September 27, 2011

Usage électronique du signe d'un tiers : la décision Interflora

En Grande-Bretagne, la marque Interflora est utilisée par les distributeurs de ce réseau de livraison de fleurs.
Marks & Spencer voulait faire savoir qu'il proposait le même service : dans les jours qui précédèrent la Saint-Valentin, le groupe choisit de faire de la publicité  AdWords sur la base du terme «Interflora» et de variantes de ce mot, ainsi que des expressions comportant le mot «Interflora» comme «Interflora Flowers», «Interflora Delivery», «Interflora.com», «Interflora co uk».
Comme de nombreux internautes, le titulaire de la marque vit apparaître des publicités pour Marks & Spencer sur Google après que la recherche "Interflora" était saisie.
Une juridiction d'outre-Manche, puis celle du Luxembourg ont été saisies. Cette dernière, la Cour de Justice de l'Union Européenne, a confirmé sa jurisprudence selon laquelle le titulaire d’une marque n’est habilité à interdire l’usage publicitaire de celle-ci par un tiers que si cette utilisation est susceptible de porter atteinte à l’une des fonctions de la marque, en la précisant. Mes observations sur cette décision sont accessibles aujourd'hui sur Dalloz Actualités.

September 16, 2011

Le "point" sur la sécurité des systèmes des entreprises

Les noms de domaine sont les sas d'entrée des entreprises numériques. S'ils ne sont pas gardés, cela peut leur poser problème pour la circulation d'informations sensibles.

Une étude révélée par Wired (et présentée en français par le sympathique Korben) montre les possibles conséquences du dotsquatting sur la fuite d'informations à l'extérieur d'une entreprise. Les chercheurs ont constaté que les grands groupes internationaux allouent souvent à leurs employés des adresses dont la fraction droite comporte trois niveaux, du type @ru.bank.com. De tels identifiants sont pratiques, tant en interne qu'en externe, pour situer son interlocuteur.
Mais cette habitude peut aisément être exploitée par des tiers qui viendraient à enregistrer des noms de domaine très proches... par exemple rubank.com. Il suffit ensuite que l'émetteur d'un message omette le point dans l'adresse de son destinataire pour que son courrier arrive entre de mauvaises mains.

On pourrait penser que le risque est faible : les adresses électroniques ne se saisissent pas à la main, mais sont appelées depuis un carnet d'adresses. Et pourtant ! Les chercheurs révèlent dans leur étude qu'ils ont récupéré 20 gigaoctets de données en une demi-années. Ce qui peut paraître peu comparé aux teraoctets d'information qui circulent tous les jours... et beaucoup au regard du type de données collectées, touchant 151 entreprises :
During a six‐month span, over 120,000 individual emails (or 20 gigabytes of data) were collected which included  trade  secrets,  business  invoices,  employee  PII,  network  diagrams, usernames and passwords, etc. 
L'étude met clairement en lumière l'intérêt de posséder des noms proches de ceux qui sont utilisés pour les systèmes de messagerie. Les chercheurs suggèrent différents moyens pour prévenir les risques, ou pour se défendre, moyens techniques ou juridique (en l'occurrence l'UDRP).

L'expérience soulève une question en creux : celle de la violation du droit des marques à des fins de recherche.
Les chercheurs ont conduit leurs tests pendant six mois, période pendant laquelle on peut tout à fait imaginer qu'ils soient attaqués pour dotsquatting par les entreprises concernées ! Vu la façon habituellement très sommaire dont est envisagée la mauvaise foi du titulaire dans les procédures UDRP, ils auraient probablement perdu un nom employé pour leur étude (en pratique, il est probable qu'une communication se serait établie entre les parties avant la procédure ou au cours de celle-ci, permettant d'éviter une décision). L'occasion de se rappeler que les personnes qui découvrent des failles dans des systèmes oeuvrent bien souvent dans l'insécurité juridique, ce qui peut engager leur responsabilité.

September 14, 2011

La zone .eu va compter 9000 noms de domaine de moins

... suite à l'exécution par le registre EURid d'un arrêt de la Cour d'appel de Bruxelles.

On se souvient peut-être qu'une même personne avait enregistré des noms en .eu sans respecter les conditions règlementaires. La juridiction belge a confirmé que ces enregistrements avaient tous été fait de mauvaise foi.

La liste des noms concernés peut être consultée ici. Ils seront de nouveau disponibles à l'enregistrement après une période de 40 jours, soit à partir du 24 octobre 2011.

[source]