Les régulateurs du gouvernement canadien utilisent la puissante nouvelle loi anti-pourriel du pays pour infliger de lourdes amendes pouvant aller jusqu’à un million de dollars aux citoyens canadiens soupçonnés d’avoir contribué à la diffusion de logiciels malveillants.
En mars 2019, le Conseil de la radiodiffusion et des télécommunications canadiennes (CRTC) — L’équivalent canadien du Commission fédérale des communications des États-Unis (FCC), a exécuté un mandat de perquisition en collaboration avec le Gendarmerie royale du Canada (RCMP) au domicile d’un développeur de logiciels torontois à l’origine d’Orcus RAT, un produit commercialisé sur des forums clandestins et utilisé dans d’innombrables attaques de logiciels malveillants depuis sa création en 2015.
Le CRTC utilisait des muscles administratifs relativement nouveaux acquis à la suite de l’adoption de Loi canadienne anti-pourriel (LCAP), qui couvre bien plus que le simple courrier indésirable. L’article 7 de la LCAP traite de la modification des données de transmission, y compris l’activité des botnets. L’article 8 implique l’installation clandestine de programmes informatiques sur des ordinateurs ou des réseaux, y compris des logiciels malveillants et des logiciels espions.
Et l’article 9 interdit à un individu ou à une organisation d’aider, d’inciter, de procurer ou de faire procurer l’accomplissement de l’un des actes ci-dessus.
Directeur du CRTC Neil Barrat a déclaré que cela permet à son agence de cibler les intermédiaires qui, par leurs actions ou par leur inaction, facilitent la commission de violations de la LCAP. Les entreprises qui enfreignent la LCAP peuvent être condamnées à une amende pouvant atteindre 10 millions de dollars; les individus peuvent faire face à une amende pouvant aller jusqu’à 1 million de dollars.
« Nous avons affaire à un fardeau de la preuve moins lourd qu’une condamnation pénale, et la LCAP nous donne un peu plus de latitude pour éloigner les mauvais acteurs de nos réseaux au Canada et, en fin de compte, améliorer la sécurité des personnes ici et, espérons-le, ailleurs », a déclaré Barratt dans un entretien avec BreachTrace.
« LCAP définit le spam comme des messages électroniques commerciaux sans consentement ou l’installation de logiciels sans consentement ou l’interception de messages électroniques », a déclaré Barratt. « L’installation de logiciels relève de l’article 8, et il s’agit de l’une des premières enquêtes majeures en vertu de cette loi. »
Barratt a ajouté que le CRTC comptait également sur la LCAP pour aider à ranger la réputation de l’industrie canadienne de l’hébergement Web.
« Nous essayons de nous assurer que les fournisseurs de services opérant au Canada – qu’ils soient canadiens ou non – ne contribuent pas indûment à l’infection des machines et à l’hébergement de logiciels malveillants », a déclaré Barratt. «Nous avons un grand pouvoir dans la LCAP et l’article 9 en fait une violation pour aider à commettre une violation. Et cela s’étend assez largement, à travers les fournisseurs de services de messagerie et divers intermédiaires.
La division de l’application de la loi du CRTC a récemment pris des mesures contre deux sociétés — Datablocks Inc. et Sunlight Media Network Inc — pour avoir enfreint l’article 9 de la LCAP en diffusant des publicités en ligne provoquant le téléchargement de programmes informatiques malveillants sur les ordinateurs de victimes sans méfiance.
En vertu de la LCAP, et aux fins de vérifier la conformité ou de déterminer si l’un ou l’autre des articles 6 à 9 a été enfreint, le CRTC peut obliger des particuliers et des organisations à fournir tout renseignement en leur possession ou sous leur contrôle, et demander à un juge de paix de délivrer un mandat autorisant l’entrée dans un lieu de résidence.
Il est bon de voir qu’une loi civile anti-spam est utilisée pour poursuivre les personnes impliquées dans la vente de logiciels malveillants présentés comme des logiciels légitimes, comme cela semble être le cas avec l’enquête Orcus RAT. Un auteur de chevaux de Troie d’accès à distance relativement compétent peut gagner un revenu net en vendant ses marchandises, mais la LCAP peut donner aux Canadiens intéressés par cette ligne d’œuvre une raison de reconsidérer si le résultat final est une amende d’un million de dollars.
Plus précisément, le Canada (du moins de manière anecdotique) semble avoir bien plus que sa juste part de criminels informatiques, et pourtant, malheureusement, beaucoup moins d’appétit que de nombreux autres pays occidentaux pour poursuivre ces individus au pénal. À cet égard, la CASL offre une alternative bienvenue.
« L’un des principaux enseignements de la CASL était qu’il ne s’agissait pas seulement d’e-mails qui ennuyaient les gens, mais aussi de l’utilisation des e-mails comme vecteur pour induire en erreur ou frauder les gens et causer des dommages aux ordinateurs et aux réseaux informatiques », a déclaré Barratt. « Nos parlementaires ont décidé de faire en sorte que la législature couvre un large champ. Le mandat de perquisition exécuté dans cette affaire était un excellent exemple de la collaboration des forces de l’ordre pénales et civiles en utilisant nos outils et pouvoirs uniques en vertu de la loi pour obtenir le plus grand bien possible.