Bien qu’il y ait eu une controverse au sujet de l’application des dispositions sur les communications électroniques de la Loi canadienne anti-pourriel (LCAP) en raison des ambiguïtés du régime complexe, les dispositions anti-maliciels sont largement favorables. Le Conseil de la radiodiffusion et des télécommunications canadiennes (CRTC) a récemment appliqué ces dispositions anti-maliciels contre M. Revesz et M. Griebel, les associés d’Orcus Technologies, conformément à l’article 22 de la LCAP, pour une pénalité totale de 115 000 $.
Les défendeurs ont 30 jours pour déposer des observations auprès du CRTC ou payer la pénalité.
Le CRTC allègue qu’Orcus Technologies a développé, distribué, promu et vendu un outil d’administration à distance appelé Orcus RAT. L’enquête de la Division de l’application de la Loi sur le commerce électronique du CRTC suggère que « Vincent Leo Griebel ... a développé l’Orcus RAT, tandis que John Paul Revesz ... a fourni le marketing, les ventes et le soutien du logiciel ».
Le CRTC affirme que l’Orcus RAT n’était pas l’outil d’administration qu’il prétendait être, mais qu’il s’agissait en fait d’un cheval de Troie d’accès à distance (RAT), un type connu de logiciels malveillants. Le CRTC allègue que le logiciel comprenait des fonctionnalités qui permettraient à un administrateur de prendre le contrôle d’un système informatique, par exemple de désactiver la notification lorsque le RAT est installé, de cacher sa présence sur l’ordinateur de la victime, de forcer les privilèges administratifs, d’enregistrer les frappes, d’activer la webcam et le microphone sans préavis et de récupérer les mots de passe.
Le paragraphe 8(1) de la LCAP prévoit qu'« il est interdit, dans le cadre d’une activité commerciale, d’installer ou de faire installer un programme d’ordinateur sur le système informatique d’une autre personne [...], à moins d’avoir obtenu le consentement exprès du propriétaire ou d’un utilisateur autorisé du système informatique et de se conformer au paragraphe 11(5) ». De plus, l’article 9 de la LCAP prévoit qu’il est « interdit d’aider, d’inciter, d’obtenir ou de faire obtenir l’acte contraire à l’un des articles 6 à 8. »
Dans ce cas, le RAT Orcus a été utilisé par des tiers pour prendre le contrôle des systèmes informatiques d’autrui. La preuve du CRTC a affirmé que « les messages de HackForums rédigés par Revesz et Griebel ... ont révélé qu’ils ont tous deux, à des degrés divers, fait la promotion des caractéristiques malveillantes de l’Orcus RAT. Cela comprenait un post où Revesz se vantait de la capacité de l’Orcus RAT à récupérer les mots de passe de la victime.
Le CRTC a fourni des réclamations de diverses personnes ou groupes, y compris certains Canadiens, utilisant le RAT Orcus pour cibler les systèmes informatiques canadiens. Par conséquent, le CRTC a déterminé que Griebel et Revesz ont contrevenu à l’article 9 de la LCAP « en aidant des acteurs malveillants à installer l’Orcus RAT sans consentement, dans le cadre d’une activité commerciale, sur des systèmes informatiques situés au Canada ».
Le CRTC a également allégué que Revesz avait contrevenu à l’article 9 de la LCAP en vendant un service de serveur de noms de domaine dynamique utilisé par des pirates informatiques pour communiquer avec des systèmes informatiques infectés, au Canada et à l’étranger. Le CRTC a émis deux procès-verbaux de violation à L’intention de M. Revesz et de M. Griebel, les associés d’Orcus Technologies, en vertu de l’article 22 de la LCAP, avec une sanction administrative pécuniaire totale de 115 000 $.
L’enquête du CRTC a bénéficié de la coopération et de l’aide internationales, notamment de Palo Alto Networks.
Le CRTC a découvert des preuves d’acheteurs d’Orcus RAT basés au Canada et à l’étranger. Des enquêtes de suivi sont en cours pour déterminer si ces utilisateurs de RAT ont installé l’Orcus RAT sur des systèmes informatiques sans consentement, auquel cas le CRTC envisage que des mesures d’application de la loi supplémentaires soient prises.
Cette affaire nous rappelle que la LCAP contient d’autres interdictions, comme les termes anti-maliciels, et qu’elle ne se limite pas aux interdictions sur les communications électroniques dans le commerce.