Enquête sur l’installation de programmes d’ordinateur malveillants par le biais de publicités en ligne

Ottawa, le 11 juillet 2018

Numéro de dossier : 9094-2015-00417

Résumé de l’enquête

Violations de la Loi visant à promouvoir l’efficacité et la capacité d’adaptation de l’économie canadienne par la réglementation de certaines pratiques qui découragent l’exercice des activités commerciales par voie électronique et modifiant la Loi sur le Conseil de la radiodiffusion et des télécommunications canadiennes, la Loi sur la concurrence, la Loi sur la protection des renseignements personnels et les documents électroniques et la Loi sur les télécommunications, L.C. 2010, ch. 23 (la « Loi » ou la « Loi canadienne anti-pourriel »).

En vertu de l’article 22 de la Loi, des procès-verbaux de violation ont été signifiés à Datablocks, Inc. (Datablocks) et à Sunlight Media Network Inc. (Sunlight Media) alléguant qu’elles ont toutes deux commis une violation de l’article 9 de la Loi. Par leurs actions et leurs omissions, Datablocks et Sunlight Media ont aidé à commettre des actes qui vont à l’encontre de l’article 8 de la Loi.

L’article 8 de la Loi interdit l’installation d’un programme d’ordinateur dans l’ordinateur d’une autre personne sans le consentement exprès du propriétaire ou de l’utilisateur autorisé de l’ordinateur. L’article 9 de la Loi interdit d’aider à commettre la violation susmentionnée.

À la suite de rapports accessibles au public selon lesquels Datablocks et Sunlight Media étaient prétendument impliquées dans la diffusion de programmes d’ordinateur malveillantsNote de bas de page1, le personnel du Conseil a amorcé une enquête afin d’évaluer leurs activités commerciales pour en vérifier la conformité avec la Loi. Ces activités commerciales consistent en la distribution d’annonces en ligne.

De nombreuses publicités en ligne sont livrées par un processus d’enchères en temps réel entièrement automatisé au moyen duquel les publicités sont adaptées aux visiteurs du site Web. Les annonceurs qui veulent participer au processus d’enchères concluent habituellement une entente avec un intermédiaire, connu sous le nom de « réseau publicitaire », pour la gestion de leurs campagnes de publicité et de leurs enchères dans le processus d’enchères en temps réel. Datablocks possède et contrôle des logiciels et une infrastructure de routage réseau, qui permettent et facilitent le processus d’enchères en temps réel.

Sunlight Media exploite un réseau publicitaire et agit à titre de courtier entre les annonceurs et les éditeurs (ou leurs représentants respectifs) au moyen du système d’enchères en temps réel de Datablocks. Les activités commerciales de Datablocks et de Sunlight Media sont intégrées verticalement : les deux entreprises sont étroitement liées, par exemple, à travers la propriété, les administrateurs et les membres de la direction, ainsi que par l’emplacement physique. Sunlight Media est l’un des principaux utilisateurs des services de Datablocks et paie des tarifs réduits considérablement pour l’utilisation de ces services.

Sunlight Media a un large éventail de clients, y compris des personnes malveillantes qui sont prétendument en violation de l’article 8 de la Loi. L’utilisation de publicités en ligne est l’un des principaux vecteurs de la diffusion de logiciels malveillants : des personnes malintentionnées tirent profit du processus d’enchères en temps réel, concluant un marché avec les réseaux publicitaires afin de diffuser des publicités qui contiennent des programmes d’ordinateur malveillants. Dans ces cas, le réseau publicitaire redirige le navigateur Web d’un utilisateur à la page d’accueilNote de bas de page2 de son client, à partir de laquelle un programme d’exploitation est installé. Le programme d’exploitation profite des vulnérabilités de l’ordinateur de l’utilisateur. Une fois installé, le programme d’exploitation permet l’installation d’un deuxième logiciel nuisible afin de mener des activités malveillantes.

Cette pratique est généralement appelée « publicité malveillante » et est bien connue de l’industrie des publicités en ligne et des chercheurs en cybersécurité Note de bas de page3. L’industrie des publicités en ligne et le processus d’enchères en temps réel sont attrayants pour les personnes malveillantes parce que les publicités ne requièrent pas un consentement ou toute autre action délibérée pour être téléchargées sur l’ordinateur d’un utilisateur. Le simple fait de voir une publicité peut causer l’installation d’un programme d’exploitation.

Dans le présent cas, le personnel du Conseil a découvert que les publicités distribuées par l’entremise des services de Sunlight Media et de Datablocks, au moyen de leur infrastructure exclusive, ont entraîné l’installation de programmes malveillants à partir d’une trousse d’exploitation notoire appelée Angler, qui exploitait une vulnérabilité dans Adobe Flash. Chacune de ces installations représente un acte interdit par l’article 8 de la Loi. La trousse d’exploitation Angler est conçue pour installer un deuxième logiciel malveillant qui peut verrouiller le système de l’utilisateur jusqu’à ce qu’une rançon soit versée (rançongiciels), voler les données de nature délicate des utilisateurs, comme les informations de connexion et les identifiants bancaires (chevaux de Troie bancaires) et/ou utiliser les ressources de l’ordinateur de la victime aux fins de monétisation illicite (fraude au clic).

Les deux entreprises ont aidé la commission de ces actes, et ont par conséquent toutes deux commis une violation de l’article 9 de la Loi. L’aide fournie par Sunlight Media et Datablocks consistait à faciliter ces actes interdits grâce à leurs actions et leurs omissions :

Compte tenu des actions et des omissions mentionnées ci-dessus, les clients de Sunlight Media ont été en mesure de contrevenir à de nombreuses reprises à l’article 8 du 8 février 2016 au 31 mai 2016.

Selon leurs modèles de rémunérationNote de bas de page4respectifs et les éléments de preuve recueillis, le personnel du Conseil croit que Sunlight Media et Datablocks profitaient financièrement de la commission d’actes interdits par l’article 8 de la Loi.

Les éléments de preuve recueillis dans le cadre de l’enquête proviennent de plusieurs sources, dont des avis de communication émis en vertu de l’article 17 de la Loi et l’exécution d’un mandat de perquisition.

En se basant sur les renseignements recueillis dans le cadre de l’enquête, le cadre en chef de la conformité et des enquêtes a émis deux procès-verbaux de violation comprenant des sanctions administratives pécuniaires de 100 000 $ à Datablocks et de 150 000 $ à Sunlight Media.

Avertissement:

Toute personne qui reçoit un procès-verbal de violation à l’occasion de présenter des observations au Conseil en ce qui a trait au montant de la pénalité ou des violations présumées aux termes des articles 24 et 25 de la Loi et peut en vertu de l’article 27 de la Loi interjeter appel devant la Cour d’appel fédérale d’une décision rendue par le Conseil. Par conséquent, pour le moment, les renseignements susmentionnés représentent des allégations formulées par des personnes désignées par le Conseil en vertu de l’article 14 de la Loi.

Toute personne qui reçoit un procès-verbal de violation a également l’occasion de contracter un engagement en ce qui concerne les actes ou les omissions en vertu du paragraphe 21 (4) de la Loi, selon les conditions prévues au paragraphe 21 (2) de la Loi.

Le personnel du Conseil fera de son mieux pour fournir des renseignements supplémentaires sur cette enquête dès que possible.

Date de modification :