Steven Harroun lors du groupe de discussion sur les « Risques et réalités de la cybersécurité » au Telecommunications Media Forum

Plus que jamais, des acteurs malveillants utilisent la technologie et se servent de la psychologie humaine pour exploiter nos concitoyens. La technologie peut permettre de trouver des solutions, mais elle ne suffit pas. L’éducation, la mise en application et la coopération internationale ainsi que la collaboration sont tout aussi indispensables à nos efforts pour lutter contre ces acteurs malveillants.

Steven Harroun, Cadre en chef de la Conformité et des Enquêtes
Conseil de la radiodiffusion et des télécommunications canadiennes

Washington D.C.
Le 11 décembre 2019

(Le discours prononcé fait foi)

Je suis heureux d’avoir l’occasion de consulter des partenaires des secteurs public et privé sur les diverses activités que nous avons entreprises afin de protéger les économies et les sociétés de plus en plus numériques de nos pays.

Plus que jamais, des acteurs malveillants utilisent la technologie et se servent de la psychologie humaine pour exploiter nos concitoyens. La technologie peut permettre de trouver des solutions, mais elle ne suffit pas. L’éducation, la mise en application et la coopération internationale ainsi que la collaboration sont tout aussi indispensables à nos efforts pour lutter contre ces acteurs malveillants.

Nous avons chacun des rôles et des responsabilités distincts; je vais rapidement expliquer la contribution du CRTC.

Le CRTC est un tribunal administratif exploité sans lien de dépendance avec le gouvernement qui surveille le système de communication canadien dans l’intérêt public. Notre mandat consiste notamment à agir pour contrer les menaces en matière de télécommunication et les cybernétiques en constante évolution. Non seulement ces menaces peuvent avoir une incidence négative sur les renseignements personnels et financiers des particuliers, mais aussi potentiellement sur notre sécurité nationale ou notre infrastructure essentielle.

Évoluer sur le marché complexe des communications actuel peut être un défi. Le CRTC a pour mission d’aider à protéger les Canadiens des communications abusives sous la forme d’appels téléphoniques non sollicités ou de menaces en ligne.

Pour ce faire, nous sommes tenus d’appliquer la Loi canadienne anti-pourriel, aussi appelée la LCAP, les Règles sur les télécommunications non sollicitées et la Liste nationale de numéros de télécommunication exclus.

La LCAP interdit aux entreprises d’envoyer des messages électroniques commerciaux (par courriels, messages sur les plateformes des médias sociaux ou par messages textes) sans le consentement des destinataires. Même si cela peut paraître plutôt anodin, nous savons que les pourriels peuvent servir de moyen d’installer des maliciels ou de permettre de diffuser d’autres menaces malveillantes en ligne.

Le gouvernement a donné au CRTC les outils nécessaires pour assurer la mise en application de la LCAP. Entre autres, nous pouvons imposer des sanctions jusqu’à concurrence de 1 million de dollars par violation pour les particuliers et jusqu’à concurrence de 10 millions de dollars par violation pour les entreprises.

Collaborer avec les organismes d’application de la loi et de réglementation canadiens et de l’étranger est essentiel à notre réussite. Nous avons mené des enquêtes parallèles avec d’autres organismes.

En mars de cette année, par exemple, nous avons exécuté des mandats de perquisition aux côtés de notre police fédérale pour fouiller la résidence d’un distributeur présumé de maliciels. Lorsque nous avançons sur des dossiers ou prenons des mesures d’application de la loi, nous devons penser à ne pas entraver ou perturber de potentielles affaires criminelles pouvant être en cours parallèlement.

Au CRTC, nous comprenons qu’aucun pays ne peut agir seul. Protéger les Canadiens ne consiste pas uniquement à cibler les spécialistes du marketing par courriel ou les fournisseurs d’hébergement Web. Ces compagnies font partie d’un groupe beaucoup plus vaste d’acteurs mondiaux qui comprend des fournisseurs de technologies, d’infrastructures et de services. Tout et tout le monde est interrelié et interdépendant.

L’Institut international des communications le comprend. La discussion d’aujourd’hui s’inscrit dans la foulée des conversations qui ont commencé lors de l’atelier sur les communications abusives, que nous avons coanimé en Thaïlande pendant la Semaine des politiques et de la réglementation en matière de communications en 2016. L’engagement mondial à l’égard de la lutte contre les pourriels et les communications indésirables a été démontré lors de l’atelier, où des participants de toutes les régions étaient présents.

Nous travaillons aussi avec des groupes internationaux de l’industrie sur les meilleures pratiques communes en matière de conformité et de collaboration. Des groupes comme le Messaging, Malware and Mobile Anti-Abuse Working Group (M3AAWG), la Société pour l’attribution des noms de domaine et numéros sur Internet, les équipes d’intervention en cas d’urgence informatique du Canada ainsi que les registres et les bureaux d’enregistrement Internet forment une partie essentielle du contexte.

Il est aussi important, en tant qu’organisme gouvernemental, que nous fassions des efforts pour comprendre les modèles d’entreprise des industries en ligne pour que nous puissions réduire les pratiques abusives en ligne plus efficacement.

Par exemple, en octobre, nous avons participé à des discussions lors des réunions du Messaging, Malware and Mobile Anti-Abuse Working Group pour appuyer l’élaboration de meilleures pratiques communes pour les acteurs de l’industrie quant à la suppression de contenu abusif et contestable en ligne. C’est un excellent exemple d’initiative prise par le secteur privé relativement à une question importante et de sollicitation de commentaires auprès du gouvernement et des organismes de réglementation.

Sensibiliser et mobiliser des intervenants est essentiel, mais ce n’est pas toujours suffisant.

Hier, le personnel du CRTC a imposé des sanctions de 100 000 $ à deux partenaires faisant affaire sous le nom d’Orcus Technologies pour avoir prétendument élaboré, vendu et fait la promotion de maliciels.

L’un d’eux s’est vu imposer une sanction additionnelle pour avoir prétendument exploité un service sécurisé utilisé par des pirates informatiques pour communiquer avec plusieurs ordinateurs infectés.

Les parties ont 30 jours pour présenter des observations au Conseil pour contester les violations ou pour payer les pénalités.

D’après notre enquête, Orcus Technologies a commercialisé et vendu un outil d’administration à distance appelé Orcus RAT. Cet outil était en fait un maliciel, une technologie de chevaux de Troie d’accès à distance qui permet aux pirates informatiques d’installer le programme et de prendre le plein contrôle de l’ordinateur d’une victime sans qu’elle en ait connaissance et sans son consentement.

Le travail du CRTC sur ce dossier a été de coopérer à l’échelle nationale et internationale avec la Gendarmerie royale du Canada, le Federal Bureau of Investigation et la police fédérale australienne. Des particuliers en Australie, aux États-Unis, en Allemagne, au Canada et en Belgique, notamment, faisaient partie du réseau d’acteurs malveillants.

Toutefois, nos concitoyens ne sont pas seulement ciblés par des menaces techniques et des maliciels sophistiqués. Le CRTC reçoit maintenant des plaintes concernant l’échange de carte SIM qui relève davantage de l’exploitation de la psychologie humaine que de l’expertise informatique. C’est néanmoins un domaine que les organismes de réglementations devront examiner à mesure que le marché évolue.

La téléphonie a encore de l’importance! Au-delà de l’importance des téléphones cellulaires au quotidien, la téléphonie peut être un vecteur d’escroquerie et de fraude ciblant nos concitoyens. Bien que l’ampleur des appels automatisés ne soit pas la même au Canada que dans d’autres pays, nous constatons que le télémarketing est utilisé pour cibler les Canadiens.

Il y a deux jours, le président de la Federal Communications Commission et celui du CRTC ont mis à l’essai la norme STIR/SHAKEN en passant l’un des premiers appels téléphoniques internationaux authentifiés. La norme STIR/SHAKEN permettra aux fournisseurs de services d’attester si l’identité d’un appelant est digne de confiance par l’authentification et la vérification de l’information d’identification de l’appelant pour les appels vocaux sur protocole Internet.

Cette nouvelle norme réduira l’incidence de la mystification de l’identité de l’appelant et nous pourrons ainsi mieux protéger les Canadiens et susciter la confiance à l’égard de notre système de communication. C’est là un autre très bon exemple de la manière dont les partenariats avec les exploitants de réseau ainsi que la collaboration avec la Federal Communications Commission et la Federal Trade Commission ont été essentiels pour comprendre le contexte de la menace.

Compte tenu de la complexité de l’écosystème de la cybersécurité actuel, les solides partenariats qui nous permettent de tirer parti des connaissances et des domaines d’expertises de chacun sont notre plus grand atout dans la lutte contre les menaces posées par les acteurs malveillants.

Il doit s’agir d’un engagement continu auquel nous contribuons tous. La discussion d’aujourd’hui est une étape importante pour faire avancer ce travail.

Merci.

Personnes-ressources

Relations avec les médias
(819) 997-9403

Renseignements généraux
(819) 997-0313
Numéro sans frais : 1 (877) 249-CRTC (2782)
Ligne ATS : (819) 994-0423
Poser une question ou déposer une plainte

Restez branché
Suivez-nous sur Twitter @CRTCfra
Aimez-nous sur Facebook www.facebook.com/crtcfra