Dans l’affaire WIPO D2025-4525, Hershey Chocolate & Confectionery LLC a obtenu avec succès le transfert du nom de domaine <hersheysales-co.com>. Le défendeur, Michael Handell de NY BD Sports LLC, avait enregistré ce domaine pour usurper l’identité d’un employé de Hershey par e-mail et solliciter des paiements frauduleux auprès de tiers. L’expert Dennis A. Foster a statué que l’utilisation d’un domaine similaire à des fins de phishing par e-mail constitue une mauvaise foi et a ordonné un transfert immédiat.
Aperçu de l’affaire
| Numéro de l’affaire | D2025-4525 |
|---|---|
| Plaignant | Hershey Chocolate & Confectionery LLC |
| Défendeur | Michael Handell, NY BD Sports LLC |
| Domaine contesté | hersheysales-co.com |
| Tactique de menace | Phishing et fraude par e-mail |
| Date de la décision | 31 décembre 2025 |
| Expert | Dennis A. Foster |
| Résultat | Transfert |
| Source officielle | https://www.wipo.int/amc/en/domains/search/text.jsp?case=D2025-4525 |
Exploitation de la valeur de la marque et menace sur les communications B2B
L’enregistrement de hersheysales-co.com par Michael Handell de NY BD Sports LLC illustre comment des acteurs malveillants utilisent des domaines ciblés, combinant une marque et un mot-clé, exclusivement pour la compromission d’e-mails professionnels (BEC). En choisissant un domaine qui ajoute le terme « sales-co » à la célèbre marque HERSHEY, le déposant a créé un véhicule crédible pour l’usurpation d’identité. Comme le domaine n’hébergeait aucun site web actif, il est passé inaperçu des systèmes traditionnels de surveillance visuelle des marques. Cette présence en ligne passive masquait une activité de communication hautement ciblée, le déposant envoyant des e-mails non autorisés en se faisant passer pour le fabricant de confiseries et l’un de ses employés légitimes afin de solliciter des transactions et des paiements frauduleux.
Pour les propriétaires de marques, cette tactique introduit des risques opérationnels, financiers et de réputation graves. La menace principale réside dans l’exploitation de la confiance accordée à l’entreprise ; les fournisseurs et partenaires commerciaux, familiers de la présence commerciale de Hershey depuis 1906, sont très enclins à baisser leur garde lorsqu’ils sont contactés par ce qui semble être un représentant légitime. Lorsque des partenaires externes répondent à des demandes de commandes non autorisées ou redirigent des paiements vers des comptes frauduleux, cela fragilise les relations B2B essentielles et expose l’entreprise victime à des litiges complexes. Bien que ce stratagème spécifique n’ait pas compromis les systèmes protégés par mot de passe ou les réseaux internes de Hershey, la frontière externe de son écosystème de communication a été franchie, prouvant que la valeur de la marque est fréquemment exploitée pour faciliter la fraude financière.
Analyse par l’expert de la similitude prêtant à confusion, de l’absence de droits et de l’exploitation de mauvaise foi
En vertu du premier élément de la politique UDRP, l’expert Dennis A. Foster a évalué si le nom de domaine contesté <hersheysales-co.com> est identique ou semblable au point de prêter à confusion avec une marque sur laquelle le plaignant possède des droits. Hershey Chocolate & Confectionery LLC a établi ses droits par de nombreux enregistrements des marques HERSHEY et HERSHEY’S, notamment l’enregistrement américain n° 54,041 datant du 19 juillet 1906. Le domaine contesté intègre la célèbre marque HERSHEY dans son intégralité, en y ajoutant simplement les termes descriptifs « sales » et « co » séparés par un trait d’union. Selon la pratique établie de l’UDRP, l’ajout de termes génériques ou liés à l’activité ne permet pas d’écarter une similitude prêtant à confusion lorsque la marque hautement reconnaissable du plaignant demeure l’élément dominant du nom de domaine.
Concernant le deuxième élément, l’expert a examiné si Michael Handell de NY BD Sports LLC possédait des droits ou des intérêts légitimes sur le nom de domaine contesté. Le défendeur n’a pas répondu aux arguments du plaignant ni fourni de preuves d’une offre de bonne foi de biens ou de services, de droits sur un nom commercial ou d’un usage loyal non commercial. Au contraire, le dossier a démontré que le domaine était utilisé pour transmettre des e-mails non autorisés usurpant l’identité du plaignant et d’un employé. L’expert a conclu que le déploiement d’un domaine similaire spécifiquement pour solliciter des transactions et des paiements frauduleux sous de fausses prétentions est l’antithèse d’un intérêt légitime.
Abordant le troisième élément, l’expert a déterminé que l’enregistrement et l’usage du domaine contesté étaient de mauvaise foi. Compte tenu de la renommée internationale de la marque HERSHEY, l’expert a estimé que l’enregistrement de <hersheysales-co.com> par le défendeur ne pouvait avoir été effectué qu’avec une connaissance préalable de la marque, ce qui pointe directement vers une mauvaise foi. De plus, l’utilisation active du domaine pour une campagne de phishing et d’usurpation d’identité par e-mail, malgré l’absence de contenu sur le site web, constitue une utilisation de mauvaise foi selon la politique UDRP. Cette tactique exploite la valeur de la marque du plaignant pour réduire la vigilance des partenaires de la chaîne d’approvisionnement lors de prises de contact frauduleuses.
Application stratégique de la notoriété et des preuves de mauvaise foi par e-mail
La stratégie réussie du plaignant a reposé en grande partie sur l’établissement de ses droits de marque historiques et de sa réputation internationale pour démontrer que le défendeur avait agi en pleine connaissance de la marque. En présentant des enregistrements remontant au 19 juillet 1906, incluant l’enregistrement américain n° 54,041, Hershey Chocolate & Confectionery LLC a établi des droits antérieurs incontestables et une valeur mondiale immense. Cet historique complet rendait l’enregistrement du nom de domaine <hersheysales-co.com> par le défendeur le 30 mai 2025 hautement suspect. En démontrant que la marque HERSHEY est mondialement connue, le plaignant a convaincu l’expert que le défendeur, Michael Handell de NY BD Sports LLC, ne pouvait pas avoir enregistré le domaine de bonne foi.
Crucialement, le plaignant n’a pas laissé l’absence de site web actif affaiblir son dossier, présentant plutôt des preuves directes de la façon dont le domaine était utilisé pour le phishing par e-mail et l’usurpation d’identité. Le plaignant a documenté l’utilisation du domaine par le défendeur pour envoyer des e-mails usurpant l’identité d’un employé légitime de Hershey afin de contacter des tiers pour solliciter des transactions et des paiements frauduleux. En apportant la preuve concrète de cette démarche ciblée, le plaignant a démontré avec succès que l’enregistrement et l’utilisation d’un nom de domaine pour exécuter un stratagème frauduleux constituent une mauvaise foi au titre de l’UDRP. Cette approche probatoire montre aux propriétaires de marques qu’une preuve robuste d’abus d’e-mails est très persuasive pour les experts, même lorsqu’un domaine contesté ne contient aucun contenu web actif.
Recommandations pratiques
- Mettre en œuvre des programmes de surveillance proactive des domaines ciblant les combinaisons de mots-clés commerciaux et opérationnels à haut risque (tels que « [marque]sales », « [marque]-co » ou « [marque]invoice ») afin d’identifier les enregistrements similaires avant qu’ils ne puissent être détournés.
- Configurer des flux d’intelligence sur les menaces pour surveiller et alerter activement sur la création d’enregistrements d’échange de courrier (MX) sur des domaines nouvellement enregistrés ressemblant à la marque, car c’est un indicateur clé de la préparation au phishing par e-mail et à l’usurpation d’identité.
- Établir des protocoles clairs pour sécuriser et préserver les preuves des cibles de phishing, telles que les en-têtes complets d’e-mails et les messages de sollicitation frauduleux, afin de satisfaire de manière décisive l’exigence d’« utilisation de mauvaise foi » dans les dossiers UDRP, même en l’absence de site web actif.
- Sensibiliser les partenaires de la chaîne d’approvisionnement et les fournisseurs aux structures de domaine d’entreprise standard et mettre en œuvre des processus de vérification hors ligne stricts pour toute demande transactionnelle ou de paiement provenant de variations de domaine modifiées ou similaires.
Foire aux questions (FAQ)
Pourquoi le domaine <hersheysales-co.com> a-t-il été considéré comme semblable au point de prêter à confusion avec la marque HERSHEY ?
L’expert de l’WIPO a déterminé que le nom de domaine intègre la célèbre marque « HERSHEY » dans son intégralité, créant une forte probabilité de confusion pour les tiers qui pourraient raisonnablement croire que le site ou les e-mails associés étaient affiliés ou autorisés par Hershey Chocolate & Confectionery LLC.
Comment le défendeur a-t-il démontré l’absence de droits ou d’intérêts légitimes sur le domaine contesté ?
Le défendeur n’a fourni aucune preuve de droits ou d’intérêts légitimes et n’a pas répondu aux arguments du plaignant. L’absence de site web actif sur le domaine, couplée à son utilisation pour une usurpation d’identité non autorisée, a confirmé qu’aucun objectif commercial légitime n’existait.
Quelles preuves ont prouvé que le défendeur a agi de mauvaise foi ?
La mauvaise foi a été établie car le défendeur a utilisé le domaine <hersheysales-co.com> pour envoyer des e-mails frauduleux, usurpant l’identité d’employés de Hershey pour solliciter des paiements auprès de partenaires commerciaux. L’expert a noté que la renommée internationale de la marque HERSHEY rendait impossible tout enregistrement de bonne foi.
Quel a été le résultat stratégique de cette affaire UDRP ?
L’expert a statué en faveur du plaignant, ordonnant le transfert immédiat du nom de domaine à Hershey Chocolate & Confectionery LLC. Cette action a neutralisé avec succès une plateforme utilisée pour la compromission d’e-mails professionnels (BEC) et l’usurpation d’identité d’entreprise.
Vos actifs de domaine sont-ils utilisés pour faciliter une fraude à la chaîne d’approvisionnement ?
Les acteurs malveillants utilisent de plus en plus des domaines similaires pour la compromission d’e-mails professionnels (BEC) plutôt que des sites web actifs. Apprenez à détecter et neutraliser de manière proactive les domaines d’usurpation d’identité avant qu’ils ne soient utilisés pour solliciter des paiements frauduleux auprès de vos partenaires.
Cette note de cas est fournie à titre informatif uniquement et ne constitue pas un conseil juridique.
