Pour la deuxième fois, le CRTC a rendu publique l’exécution d’un mandat en vertu des pouvoirs du CRTC en vertu de la Loi canadienne anti-pourriel (LCAP). L’enquête est axée sur l’installation de logiciels malveillants et la modification des données de transmission.
Le premier mandat de ce type a été exécuté le 3 décembre 2015, lorsque le CRTC a agi pour retirer un serveur de commande et de contrôle dans le cadre d’un effort international coordonné dirigé contre la famille de logiciels malveillants Win32/Dorkbot.
Il a été rapporté que l’enquête actuelle a commencé après une piste fournie par une société de cybermenaces et de criminalistique du secteur privé, FireEye Inc. Comme c’est la pratique du CRTC, ils n’ont pas nommé les sujets de l’enquête ni formulé de commentaires sur l’enquête en cours.
Manon Bombardier, chef du Bureau de conformité et d’application de la loi du CRTC, a déclaré : « Nous travaillons à protéger les Canadiens contre les menaces en ligne en poursuivant les personnes et les entités qui enfreignent la loi canadienne anti-pourriel. Nous sommes reconnaissants de l’aide fournie par FireEye Inc. qui a conduit à l’exécution de ce mandat, et nous continuerons à travailler en étroite collaboration avec nos partenaires nationaux et internationaux dans la lutte contre les cybermenaces.
Ces mesures d’application de la loi montrent que le CRTC cible les violations du logiciel malveillant et la modification des dispositions relatives aux données de transmission en vertu de la LCAP.
Un problème important pour les entreprises légitimes en vertu des dispositions de la LCAP relatives aux logiciels malveillants est que les interdictions de la LCAP sont très larges et peuvent englober certaines activités légitimes telles que les politiques d’apport de votre propre appareil (BYOD) et les activités de soutien aux utilisateurs de TI. De façon générale, en vertu de la LCAP, l’utilisateur ou le propriétaire autorisé d’un appareil (par exemple, un ordinateur portatif, un téléphone intelligent, une tablette, etc.) doit consentir à des installations logicielles qui ne sont pas auto-initiées. Dans certaines circonstances, le consentement sera requis même lorsqu’une installation est auto-initiée. De plus, la loi impose des obligations précises de notification et de divulgation lorsqu’un tel programme est capable de certaines « fonctions spéciales », définies dans la LCAP pour inclure :
Ce qui est remarquable, c’est que ces fonctions n’ont pas besoin d’être malveillantes. Bon nombre de ces fonctions sont assurées par de nombreux programmes informatiques légitimes. La LCAP exige que l’installateur du programme donne un avis et obtienne un consentement exprès distinct du propriétaire ou de l’utilisateur autorisé de l’appareil pour chacune de ces fonctions. Ces fonctions spéciales doivent être divulguées et décrites à l’utilisateur séparément des autres consentements et ne peuvent pas faire partie des conditions générales d’utilisation ou d’un contrat de licence.
À la lumière de ces exigences en matière de notification et de consentement en vertu de la LCAP, les organisations voudront examiner et pourraient devoir mettre à jour leurs politiques de TI.
Au fur et à mesure que de plus amples détails seront disponibles sur les résultats des mesures d’enquête en cours du CRTC, nous en apprendrons peut-être davantage sur l’efficacité de l’application de la loi en vertu de la LCAP, sur la façon dont les dispositions sont interprétées par le CRTC et sur toute répercussion possible pour les entreprises légitimes qui cherchent à assurer la conformité à l’égard de leurs propres activités.