Comment fonctionne un nom de domaine web3 ?

Les noms de domaines web3 (par exemple « .eth », « .wallet »…) se différencient fondamentalement des noms de domaine classiques avec des extensions de type gTLD (par exemple « .com ») par l’objet qu’ils nomment. Alors que les noms de domaines classiques, les DNS, permettent de nommer une adresse IP pour faciliter l’accès à un site web, les noms de domaines web3 nomment une clé publique, dont la fonction est de permettre, notamment, la réception et l’émission de cryptoactifs sur blockchain. Pour faire une analogie avec le monde bancaire traditionnel, une clé publique[1] est assimilable à un IBAN augmenté et interactif sur blockchain pouvant servir à la fois à recevoir ou transmettre des crypto-actifs s’identifier, signer, voter, conserver des crypto-actifs et plus globalement déployer et interagir avec des smart-contracts de tous types. Ces caractéristiques techniques et fonctionnelles invitent d’ailleurs à s’interroger sur l’adéquation du terme de « nom de domaine » avec ce mode de nommage, il conviendrait certainement plutôt de les désigner sous le terme de « noms de portefeuilles numériques ».

Une autre différence notable entre les noms de domaine classiques et les noms de domaine web3 tient à leur mode d’administration. Alors que les extensions des noms de domaines classiques de type gTLD sont attribuées et gérées sous le contrôle de l’ICANN, aucune entité ou organisme international n’existe pour les noms de domaine web3, ces derniers sont inscrits sur une blockchain publique, par nature non-centralisée. De plus ces noms de domaines web3 sont émis par des entreprises de nommage ne conservant pas de droit d’administration de ces noms de domaine web3 ou des smart-contracts des NFT émis.

Il existe plusieurs entreprises proposant l’enregistrement et la création de noms de domaine web3, les deux plus connues étant Ethereum Name Service (ENS), proposant notamment l’extension « .eth » et Unstoppable Domains.

Ces entreprises émettent des jetons non-fongibles (ci-après « NFT ») utilisés pour nommer la clé publique de blockchain de leur détenteur. L’intérêt d’un nom de domaine web3 est comme pour les noms de domaines classiques de simplifier l’accès par le nommage, dans le cas du nom de domaine web3 de substituer une suite alphanumérique aléatoire du type « 0x… » par un mot ayant une signification, notamment une marque. Ce nommage permet, par conséquent, d’envoyer des cryptoactifs à une personne détenant un nom de domaine web3 sans avoir à saisir la complexe et difficilement mémorisable clé publique de blockchain mais uniquement le nom et l’extension. Il est également possible d’associer à ce nommage d’autres éléments tels qu’une image, des liens et des éléments de texte. Par ailleurs, il est important de relever que certains navigateurs tels que Brave permettent d’accéder directement à des sites web via un nom de domaine en « .eth », si celui-ci a été associé à un domaine classique.

Les noms de domaines web3 étant des NFT émis sur des blockchains publiques, leur marché secondaire est fluide et décentralisé et peut être réalisé sans l’intervention de l’entité émettrice, c’est-à-dire, par exemple sans l’intervention d’ENS. Les opérations de vente peuvent être réalisées sans aucun intermédiaire, mais de manière générale la rencontre entre l’offre et la demande pour ces noms de domaine web3 est réalisée grâce à des plateformes spécialisées affichant les offres de NFT et déployant à la demande et pour le compte du vendeur des smart-contracts[2] actionnables par l’acquéreur. Les principales plateformes de marché secondaire en 2023 pour les noms de domaine web3 sont la plateforme généraliste OpenSea et la plateforme spécialisée ENS Vision.

Cybersquatting de nom de domaine web3, quels risques pour les marques ?

Le cybersquatting peut porter préjudice à l’image de marque, que ce soit sur le web classique ou sur le web3, non seulement pendant que le nom domaine est cybersquatté mais également après.

En effet, dans le web classique, le recul et les analyses des experts en référencement permettent d’affirmer qu’un nom de domaine récupéré par le titulaire de la marque après un cybersquatting nécessitera un travail de référencement naturel et sponsorisé plus important que si le nom de domaine n’avait pas été cybersquatté ou a minima n’avait pas été utilisé par le cybersquatteur pour le nommage d’un site de mauvaise qualité ou portant sur une activité illégale.

S’agissant des noms de domaines web3 la situation peut être bien plus délicate dans la mesure où si la clé publique est rattachée à des activités de blanchiment d’argent ou de financement du terrorisme ou que le portefeuille est identifié par des autorités comme associé à des activités illégales, il risque d’être intégré sur une liste grise ou noire. Le fait d’avoir sa clé publique répertoriée sur une liste grise ou noire peut avoir pour effet de limiter les possibilités d’interaction de la clé publique avec des acteurs ayant des agréments (ce qui est très limitant pour convertir des cryptoactifs en devise ou pour payer en cryptoactif). Cette clé publique identifiée comme frauduleuse, peut aussi, dans une certaine mesure, infecter d’autres clés publiques avec lesquelles elle interagit, notamment pour recevoir ou envoyer des cryptoactifs, ce qui peut être problématique en cas d’opération adressée à la communauté d’une marque préalablement cybersquattée.

Les difficultés particulières pour réagir au cybersquatting de nom de domaine NFT

- L’anonymat ou le pseudonymat des cybersquatteurs

Les détenteurs de noms de domaines web3 ne sont théoriquement identifiés que par leur adresse publique de portefeuille sur blockchain, or la création de cette dernière ne nécessite pas la transmission de données personnelles (via par exemple un KYC) à un tiers de confiance ou à un Prestataire de Service sur Actif Numérique (ci-après « PSAN ») enregistré ou agréé.

Pour autant, les détenteurs de portefeuilles sur blockchain laissent des traces sur la blockchain et de manière plus générale sur le web. Concernant la blockchain, tout l’historique des opérations d’une adresse publique sur une blockchain publique (ex : Bitcoin, Ethereum…) est accessible à tous et incensurable. Il est ainsi possible d’identifier le mode d’approvisionnement d’une adresse publique et de trouver un point de contact avec une adresse vérifiée par un PSAN.  Concernant les indices hors blockchain, il est possible de savoir si le nom de domaine cybersquatté ou un autre NFT détenu par le même portefeuille a été mentionné sur un réseau social. De nombreux utilisateurs associent, par exemple, leur compte Twitter à un nom de domaine en « .eth » ou leur photographie de profil à un NFT qu’ils possèdent. Ces activités permettent de connaître a minima l’adresse IP du cybersquatteur, généralement l’adresse email et potentiellement les informations d’état civil pour les comptes abonnés à Twitter.

Comme dans le web2, l’anonymat dans le web3, n’est souvent que très relatif pour les utilisateurs.

- L’absence de procédure type UDPR

Dans le web traditionnel, les titulaires peuvent notamment décider de recourir à différentes procédures :

• La procédure de résolution des litiges UDRP (« Uniform Dispute Resolution Policy) mise en place par l’ICANN en cas d’enregistrement abusif d’un domaine qui ne peut aboutir qu’an rejet, au transfert ou à une radiation du domaine. La radiation ou le transfert supposera pour le titulaire de la marque de prouver un certain nombre d’éléments comme l’enregistrement et/ou l’usage de mauvaise foi du domaine. L’ICANN peut également procéder à une levée d’anonymat en tant que de besoin.
• La procédure URD (« Uniform rapid suspension ») présente quant à elle différents intérêts (rapidité, coûts) mais n’a qu’un effet limité dans la mesure où le demandeur ne peut obtenir que la suspension du domaine.
• L’action en contrefaçon (au civil ou au pénal). A noter qu’une action en contrefaçon aura peu de chances d’aboutir si le cybersquatteur se contente de bloquer le domaine sans l’exploiter réellement
• L’action en concurrence déloyale. Cette dernière action suppose quant à elle la preuve d’une faute, d’un préjudice et d’un lien de causalité entre les deux. Par ailleurs, afin d’être cumulée avec une action en contrefaçon, le demandeur doit être à même de prouver l’existence de faits distincts.

Dans l’écosystème blockchain, sans procédure centralisée, les marques, lorsqu’elles n’ont pas la possibilité de racheter le nom de domaine web3, celles-ci n’ont d’autre choix, en stratégie défensive, que de saisir les juridictions avec une difficulté additionnelle dans l’exequatur en raison du caractère décentralisé de l’architecture de fonctionnement des noms de domaine web3, NFT sur blockchain. De premières actions en justice visant à geler les NFT en tant qu’actifs apparaissent mais restent marginales. Reste à voir si les marques pourront aussi obtenir compensation pécuniaire des préjudices subis.

- La multiplicité des extensions des noms de domaines web3

Une autre complexité réside dans l’absence de barrière à l’entrée pour déployer une extension web3. En effet, il existe à date une grande variété (« .eth », « .polygon », « .wallet », « .sol », etc…) car il suffit de déployer un smart-contract pour pouvoir les créer. Récemment, l’apparition de NFTs sur la blockchain Bitcoin a par exemple engendré l’apparition des « .sats» sur ce réseau Il est important de noter que même si n’importe qui peut créer une extension de nom de domaine web3, son intérêt et sa valeur réside dans la prise en charge de l’extesion par des outils tiers (wallets, navigateurs, marketplaces, etc…).

Les stratégies pour prévenir ou réagir face à un cybersquatting de nom de domaine web3

Le volet judiciaire étant pour le moment encore à ses balbutiements sur ces problématiques, les titulaires de droits sont dès lors incités à se tourner vers d’autres voies après avoir procédé aux enregistrements de leurs marques auprès des autorités compétentes.

- Acheter les noms de domaine clés sur les extensions web3 à titre défensif

Les titulaires de marque peuvent procéder à l’enregistrement de noms de domaine web3 stratégiques et de leurs dérivés avant qu’ils ne soient déposés par des tiers cybersquatteurs. L’anticipation est à ce titre le maître-mot afin que les marques ne se retrouvent pas bloquées par un tiers cybersquatteur lorsqu’elles souhaitent se développer dans le web3. Il est également possible, pour certains systèmes comme ceux d’ENS, de racheter les noms de domaine web3 non-renouvelés.

- Utiliser des outils de veille et suivi des marques dans le web3

Une approche plus offensive pour les marques repose sur la mise en place d’une surveillance dédiée des nouveaux domaines enregistrés et des plateformes d’échanges de NFT. Plusieurs outils informatiques de veille et d’analyse des NFT, des blockchains et réseaux sociaux proposent à ce titre des systèmes de surveillance qui permettent de repérer les noms de domaine, l’adresse du wallet du titulaire, la transaction, sa date d’enregistrement parmi plusieurs extensions web3 ou encore l’activité du nom de domaine web3 sur les réseaux sociaux.

- Procédure de levée d’anonymat

Si l’information recherchée est détenue, par exemple, par un réseau social, en droit français, l’article 145 du Code de procédure civil permet une levée d’anonymat. D’après ce texte, « S'il existe un motif légitime de conserver ou d'établir avant tout procès la preuve de faits dont pourrait dépendre la solution d'un litige, les mesures d'instruction légalement admissibles peuvent être ordonnées à la demande de tout intéressé, sur requête ou en référé ». Il ne fait pas de doute que l’identification d’une partie dans le cadre d’un cybersquatting d’ENS est un motif légitime permettant une levée d’anonymat. Des informations comme le nom, le prénom ou la raison sociale de l’entreprise ou encore l’adresse mail du titulaire du compte sur une plateforme d’échange d’actifs numériques ou sur un réseau social peuvent être obtenus sur requête ou en référé.

A noter que depuis la loi 2021-998 du 30 juillet 2021 modifiant l’article 6 II de la LCEN, en vertu de l’article 17 de cette loi, il n’est possible d’obtenir une telle communication par voie de requête que pour les besoins des procédures pénales. Le volet pénal de l’action en contrefaçon paraît dès lors une option à étudier. Cependant, il reste possible d’obtenir une levée d’anonymat en cas d’action civile via une procédure accélérée au fond.

Pour obtenir des informations sur un utilisateur auprès d’une plateforme de cryptoactifs, il convient de noter la récente adoption du Règlement (UE) 2023/1113 du 31 mai 2023 sur les informations accompagnant les transferts de fonds et de certains crypto-actifs, et modifiant la directive (UE) 2015/849, dit « TFR ». Ce Règlement prévoit la systématisation de l’information des utilisateurs de prestataires de service sur crypto-actifs. Pour autant l’article 24 de ce Règlement semble, en raison de son champ d’application, ne concerner que les demandes émanant d’autorités compétentes liées à la prévention de la lutte contre le blanchiment de capitaux ou le financement du terrorisme, ce qui n’est pas systématiquement le cas pour le cybersquatting de noms de domaines web3.

Perspectives :

L’ICANN et Ethereum Name Service expérimentent l’extension « .art » qui fonctionne à la fois pour le nommage traditionnel d’adresse IP et pour le nommage d’adresse publique de blockchain sur le web3. La particularité du « .art » tient également à l’unicité du titulaire d’un nom de domaine en .art qui est nécessairement titulaire du nom de domaine classique et du nom de domaine web3, ce qui renforce la transparence, la confiance et l’interopérabilité.

- Le nommage des portefeuilles de monnaies numériques de banque centrale

Avec l’émergence des monnaies numériques de banque centrale, notamment celles supportant des NFT, la question du nommage des portefeuilles pourrait devenir un sujet grand public. Pour autant, dans l’hypothèse où l’usage des NFT de nommage apparaîtrait dans des architectures de monnaies numériques de banque centrale, les modalités de récupération des NFT cybersquattés seraient certainement moins problématiques que sur les blockchains décentralisées et pourraient être même moins complexes à régler que pour les noms de domaines traditionnels avec la procédure UDRP.

Conclusion

Les noms de domaines web3 devenus incontournables dans ce nouvel univers imposent aux entreprises de nouvelles approches défensives et offensives pour la protection de leurs marques, tout particulièrement lorsqu’elles souhaitent offrir leurs produits ou services à travers des opérations incluant des NFT et la construction de communautés web3, à l’image des centaines de marques de renommée ayant déjà sauté le pas ces deux dernières années.

Stéphanie Corbière, (Group Head of Legal, Aramis Group), Jordan Tarlet*, (Directeur général, Enephtys) & Matthieu Quiniou*, (Avocat, Legal Brain et maître de conférences, Université Paris 8)

 ____________________

[1] A noter que la personne administrant la clé publique est la personne connaissance la clé privée associée.

[2] Les smartcontracts sont parfois appelés en français « contrats intelligents », il s’agit d’un ensemble de fonctions définies par une séquence d’instructions inscrite sur une blockchain.

* Jordan Tarlet et Matthieu Quiniou, ont participé à la création d’un outil, « Horus », dédié à la veille et à la lutte contre le cyberquatting de noms de domaines web3,