Les Commissioners for HM Revenue and Customs (HMRC) ont réussi à récupérer le domaine <agentservices-read-onlyaccesshmrc.com> via une procédure UDRP auprès de l’WIPO. La défenderesse, Isabel Aruna, utilisait ce domaine pour héberger un clone très convaincant du portail officiel de connexion à la TVA britannique, en copiant des éléments directement depuis le site Web du HMRC. La panéliste Catherine Slater a ordonné le transfert complet du domaine, invoquant une usurpation manifeste de mauvaise foi.
Aperçu de l’affaire
| Numéro de dossier | D2025-4548 |
|---|---|
| Plaignant | The Commissioners for HM Revenue and Customs |
| Défendeur | Isabel Aruna |
| Domaine contesté | agentservices-read-onlyaccesshmrc.com |
| Tactique de menace | Usurpation d’identité d’entreprise |
| Date de la décision | 22/12/2025 |
| Panéliste | Catherine Slater |
| Résultat | Transfert |
| Source officielle | https://www.wipo.int/amc/en/domains/search/text.jsp?case=D2025-4548 |
La menace de l’imitation de portails gouvernementaux et les risques liés aux identifiants
Le déploiement de portails clonés sous des noms de domaine tels que <agentservices-read-onlyaccesshmrc.com> introduit de graves risques de sécurité et de confiance pour les propriétaires de marques et les institutions publiques. En copiant le texte, la structure, le logo et la charte graphique de la page officielle de connexion à la TVA du HM Revenue and Customs (HMRC), l’opérateur a construit une réplique haute fidélité conçue pour tromper les contribuables. Cette imitation exacte d’une interface de connexion gouvernementale facilite le vol d’identifiants, car les utilisateurs cherchant à gérer leurs comptes de TVA peuvent ne pas reconnaître le domaine non autorisé. Bien que le dossier administratif ne documente pas de pertes monétaires spécifiques de contribuables ou de campagnes de phishing actives émanant de ce domaine, le potentiel de collecte non autorisée d’identifiants de portails gouvernementaux demeure une exposition sécuritaire sévère.
Outre la fraude directe aux utilisateurs, cette tactique d’usurpation impose des charges opérationnelles et de surveillance importantes aux propriétaires de marques. La défenderesse a masqué le caractère non autorisé du site Web en configurant des hyperliens internes renvoyant vers le site légitime du HMRC, ce qui crée une illusion d’authenticité tout en capturant l’accès initial de l’utilisateur. Cette configuration trompeuse complique la détection automatisée des menaces. Lorsque les actions informelles—telles que la lettre de mise en demeure envoyée le 22 octobre 2025—restent sans réponse, les organisations doivent assumer les coûts de procédures juridiques formelles comme le processus UDRP de l’WIPO pour protéger leurs marques et obtenir le transfert des domaines frauduleux.
Analyse du panel sur la similitude prêtant à confusion, les intérêts légitimes et la mauvaise foi dans l’imitation de portails gouvernementaux
En vertu du premier élément de l’UDRP, la panéliste Catherine Slater a appliqué le test de seuil établi pour la similitude prêtant à confusion, en effectuant une comparaison directe entre la marque enregistrée HMRC du plaignant et le domaine contesté <agentservices-read-onlyaccesshmrc.com>. Le panel a confirmé que l’intégration de la marque dans son intégralité aux côtés de termes descriptifs liés à la fiscalité tels que « agentservices » et « read-onlyaccess » n’empêche pas de conclure à une similitude prêtant à confusion. Pour les professionnels de la protection des marques, cette conclusion renforce le précédent établi selon lequel l’ajout de qualificatifs fonctionnels ou techniques à une marque déposée au sein d’un nom de domaine ne protège pas un défendeur contre le respect des exigences de recevabilité de la Politique.
Concernant le deuxième élément, le panel a conclu que la défenderesse, Isabel Aruna, ne possédait aucun droit ni intérêt légitime sur le domaine contesté. Le plaignant, un département non ministériel du gouvernement britannique, a établi qu’il n’avait jamais autorisé, licencié ou permis à la défenderesse d’utiliser la marque HMRC. La défenderesse n’étant pas communément connue sous le nom contesté et ne faisant pas un usage commercial loyal et bona fide ou un usage non commercial légitime du domaine, le panel a admis que l’utilisation non autorisée comportait un risque inacceptable d’affiliation implicite, conçue uniquement pour exploiter la confiance du public envers l’autorité fiscale officielle.
L’analyse de la mauvaise foi fournit un précédent utile pour les propriétaires de marques confrontés à des sites imitatifs hautement techniques. Le panel s’est appuyé sur des preuves démontrant que la défenderesse avait copié le contenu, les mises en page, les chartes graphiques et les logos directement depuis le portail officiel de TVA du plaignant. Plus important encore, la configuration des hyperliens internes au sein de la page Web copiée pour rediriger vers le site légitime du HMRC a été reconnue comme une tactique visant à fabriquer une authenticité. Cette imitation mécanique, combinée à l’absence de réponse de la défenderesse à la lettre de mise en demeure du 22 octobre 2025, a étayé la conclusion que le domaine avait été enregistré et utilisé de mauvaise foi pour tromper intentionnellement les utilisateurs à des fins potentiellement criminelles.
Précision probante et analyse de l’usurpation d’identité d’entreprise
La stratégie du plaignant a réussi principalement grâce à la documentation complète de l’imitation du site Web par la défenderesse, qui a servi de preuve indéniable de mauvaise foi. En soumettant des captures d’écran détaillées démontrant que le domaine contesté renvoyait à une page copiant la mise en page, le texte, les logos et la charte graphique de connexion à la TVA officielle du HMRC, le plaignant a établi un système d’usurpation actif. Crucialement, le plaignant a souligné que la défenderesse avait copié son contenu officiel et configuré des hyperliens internes pour rediriger vers le portail légitime du HMRC. Ce détail technique spécifique a prouvé que la défenderesse avait l’intention de tromper les utilisateurs en générant un faux sentiment de sécurité, établissant une probabilité de confusion à des fins potentiellement criminelles.
D’un point de vue de positionnement juridique, le plaignant a renforcé son dossier en tirant parti de son enregistrement de marque britannique de longue date n° 2471470 pour la marque ‘HMRC’, déposée en 2008. Démontrer que le domaine contesté intégrait cette marque dans son intégralité aux côtés de termes fiscaux descriptifs tels que ‘agentservices’ et ‘read-onlyaccess’ a facilement satisfait au test de similitude prêtant à confusion en vertu de l’UDRP. De plus, le plaignant a introduit des preuves d’engagement pré-plainte en documentant une lettre de mise en demeure envoyée le 22 octobre 2025. L’absence de réponse de la défenderesse à cette lettre, combinée à l’absence de toute autorisation ou licence pour utiliser la marque, a solidifié la conclusion du Panel selon laquelle la défenderesse ne possédait aucun droit ni intérêt légitime, aboutissant à une ordonnance de transfert.
Recommandations pratiques
- Mettre en œuvre des règles de surveillance proactive des domaines qui suivent les marques principales combinées à des mots-clés système descriptifs (par exemple, ‘agentservices’, ‘login’, ‘access’) pour détecter immédiatement les domaines d’usurpation hautement ciblés après leur enregistrement.
- Documenter et conserver les preuves techniques du web scraping—telles que les mises en page CSS miroir, les logos copiés et les hyperliens internes fonctionnels pointant vers le site légitime—pour établir une mauvaise foi irréfutable dans les dépôts UDRP.
- Utiliser un calendrier d’application structuré en émettant une lettre de mise en demeure initiale (C&D), mais passer rapidement à une plainte UDRP si le défendeur ne répond pas, en utilisant son silence comme preuve supplémentaire de l’absence de droits ou d’intérêts légitimes.
- Déployer des technologies anti-scraping et des pare-feu d’application Web (WAF) sur les pages de connexion ou de portail sensibles pour restreindre l’extraction non autorisée des mises en page, du texte et du code source par des acteurs malveillants cherchant à créer des clones convaincants.
Foire aux questions (FAQ)
Pourquoi le domaine <agentservices-read-onlyaccesshmrc.com> a-t-il été considéré comme prêtant à confusion avec la marque du HMRC ?
Le panel a conclu que le nom de domaine intègre la marque ‘HMRC’ dans son intégralité. L’ajout de termes descriptifs liés à la fiscalité tels que ‘agentservices’ et ‘read-onlyaccess’ n’a pas permis de distinguer le domaine ; au contraire, cela a renforcé la fausse perception selon laquelle le site était un portail officiel du HMRC, satisfaisant ainsi l’exigence de seuil pour la similitude prêtant à confusion.
Comment le plaignant a-t-il prouvé que la défenderesse n’avait aucun intérêt légitime dans le domaine ?
Le plaignant a démontré qu’il n’avait jamais autorisé la défenderesse à utiliser la marque HMRC. De plus, les preuves ont montré que la défenderesse n’était pas communément connue sous ce nom, et que le domaine n’était utilisé pour aucun usage commercial loyal ou usage équitable non commercial bona fide. Le défaut de réponse de la défenderesse au processus UDRP a davantage soutenu la conclusion d’absence de droits.
Quelles preuves spécifiques ont confirmé l’enregistrement et l’utilisation de mauvaise foi par la défenderesse ?
La mauvaise foi a été établie en démontrant que la défenderesse avait activement copié le contenu de la page officielle de connexion à la TVA du HMRC. En imitant la mise en page, la charte graphique, les logos et le texte du site officiel pour créer un portail de connexion trompeur, la défenderesse avait l’intention d’attirer les utilisateurs dans un faux sentiment de sécurité, probablement pour le vol d’identifiants ou d’autres activités criminelles.
Quel est le point à retenir en pratique de cette affaire concernant la protection des marques ?
Cette affaire met en évidence les risques posés par le clonage de « qualité gouvernementale ». L’ordonnance de transfert réussie sert de précédent pour l’utilisation de l’UDRP afin de neutraliser les sites de phishing qui répliquent les portails gouvernementaux officiels. Elle souligne l’importance de surveiller les enregistrements de domaines combinant marque et mots-clés qui cherchent à utiliser des éléments de conception officiels pour tromper le public.
Votre marque fait-elle l’objet d’une usurpation d’identité ?
Protégez vos clients contre les sites de vol d’identifiants à haut risque. Si vous avez identifié un domaine imitant vos portails de connexion ou vos actifs numériques, notre équipe peut vous aider à évaluer votre éligibilité à l’UDRP pour stopper l’usurpation immédiatement.
Cette note de cas est fournie à titre informatif uniquement et ne constitue pas un conseil juridique.
