Photo by NeONBRAND on Unsplash

Une belle petite histoire sordide de publiciel québécois: celle du logiciel WAJAM

La Presse rapportait ce matin que le Commissariat à la protection de la vie privée du Canada (le « Commissariat ») a enquêté sur une société de l’entrepreneur québécois Martin-Luc Archambault quant à une affaire impliquant un maliciel (ou malware, en anglais).  Peu de gens avaient semble-t-il pris connaissance du rapport peu flatteur en question lors de sa publication initiale, en août 2017. (Malgré mon intérêt pour ce genre de question et ma veille constante à ce sujet, je vous avouerai que cette histoire m’avait complètement échappé.)

L’affaire en question a trait à la création et la mise en circulation il y a quelques années d’un logiciel nommé WAJAM (ou « Social2Search »). Ce logiciel n’était semble-t-il ni plus ni moins qu’un publiciel (adware) déguisé, dont le but réel était d’inonder l’ordinateur des utilisateurs de publicités, et ce, évidemment sans respecter la législation canadienne.

Selon le rapport du Commissariat, la société de M. Archambault (Wajam Internet Technologies inc.) a « enfreint de nombreuses dispositions de la Loi sur la protection des renseignements personnels et les documents électroniques », y compris en n’obtenant pas de consentement valable des usagers et en interférant avec la possibilité des usagers de retirer leur prétendu consentement. Pour le Commissariat, le problème touche notamment le mépris assez flagrant dont a fait part Wajam Internet Technologies quant aux renseignements personnels que WAJAM lui a permis de collecter de façon illicite sur des millions d’usagers et des milliers de Canadiens. L’entreprise déclarait notamment chiffrer les renseignements recueillis, un mensonge éhonté selon l’enquête du Commissariat, alors que les 400 téraoctets de données de la base de données auraient été stockés sans protection dans les locaux de l’entreprise. L’entreprise de M. Archambault aurait aussi faussement affirmé (dans son matériel promotionnel) que son logiciel avait des capacités utiles pour les usagers, dans le but évident de berner les internautes qui le téléchargeraient et l’installeraient.

L’exploitation de l’entreprise à l’époque sur laquelle a enquêté le Commissariat aurait aussi inclus des manœuvres techniques continuelles pour éviter que l’application WAJAM ne soit étiquetée comme un maliciel ou un publiciel par les logiciels antivirus et anti-maliciels. Évidemment, un logiciel parasitaire s’avère moins lucratif pour ses créateurs une fois qu’il a été décelé par les logiciels légitimes de protection des ordinateurs d’usagers.

Au final, l’entreprise de M. Archambault a essentiellement fait dérailler le processus d’enquête du Commissariat, en affirmant simplement qu’elle n’avait plus le contrôle sur l’application WAJAM et donc qu’elle s’avérait incapable de rectifier ses pratiques. L’entrepreneur aurait en effet déclaré (comme fin de non-recevoir) avoir vendu son logiciel à une société asiatique nommée Iron Mountain Technology Limited. Voilà, problème réglé – ce n’est plus moi… allez voir ailleurs.

Question de peindre un portrait complet de cette histoire un peu sordide, mentionnons que l’acheteur en question (« IMTL » – coïncidence?) a été incorporé au moment opportun (disons) dans une juridiction lointaine et difficile à contrôler pour les autorités canadiennes. Le rapport du Commissariat comprend d’ailleurs ce qui suit à ce sujet (vous remarquez les guillemets…) :

« En dépit du transfert officiel de propriété, qui a eu lieu au cours de la majeure partie de notre enquête, nous ne sommes pas certains que l’intimée et IMTL soient deux entités tout à fait distinctes. (…) Nous avons constaté qu’IMTL avait été constituée en personne morale en novembre 2016, pendant notre enquête, et que son seul administrateur se spécialisait entre autres dans les services aux entreprises et les services de délocalisation à l’intention de sociétés voulant s’établir à Hong Kong. »

Ah oui, des entités peut-être pas tout à fait distinctes… wink, wink, nudge, nudge. Traduction : une coquille a été incorporée anonymement par quelqu’un (mais diantre, qui donc ?), juste au bon moment pour lui transférer la propriété du logiciel en question et se débarrasser du problème associé à l’enquête des autorités canadiennes. <Sans commentaires…>

Il semblerait d’ailleurs qu’avant de, ah-hem,  « vendre » leur logiciel, M.  Archambault et sa société ont fait beaucoup d’argent grâce à ce projet ; on parlerait de millions de dollars en profits par année, pendant plusieurs années, grâce aux publicités intempestives que ce logiciel a placées sur l’ordinateur d’usagers. Malgré ce fait, le Commissaire n’a aucun pouvoir de contraindre Martin-Luc Archambault et sa société à faire quoi que ce soit, suite à toute cette démarche avortée. Désolé : rien à faire en vertu de la loi canadienne en matière de renseignements personnels, oui, même dans un cas comme celui-ci.

Disons que ce genre d’histoires s’avère certainement symptomatique du problème dont parlait encore récemment le Commissaire relativement au besoin criant de réforme de notre régime de protection des renseignements personnels. La réalité, c’est que des entreprises peu scrupuleuses peuvent facilement bafouer la loi canadienne à ce sujet, et ce, sans pour autant subir de contrecoups. Triste, mais vrai.

Je suppose qu’on peut trouver un peu de réconfort dans l’existence de la loi en matière de pourriels, une loi dont un volet vise désormais à permettre d’imposer des sanctions en cas d’abus liés à des publiciels.