Un hameçonnage (« phishing » en anglais) a visé la banque CIC via deux noms de domaine cybersquattés. Ils ont tenté de collecter des données personnelles et de connexion des fins frauduleuses.
Le CIC est une banque de dépôts française fondée en 1859. A l’heure actuelle, la banque compte plus de 4,7 millions de clients. Elle gère notamment ceux de près de 770 000 professionnels et entreprises qui leur confient leur épargne. L’établissement bancaire compte plus de 2 000 agences en France ainsi que 38 à l’étranger.
Depuis 1986, la société est titulaire de marques consistant dans ou comprenant l’acronyme CIC.
L’entreprise possède aussi le nom de domaine <cic.fr>. Elle exploite sous ce nom de domaine un site web fournissant des informations sur ses services. Il permet entre autres à ses clients d’accéder à leurs comptes bancaires. Ils peuvent ainsi y effectuer des opérations bancaires à l’aide une interface sécurisée protégée par mot de passe.
« Bank » et « finance » associés à CIC dans deux noms de domaine cybersquattés
Une surveillance de marque parmi les nouveaux dépôts de noms de domaine a détecté deux enregistrements effectués par un tiers. <finance-cic.com> a été enregistré le 16 septembre 2020. <cick-bank.com> a été réservé le 5 octobre 2020.
La banque estime que ces deux noms de domaine sont semblables au point de prêter à confusion avec sa marque CIC. Ils sont en effet constitués de une reproduction de la marque CIC, à laquelle est adjoint le terme décrivant son activité (« bank ») ou une partie de son activité (« finance »). L’adjonction de l’unique lettre “k” dans <cick-bank.com> ne peut constituer à elle seule un élément distinctif effaçant tout risque de confusion. Il importe peu que le terme “bank” soit en langue anglaise, car il est très proche du terme équivalent en français.
De plus, le nom de domaine litigieux <cick-bank.com> présente une similarité forte avec la marque CIC BANQUES. En effet, il combine un terme presque identique à la marque CIC au terme “bank”. Ce mot correspond à la traduction anglaise du mot français “banque”.
La banque CIC visée par un hameçonnage provenant du Bénin
Ces enregistrements de noms de domaine ont été réalisés par Obambu SARL. Cette société a informé la banque qu’elle agissait en tant que représentant de ses clients. L’entreprise l’a fait afin de prévenir l’affiche publique des informations dans le Whois. Le « registrar » a confirmé au Centre qu’Obambu SARL était uniquement le proxy pour les noms de domaine litigieux.
En l’espèce, les titulaires des noms de domaine cybersquattés ont tous deux des adresses fictives au Bénin. Leur adresses emails respectives sont formées de la même manière, à savoir leur nom (probablement faux) suivi du chiffre 121. Tous deux ont enregistré les noms de domaine litigieux par l’intermédiaire du même fournisseur de service proxy, Obambu SARL.
Jusqu’à ce que l’établissement bancaire prenne contact avec Obambu SARL, les deux noms de domaine ont été reliés à des sites web de contenu quasi identique, en langue française. Ces sites étaient dédiés à une activité en ligne de services bancaires et financiers.
Le cabinet de conseils en propriété industrielle Meyer et Partenaires a représenté la banque CIC dans une procédure extrajudiciaire dite UDRP référence D2020-3265 contre ces deux noms de domaine.
La Commission administrative estime hautement probable au vu des éléments présentés par le CPI que les noms de domaine litigieux sont soumis à un contrôle commun. La consolidation des titulaires paraît de sorte juste et équitable. Il y a donc lieu d’admettre la requête en consolidation de la banque.
Faux site web collectant des données personnelles
Les sites auxquels mènent les noms de domaine litigieux invitent les Internautes à saisir leur numéro de compte, mot de passe et coordonnées de contact. Les internautes trompés qui ont paisiblement renseignés ces informations avec candeur sont victimes de phishing.
Cette collecte de données de connexion et coordonnées personnelles est aisément assimilée à des tentatives d’hameçonnage visant la banque CIC. Cette collecte de données personnelles est vraisemblablement opérée à des fins frauduleuses.
Cela paraît d’autant plus vraisemblable que la banque CIC n’a pu obtenir confirmation de l’existence de l’éditeur de sites ou des titulaires des noms de domaine litigieux.