Le 10 décembre 2019, le Conseil de la radiodiffusion et des télécommunications canadiennes (CRTC) a annoncé qu’il avait imposé une pénalité totalisant 115 000$ à John paul Revesz et à Vincent Leo Griebel pour avoir élaboré et vendu des logiciels malveillants et en avoir fait la promotion.

Enquête

Suite à des informations fournies par des sociétés de cybersécurité privées, le CRTC et la Gendarmerie Royale du Canada (GRC) ont ouvert une enquête officielle en février 2018 sur le développement, la distribution, la promotion et la vente d’un outil d’administration à distance appelé Orcus RAT par Orcus Technologies.

Selon le Procès-verbal de violation du CRTC, l’enquête a révélé les éléments de fonctionnalité suivante de l’outil Orcus RAT :

L’outil Orcus RAT était une technologie de chevaux de Troie d’accès à distance (RAT), un type connu de maliciel. Cette analyse a également démontré que ce programme d’ordinateur incluait les fonctionnalités suivantes, qui permettaient à un administrateur, entre autres, de :

i. Désactiver la notification lorsque la technologie du RAT est installée;

ii. Dissimuler sa présence dans l’ordinateur de la victime à l’aide de différentes techniques;

iii. Imposer des privilèges administratifs;

iv. Enregistrer les frappes;

v. Activer la caméra Web et le microphone sans notification; et

vi. Récupérer des mots de passe.

En plus de la violation extrême de vie privée, le CRTC explique que le danger particulier de ce type de logiciel est qu’il permet à une personne d’exploiter l’ordinateur d’une autre personne à ses propres fins, telle que pour des activités criminelles, le tout, sans le consentement de cette dernière ou même à son insu.

Le CRTC reconnait que les technologies RAT offrent des fonctionnalités qui ressemblent généralement à des programmes légitimes d’administration à distance. Toutefois, il conclut que le fonctionnement réel d’Orcus RAT est conçu pour des fins illégitimes :

Les outils d’administration à distance comportent de nombreux usages légitimes, et les technologies RAT offrent des fonctionnalités qui ressemblent généralement à ces programmes légitimes. La différence entre ces deux catégories de logiciel réside dans le fait que les technologies RAT sont conçues spécifiquement pour l’installation et l’exploitation secrète, la durabilité ou la persistance, ainsi que pour faire subir un tort. (…)

Le fonctionnement réel d’Orcus RAT se traduit ainsi : un attaquant envoie à une victime sans méfiance un fichier client, également appelé binaire, et infecte l’ordinateur de cette personne. Le client et le contrôleur se connectent ensuite au serveur d’Orcus qui transmet les commandes de l’attaquant à l’ordinateur de la victime, et les réponses de l’ordinateur de la victime à l’attaquant.

Selon le CRTC, plusieurs chercheurs, entreprises de recherche et journalistes en cybersécurité réputés à l’échelle internationale ont tous reconnu la nature malveillante de l’outil Orcus RAT. 

L’enquête a révélé les activités d’un individu australien ayant acheté l’outil Orcus RAT et ayant entrainé l’infection connue de plus de 900 ordinateurs. 1 300 exemplaires de l’outil auraient été vendus, mais le nombre total d’ordinateurs infectés demeure inconnu.

Loi canadienne anti-pourriel 

La Loi visant à promouvoir l’efficacité et la capacité d’adaptation de l’économie canadienne par la réglementation de certaines pratiques qui découragent l’exercice des activités commerciales par voie électronique et modifiant la Loi sur le Conseil de la radiodiffusion et des télécommunications canadiennes, la Loi sur la concurrence, la Loi sur la protection des renseignements personnels et les documents électroniques et la Loi sur les télécommunications, plus communément appelée Loi canadienne anti-pourriel ou LCAP, a pour but de décourager l’exercice de certaines activités commerciales électroniques.

L’article 8(1) de la LCAP interdit l’installation d’un programme sur un ordinateur sans le consentement exprès du propriétaire de cet ordinateur.

8. (1) Il est interdit, dans le cadre d’activités commerciales, d’installer ou de faire installer un programme d’ordinateur dans l’ordinateur d’une autre personne ou, après avoir ainsi installé ou fait installer un programme d’ordinateur, de faire envoyer un message électronique par cet ordinateur, sauf si la personne qui accomplit l’acte en question :

a) soit le fait avec le consentement exprès du propriétaire ou de l’utilisateur autorisé de l’ordinateur et se conforme au paragraphe 11(5);

b) soit le fait en vertu d’une ordonnance judiciaire.

L’article 9 de la LCAP, quant à lui, interdit d’accomplir, d’aider ou d’encourager, même indirectement, un acte contraire à l’article 8(1) de la LCAP.

9. Il est interdit de faire accomplir, même indirectement, tout acte contraire à l’un des articles 6 à 8, ou d’aider ou d’encourager quiconque à accomplir un tel acte.

Le Bulletin d’information de Conformité et Enquêtes CRTC 2018-415, Lignes directrices sur l’approche du Conseil concernant l’article 9 de la Loi canadienne anti-pourriel (LCAP), précise l’article 9 de la LCAP comme suit :

6. L’article 9 de la LCAP aux particuliers et aux organisations qui facilitent la réalisation d’activités commerciales par voie électronique en fournissant des services habilitants, de nature technique ou autre. L’article 9 de la LCAP pourrait aussi s’appliquer à ceux qui bénéficient d’un avantage financier direct ou indirect découlant d’une contravention aux articles 6 à 8 de la LCAP.

Finalement, l’article 20 de la LCAP permet l’octroi d’une sanction administrative pécuniaire, dont le but est de favoriser le respect de la LCAP, d’un montant maximal de 1 000 000 $, dans le cas où l’auteur est une personne physique, et de 10 000 000 $ dans le cas de toute autre personne.

20. (1) Toute contravention à l’un des articles 6 à 9 constitue une violation exposant son auteur à une sanction administrative pécuniaire.

(2) L’imposition de la sanction vise non pas à punir, mais plutôt à favoriser le respect de la présente loi.

(3) Pour la détermination du montant de la sanction, il est tenu compte des éléments suivants :

a) le but de la sanction;

b) la nature et la portée de la violation;

c) les antécédents de l’auteur de la violation, à savoir violation à la présente loi, comportement susceptible d’examen visé à l’article 74.011 de la Loi sur la concurrence et contravention à l’article 5 de la Loi sur la protection des renseignements personnels et les documents électroniques qui met en cause une collecte ou une utilisation visée aux paragraphes 7.1(2) ou (3) de cette loi;

d) ses antécédents au regard des engagements contractés en vertu du paragraphe 21(1) et des consentements signés en vertu du paragraphe 74.12(1) de la Loi sur la concurrence concernant des actes ou omissions qui constituent des comportements susceptibles d’examen visés à l’article 74.011 de cette loi;

e) tout avantage financier qu’il a retiré de la commission de la violation;

f) sa capacité de payer le montant de la sanction;

g) tout versement d’une somme qu’il a fait volontairement, à titre de dédommagement, à toute personne touchée par la violation;

h) tout critère prévu par règlement;

i) tout autre élément pertinent.

(4) Le montant maximal de la sanction pour une violation est de 1 000 000 $, dans le cas où l’auteur est une personne physique, et de 10 000 000 $ dans le cas de toute autre personne.

Ainsi, suite à son enquête, le CRTC considère que Revesz et Griebel, deux seuls associés de la société en nom collectif Orcus Technologies, ont aidé à la contravention de l’article 8 de la LCAP en développant, en commercialisant et en vendant Orcus RAT, ainsi qu’en offrant aux utilisateurs des conseils quant à son utilisation.

Le CRTC a donc émis deux procès-verbaux de violation à Revesz et Griebel, totalisant un montant de 115 000 $ en sanctions administratives pécuniaires et ces derniers auront 30 jours pour présenter des observations ou pour payer la sanction administrative.

Conclusion

Dans un contexte où le développement de logiciels malveillants continue de croître, il est très encourageant de constater que la Loi canadienne anti-pourriel contient plus que des dispositions anti-pourriels, incluant notamment des dispositions contre les logiciels malveillants. Toutefois, il serait intéressant de connaitre le raisonnement du CRTC derrière le montant de la sanction administrative. Nous savons que le marché de logiciels malveillants est énorme. 115 000$ pourrait alors être considéré comme trop peu pour « favoriser le respect » de la LCAP.