L’article paru sur le site internet de RTL a été écrit par Mindforest Luxembourg.

MindForest : ... connaissant l’ampleur de la tâche (rien de moins que de surveiller le Web !), on suppose que vous travaillez avec des outils pour automatiser les recherches ? Jusqu’à quel point ?

Xavier Lesueur : Oui, travailler sur les noms de domaine d’une entreprise, cela revient à rechercher tous les noms de domaine similaires ou proches de la marque, et à décliner la recherche sur tous les gTLD (NDLR : extensions génériques de noms de domaine, comme .net, .org, .com,...) et tous les points pays (.fr, .lu, .co.uk,...). Quand on sait que pour une entreprise et ses marques associées on peut sortir pas moins de 20 000 noms de domaine, on se rend vite compte que le traitement manuel est impossible.

Toutefois une intervention humaine (d’un expert en propriété intellectuelle) est nécessaire pour effectuer les tris, pour hiérarchiser les résultats afin d’alerter le client sur les noms de domaine qui requièrent une intervention rapide. Rapide, soit parce que le nom de domaine est encore libre et qu’il est urgent de l’acheter, soit parce qu’il a été cybersquatté (quelqu’un a acheté un nom de domaine comprenant la marque, une partie de la marque ou un nom très similaire à la marque pouvant induire en erreur le consommateur, en lui faisant croire qu’il est effectivement sur le site de la marque en question).

MindForest : Jusqu’où va votre intervention ? Pouvez-vous lancer une procédure pour récupérer le nom de domaine, enregistrez-vous les noms de domaine pour vos clients ?

Sylvie Rouen : En effet, nos prestations vont au-delà du conseil. Nous lançons les procédure d’enregistrement, et en cas de cybersquatting nous sommes capables de lancer une procédure de règlement du litige à l’amiable. Pour les procédures plus lourdes, nous devons faire appel à des avocats.

MindForest : Il y a en effet une forte dimension juridique dans votre activité...

Sylvie Rouen : Oui, mais il faut préciser que notre intervention se limite à investiguer et à produire les preuves techniques qui seront ensuite utilisées par les services juridiques et les cabinets d’avocats. C’est tout le paradoxe des multinationales que nous avons pour clients : elles ont des conseillers juridiques, mais elles n’ont pas les ressources techniques en interne pour tracer la criminalité sur Internet, le détournement du nom de leur marque, la diffamation sur les blogs ou les forums, le phishing (NDLR : terme désignant l’obtention d’informations confidentielles comme les mots de passe en se faisant passer auprès des victimes pour une société digne de confiance, comme leur banque par exemple).

MindForest : Vous parlez de spams, de blogs,... Comment faites-vous pour contrôler un contenu qui n’est indexé nulle part, et qui représente des volumes d’informations colossaux ?

Sylvie Rouen : Pour les blogs, nous effectuons des recherches sur des blogs thématiques, sélectionnés en fonction de la problématique du client, afin d’identifier par exemple les cas de diffamation. Pour les spams, la problématique est différente. Un e-mail qui comprend une marque utilisée à l’insu de l’entreprise concernée, en vue de se faire passer pour elle auprès de ses clients internautes et d’obtenir d’eux des données personnelles et confidentielles comme login et mot de passe, s’appelle en fait du phishing. LegitiName développe des solutions anti-phishing, notamment pour ses clients du secteur bancaire (NDLR : voir le Web dossier sur le phishing).

MindForest : Les clients de la Banque Générale du Luxembourg ont en effet reçu récemment un courrier les mettant en garde contre les faux e-mails demandant de se rendre sur le site la banque pour rentrer leur mot de passe.

Sylvie Rouen : En effet, mais ces initiatives sont encore trop rares. Il est du devoir des entreprises d’informer leurs clients, en leur disant par exemple que l’entreprise ne leur demandera jamais leur mot de passe par e-mail, et donc que s’ils reçoivent un tel e-mail, il est forcément frauduleux. Il n’y a pas encore de prise de conscience par rapport à la criminalité sur Internet, les entreprises ne s’imaginent pas être les cibles de ce qu’il faut bien appeler du crime organisé. Nous ne sommes plus au temps des étudiants bidouilleurs. On parle d’organisations criminelles, éclatées sur l’ensemble de la planète.

MindForest : Peut-on estimer les pertes générées par le phishing ?

Sylvie Rouen : Aux Etats-Unis, cette fraude par e-mail est estimée pour 2004 à 5 milliards de dollars, selon l’Anti-Phishing Working Group. Mais le plus gros préjudice n’est pas financier : c’est l’altération de l’image de marque de l’entreprise. Et ça, c’est inestimable.

MindForest : Que doit faire l’internaute lambda pour se prémunir de ces mails frauduleux et de toutes leurs conséquences ?

Sylvie Rouen : On ne le répètera jamais assez : mettre à jour son programme anti-virus, faire preuve de bon sens en ne communiquant pas son mot de passe, et surtout mettre à jour son système d’exploitation, car les hackeurs exploitent les failles des systèmes d’exploitation. Par exemple, ils sont capables de créer des virus (sous forme de « Cheval de Troie »), qui enregistrent ce qui est entré au clavier (comme les mots de passe) et qui transmettent ces données aux cybercriminels à l’insu de l’internaute.

MindForest : Et si on a déjà entré son mot de passe sur un site suspect ?

Sylvie Rouen : Avertir immédiatement l’entité dont se réclame le mail frauduleux (sa banque, son fournisseur d’accès Internet, eBay, Paypal,...) pour bloquer le compte, changer immédiatement les mots de passe.