Kieren McCarthy — The lowdown on the Sex.com case
- CircleID — Book Review: Sex.com by Kieren McCarthy
À propos de l’auteur·rice
Guides connexes
- La Minute à 12 Dollars : Quand Quelqu'un a Discrètement Acheté Google.comEn septembre 2015, un ancien employé de Google a acheté google.com via Google Domains pour 12 dollars et a détenu le contrôle administratif du domaine le plus précieux au monde pendant environ une minute. L'histoire de Sanmay Ved, la prime de 6 006,13 dollars, et ce qu'une minute de propriété révèle sur celui qui contrôle vraiment un domaine.
- Domain Mayday EP03 : La prise de contrôle de comptes Twitter Bitcoin en 2020Le 15 juillet 2020, des attaquants ont infiltré Twitter par téléphone, détourné les comptes vérifiés d'Obama, Biden, Musk, Gates, Apple et Uber, et lancé une arnaque de doublement de Bitcoin — récoltant environ 118 000 dollars. Une analyse approfondie de la façon dont le contrôle d'une identité en ligne a été volé, et ce qu'elle enseigne sur la possession d'un nom.
- Domain Mayday EP05 : Le détournement massif de domaines DeFi sur Squarespace en 2024En juillet 2024, une migration de registrar de Google Domains vers Squarespace a transformé une authentification par défaut trop faible en une surface d'attaque massive. Des attaquants ont détourné les domaines de projets crypto et DeFi — Compound Finance, Celer Network, Pendle, Unstoppable Domains — et les ont redirigés vers des sites de phishing vidant les portefeuilles. Voici comment une migration « transparente » a créé des centaines de portes d'entrée non verrouillées, et ce qu'elle enseigne sur la sécurité des registrars et l'authentification multifacteur.
- L'attaque front-end de BadgerDAO : 120 millions de dollars siphonnés par un seul script injectéEn décembre 2021, des attaquants ont compromis le compte Cloudflare de BadgerDAO et injecté un seul script malveillant dans le front-end de son site web. Les contrats intelligents audités n'ont jamais été touchés — et pourtant, environ 120 millions de dollars sont partis via des approbations de portefeuilles signées à l'insu des utilisateurs. Une analyse approfondie expliquant pourquoi le site web fait partie de votre surface de sécurité.