Photo by NeONBRAND on Unsplash

Le CRTC impose des amendes totalisant 250 000 $ à un réseau de publicité utilisé (par des tiers) pour distribuer des maliciels

Le Conseil de la radiodiffusion et des télécommunications canadiennes (le « CRTC ») annonçait il y a quelques jours qu’il vient de mettre deux entreprises canadiennes à l’amende, suite à une affaire d’installation de programmes d’ordinateur malveillants (des maliciels), et ce, après une enquête et une perquisition chez deux entreprises nommées Datablocks, Inc. (« Datablocks ») et Sunlight Media Network Inc. (« Sunlight Media »). L’amende imposée en vertu de la Loi canadienne anti-pourriel (la « LCAP », ou « CASL », de son acronyme en anglais) totalise deux cent cinquante mille dollars (250 000 $).

L’affaire en question découlerait de la distribution de publicités malveillantes en ligne par ces deux entreprises opérant respectivement un réseau publicitaire et des logiciels et une infrastructure de routage réseau quant aux enchères de publicités en temps réel. Les deux entreprises dont il est question seraient d’ailleurs intégrées verticalement.

En somme, le problème résiderait dans le fait que Datablocks et Sunlight Media n’ont pas mis en œuvre de mesures de protection suffisantes dans le cadre de leurs activités liées à de la publicité en ligne placée et générée par le réseau publicitaire Sunlight Media. Les deux entreprises auraient donc permis à certains de leurs clients peu scrupuleux d’utiliser leurs services pour générer et servir à des internautes des publicités agissant comme vecteur de diffusion de logiciels malveillants. Les « publicités malveillantes » qui ont été rendues possibles par les deux entreprises auraient permis l’installation de programmes malveillants à partir d’une trousse d’exploitation notoire appelée Angler, qui vise une vulnérabilité du logiciel Adobe Flash.

Juridiquement, le CRTC prend donc la position que Datablocks et Sunlight Media ont toutes deux enfreint l’article 9 de la LCAP, en plus d’avoir aidé à commettre des actes qui vont à l’encontre de l’article 8 de la LCAP (installation d’un programme non autorisé dans l’ordinateur d’autrui). Selon le CRTC, l’aveuglement volontaire de Sunlight ne s’avère pas acceptable, particulièrement dans un contexte où elle a cherché à attirer une clientèle ne respectant pas la LCAP, en faisant la promotion de services qui favorisent les violations, en établissant des relations d’affaires avec des clients connus pour violer la loi et d’autres pratiques non recommandées et même en adoptant une série de pratiques encourageant un haut degré d’anonymat.

Plus spécifiquement, ce que reproche le CRTC aux deux entreprises se résume ainsi :

  • « Sunlight Media a accepté des clients non vérifiés et anonymes qui ont utilisé ses services pour diffuser des logiciels malveillants.
  • Datablocks a fourni l’infrastructure et le logiciel permettant aux clients de Sunlight Media de concourir en temps réel pour le placement de leurs publicités, qui contenaient des logiciels malveillants.
  • Ni Datablocks ni Sunlight Media n’avaient mis en place :
    • de contrats écrits avec leurs clients les contraignant à respecter la Loi canadienne anti-pourriel;
    • de mesures de surveillance pour régir l’utilisation de leurs services par leurs clients;
    • de politique ou de procédure de conformité écrite pour assurer l’observation de la Loi canadienne anti-pourriel.
  • Après avoir été averties par des rapports de chercheurs en cybersécurité en 2015 et mise au courant par le CRTC en 2016, les deux entreprises n’ont pas mis en place les mesures de protection fondamentales qui sont bien connues dans l’industrie. »

En somme, puisque le dossier révèle que Sunlight Media et Datablocks ont refusé de corriger leurs pratiques et qu’elles profitaient financièrement de violations de la LCAP, le CRTC se voit justifié d’imposer une amende substantielle à chacune d’elle. Il s’agit de la première fois qu’on épingle une entreprise relativement à l’installation non autorisée de programmes sur l’ordinateur d’autrui. Cette décision du CRTC vient aussi confirmer qu’une entreprise peut s’avérer responsable (en vertu de la LCAP) par ses omissions d’agir de façon raisonnable (notamment en ne surveillant pas adéquatement ses clients), même quand les violations directes de la LCAP sont commises par des tiers.

Qu’on se le tienne pour dit, la négligence d’une entreprise peut mener à une violation de la LCAP, c’est confirmé.