Le Forum du Droit » Droit des technologies

Est-ce que le CRTC peut réglementer Internet?

Jean-Sébastien Dupont — Sat, 12 Jan 2008 16:52:35 +0000

Le 17 mai 1999, le CRTC a déclaré qu’il ne réglementerait pas internet. Le 31 octobre 2007 dernier, plus de 8 ans plus tard, le CRTC annonçait avoir commandé plusieurs études, dont le rapport sera publié en mars prochain, et que des audiences publiques se tiendront à la fin 2008 pour réévaluer la possibilité de réglementer internet.

Ma première réaction a été de penser que c’est un projet technologiquement fort audacieux que de réglementer internet. Comme beaucoup, jusqu’à très récemment, j’avais encore cette vision d’internet comme étant un vaste réseau décentralisé, sans frontières et soumis à peu ou pas de contrôle. Avant même de se questionner à savoir si le CRTC devrait réglementer internet, je réponds à la question préliminaire à savoir si le CRTC pourrait réglementer internet. Je ne sais pas exactement ce que le CRTC voudrait réglementer sur internet, que ce soit assurer une certaine proportion de contenu canadien ou bien réglementer la qualité du contenu en tant que tel (diffamation, pornographie, etc.) Mon analyse se veut donc très général en traitant de contrôle au sens large.

Lorsqu’on parle de réglementer internet, la première image qui me vient en tête c’est celle où le gouvernement encadre directement les différents sites qu’on peut visiter en partant de YouTube jusqu’au site “Geocities” d’un quidam en Australie. Cette hypothèse, à première vue, m’a semblé tout à fait irréalisable. Considérant la quantité phénoménale de sites web qui nous sont offerts sur la toile, comment espérer pouvoir exercer un contrôle efficace? Plus problématique encore, il ne faut pas oublier que, bien qu’internet nous semble être sans frontières, dans la vraie vie juridique les différents sites appartiennent et sont hébergés dans une multitude de pays. Se posent alors toutes les questions très intéressantes que vous avez vues ou verrez en droit international. Comme je le mentionnais précédemment, ma réaction initiale a donc été de douter de la possibilité technique de véritablement réglementer internet.

Toutefois, même sous cette forme de contrôle direct, il est possible, dans une certaine mesure, d’effectuer un contrôle. Première constatation, le site personnel “Geocities” de notre quidam intéresse ni les canadiens ni les autorités canadiennes. Dit autrement, comme dans tous les domaines, ce sont les très gros sites internet visités par des milliers de canadiens qui doivent être réglementés tout comme les autorités se concentrent plus sur les grosses importations de drogues que sur la simple possession du consommateur. Cette constatation répond à la préoccupation concernant la trop grande quantité de pages qu’on peut retrouver sur internet. Qu’en est-il de la question de souveraineté territoriale? Dans l’état actuel des choses, il est pratiquement impossible pour une autorité canadienne de contrôler directement un site qui est détenu et hébergé complètement à l’étranger. Toutefois, il faut savoir qu’il y a certains grands noms du web (YouTube, Google, eBay, Paypal, Skype, etc.) qui ont une présence au Canada. Certains ont simplement des serveurs hébergés au Canada pour offrir un service plus rapide aux internautes canadiens alors que d’autres ont des bureaux et des comptes de Banque au Canada. Comme cela a été démontré en France avec le cas “Yahoo” et en Australie avec l’affaire mettant en cause la version électronique du “Wall Street Journal”, cela fait toute la différence. Si une Cour canadienne se déclarait compétente pour poursuivre Google (par exemple), les tribunaux américains et Google pourraient bien nier la compétence de nos tribunaux, dans la mesure où Google a des comptes de Banques et des locaux à saisir à Montréal, un jugement canadien serait susceptible d’exécution rendant ainsi possible un contrôle effectif sur Google par les autorités canadiennes. Nous savons tous qu’un véritable contrôle ne peut être effectif et efficace que s’il y a des mécanismes coercitifs qui sont accessibles. Dans un tel cas hypothétique, Google aurait alors deux choix: reconnaitre l’autorité du Canada et se conformer à sa législation ou se retirer du Canada pour ainsi échapper à toute forme de contrôle effectif, mais perdant ainsi la possibilité de vendre de la publicité à des annonceurs canadiens. Il va de soit qu’un site entièrement détenu et opéré au Canada (CyberPresse.ca par exemple) peut facilement être réglementé comme le sont pratiquement tous les aspects de la société.

Ce ne sont cependant pas tous les sites qui ont une telle présence au Canada. Seuls les sites commerciaux d’une certaine envergure sont susceptibles d’avoir des biens saisissables au Canada permettant ainsi de donner plus de dents à la législation canadienne. Il pourrait pourtant être de la volonté des autorités canadiennes de vouloir intervenir en matière de pornographie juvénile, de piratage ou des questions de propriété intellectuelle en ne s’arrêtant pas aux frontières puisque ce contenu ne s’y arrête malheureusement pas lui. Nous venons d’établir qu’il est pratiquement impossible d’exercer un contrôle direct sur ce type de sites s’ils sont situés complètement à l’étranger. C’est là que mes lectures se sont avérées très intéressantes. Il existe, en effet, plusieurs solutions de contrôle indirectes auxquelles je n’avais pas pensé instinctivement bien qu’ayant une formation dans ce domaine. Il y a essentiellement deux procédés: s’attaquer directement aux destinataires ou s’attaquer aux intermédiaires de l’information. Par destinataires, on parle des internautes canadiens qui utilisent ou accèdent des sites ou services étrangers que les autorités canadiennes veulent contrôler. Cette méthode se justifie aisément en matière de pornographie, mais on imagine mal le CRTC arrêter des individus qui fréquentent des sites voyous qui ne respectent pas une éventuelle réglementation concernant la prédominance du contenu canadien. Cette technique est déjà utilisée en matière de pornographie juvénile. Par contre, en matière de violation de droits d’auteur, la GRC a récemment annoncé qu’elle ne poursuivrait pas directement les internautes canadiens qui téléchargent musique et films sur internet vu l’ampleur du phénomène et le manque de ressources.

Il y a quatre grandes catégories d’intermédiaires qui peuvent être ciblés pour tenter un contrôle indirect. La première catégorie d’intermédiaire sont les différentes compagnies qui opèrent le réseau qui transporte l’information entre le citoyen canadien et le site étranger. Même si un site est complètement hébergé et opéré à l’étranger, la communication qui s’établit entre ce site et un internaute canadien passe nécessairement, à un certain point, par une compagnie canadienne. Le plus souvent ce sera le fournisseur d’accès internet (FAI), la compagnie qui fournit à l’usager sa connexion à internet (ex.: Bell, Videotron, Telus, Cogeco, Shaw, etc.) Puisque ces compagnies sont canadiennes, elles tombent sous l’emprise des autorités canadiennes. Il pourrait donc être possible d’exiger de ces compagnies qu’elles filtrent l’accès à certains sites qui ne respectent pas la réglementation canadienne dans l’optique d’obliger ces sites à se conformer à cette législation. Encore une fois, il est impensable de dresser une liste exhaustive des sites non conformes, mais comme nous le mentionnons précédemment, ce ne sont pas tous les sites qui intéressent les autorités. Le contrôle n’a pas à être total pour être effectif.

Une deuxième catégorie d’intermédiaire sont les différents moteurs de recherche et portails d’information. Empêcher qu’un site en particulier apparaisse dans les résultats de recherche de Google n’empêche pas toute visite sur ce site, mais cela a tout de même pour effet de diminuer considérablement sa fréquentation. C’est une technique qui est déjà utilisée par plusieurs pays dans divers contextes. Google reçoit régulièrement des demandes pour que certains sites ne soient pas indexés sur la version localisée de son engin de recherche.

Une autre catégorie importante est constituée des banques, compagnies de cartes de crédit et autres institutions financières. On attaque directement l’institution qui fournit les modes de paiement à un site voyou en particulier pour ainsi lui couper les vives. C’est une méthode notamment utilisée pour attaquer les casinos illégaux hébergés à l’étranger. Il est plutôt mal aisé de faire rouler un casino sans avoir la possibilité de recueillir l’argent de ses joueurs par carte de crédit.

Le dernier intermédiaire, pour les fins de cette étude, est l’ICANN, l’entité qui gère l’octroi de noms de domaines et adresses IP. L’adresse IP est le numéro unique que doit détenir un ordinateur pour fonctionner sur internet alors que le nom de domaine est le nom facile à retenir que nous entrons pour accéder à un site internet (ex.: umontreal.ca, google.com, etc.). Sans ce nom de domaine, pour accéder à un site internet il faut connaître une série de chiffres qui ressemble à 64.233.161.104. C’est donc un autre bon moyen de couper l’accès à un site voyou que de lui retirer son nom de domaine. Cette technique est utilisée, entres autres, lorsqu’il y a violation de la propriété intellectuelle dans le libellé même du nom de domaine. Toutefois, l’ICANN est sous le contrôle du Département américain du Commerce, donc encore une fois des problèmes de droit international peuvent se poser.

Avant de conclure que le CRTC a les outils nécessaires pour exercer un contrôle effectif sur internet, il nous faudrait voir dans quelle mesure les sites, en particulier les sites qui ne sont pas destinés particulièrement au Canada, pourraient se conformer à la législation canadienne sans pour autant affecter l’expérience de navigation d’un internaute étranger. Il est peu probable qu’un étudiant ukrainien soit particulièrement intéressé à voir, en priorité, du contenu canadien lorsqu’il visite YouTube. Malheureusement, par manque d’espace et parce qu’il s’agit d’une analyse beaucoup plus technique que légale, permettez moi simplement de vous dire qu’il est tout à fait possible d’identifier la provenance, jusqu’à un certain point, d’un internaute et d’adapter le contenu d’un site en fonction de cette donnée. Pour vous en convaincre, aller sur google.com et chercher “flowers”. Premier constat: normalement vous êtes arrivé directement sur google.ca, la version canadienne de Google. Deuxième constat: dans les résultats commerciaux qui s’affichent à la droite de l’écran, vous devriez normalement voir des vendeurs canadiens et/ou québécois.

En résumé, malgré l’idée que nous avons d’un internet libre, décentralisé et soumis à aucune autorité; il est tout à fait envisageable technologiquement que le CRTC puisse effectivement réglementer internet. Il ne reste plus qu’à se demander si le CRTC devrait le faire et, si oui, dans quelle mesure…

Note: cet article a été inspiré, notamment, par la lecture de l’excellent livre des professeurs de droit américain Jack Goldsmith et Tim Wu: “Who Controls the Internet? Illusions of a borderless world”, New York, Oxford University Press, 2006

Une première condamnée pour téléchargement illégal

Jean-Sébastien Dupont — Fri, 12 Oct 2007 19:41:13 +0000

Le mois dernier, dans mon article intitulé La Preuve.com, je vous parlais des problèmes de preuve en matière de cybercriminalité. Je me permets de faire un suivi sur la question puisque les tribunaux américains ont condamné, il y a 2 semaines, la première personne pour téléchargement illégale.

Bien que je suive le sujet dans l’actualité, j’ai été surpris d’apprendre qu’il s’agissait du tout premier procès en la matière alors que la Recording Industry Association of America (RIAA) est très active depuis déjà quelques années avec ce que certains qualifient de campagne de terreur. Tous se souviendront de logiciels de partage de fichiers musicaux comme Morpheus qui sont disparus dans les dernières années suite à la pression et les actions légales de cette association. Désirant intensifier sa lutte contre le piratage, la RIAA a ensuite entrepris de s’attaquer directement aux utilisateurs. C’est ainsi que, depuis quatre ans, 20 000 procédures judiciaires ont été entreprises. C’est seulement aujourd’hui qu’une d’entre elles donne lieu à un procès, car dans la très grande majorité des cas, les personnes poursuivies, sous la pression et par manque de moyens, décident de régler hors cours pour quelques milliers de dollars.

Jammie Thomas, une mère monoparentale de deux enfants du Minnesota, a choisi de ne pas plier aux chantages de la RIAA et a préféré débattre de la question dans l’arène publique. Les enquêteurs ont découvert que l’ordinateur de Mme Thomas partageait pas moins de 1700 fichiers musicaux sur le logiciel d’échange KaZaa. Elle était toutefois poursuivie par de grandes maisons de disques comme Sony BMG et Warner Bros pour seulement 24 de ces fichiers. Elle était passible d’une amende maximale de 150 000$ par morceau. Le jury, après quatre heures de délibération, l’a reconnue coupable de violation des droits d’auteur dans les 24 cas et l’a condamnée à verser un dédommagement de 9250$ par chanson soit un grand total de 222 000$.

Mme Thomas a toujours nié avoir téléchargé ces chansons. Son avocat, Brian Toder, a tenté de faire valoir les mêmes arguments que j’avançais dans mon dernier article. Puisque la poursuite n’avait en preuve que le pseudonyme de la personne responsable des téléchargements, « terreastarr », la défense a rappelé au jury qu’il devait être prouvé que c’est bien Jammie Thomas qui se cachait derrière ce pseudonyme. La poursuite a su toutefois faire la preuve que l’accusée utilise ce pseudonyme sur de nombreux sites internet ainsi que dans son adresse de courrier électronique. La défense a rappelé également que les experts n’ont pas pu affirmer qu’il puisse être possible d’associer avec certitude l’adresse IP à l’ordinateur personnel de Mme Thomas. Me Toder a également prétendu que l’accusé a pu facilement être la victime d’un pirate informatique, d’un vol d’identité virtuelle, d’un virus ou que son ordinateur puisse être un ordinateur zombie. Cependant, aucune preuve n’a été présentée à cet effet ni même pour démontrer la possibilité théorique de telles allégations. La défense a simplement évoqué ses possibilités pour tenter de faire naître un doute dans l’esprit des jurés et a rappelé que ce n’est pas à la défense de faire cette preuve.

La poursuite n’a pas eu à faire la preuve que Jammie Thomas avait KaZaa d’installé sur son ordinateur lorsque les enquêteurs ont examiné son disque dur. La RIAA n’a pas non plus eu à prouver que c’est bien Jammie Thomas qui était derrière le clavier lorsqu’ils ont obtenu la liste des fichiers que l’ordinateur partageait sur internet. Le juge a indiqué au jury qu’il pouvait conclure à la violation des droits d’auteur seulement avec la preuve que Mme Thomas partageait des fichiers musicaux sur internet. La preuve qu’effectivement d’autres utilisateurs ont téléchargé ces chansons depuis l’ordinateur de la défenderesse n’a pas été requise.

L’avocat en chef de la RIAA, Richard Gabriel, s’est dit très satisfait de ce jugement. Il croit avoir ainsi envoyé un message très clair à l’effet qu’ils sont prêts à aller à procès et qu’il vaut mieux régler hors cours. Si cela risque d’encourager fortement tous ceux qui sont ciblés par la RIAA à régler hors cours, il n’est pas tout aussi certain que ce jugement aura l’effet dissuasif recherché pour mettre fin au piratage. Selon l’organisme BigChampagne, depuis que la RIAA a commencé à viser des particuliers, le nombre d’utilisateurs qui échangent des fichiers sur internet a tout simplement triplé.

La question de savoir si le téléchargement de musique est vraiment illégal au Canada est encore en suspend. Il semblerait que le téléchargement de musique ne serait pas en soi interdit par la loi; seul l’envoi de ces fichiers à d’autres utilisateurs le serait. Le problème étant que tous ces systèmes d’échange de fichiers reposent sur le principe que chacun doit envoyer des données pour pouvoir en recevoir. Je tenterai d’approfondir cette question ultérieurement. En attendant, je vous encourage fortement à ne pas prendre de chance et à ne pas télécharger de musique (ni même de films d’ailleurs) protégée par des droits d’auteur. Le prix des disques a considérablement baissé ces dernières années et il est désormais possible de télécharger en toute légalité su iTunes ou Archaumbault. Après tout, beaucoup d’entre nous sommes de futurs auxiliaires de justice… agissons ainsi!

Note : Cet article a été publié dans le Pigeon Dissident, journal étudiant de la Faculté de Droit de l’Université de Montréal.

Note : Jammie Thomas a lancé un site internet pour recueillir des dons pour aider à payer ses honoraires d’avocat et éventuellement porter la cause en appel. Au moment d’ajouter cette note, Mme Thomas avait déjà reçu plus de 10 000$ US de dons. www.freejammie.com

La Preuve.com

Jean-Sébastien Dupont — Mon, 10 Sep 2007 23:35:40 +0000

Malheureusement cet article ne traitera pas d’un nouveau site web créé pour aider les étudiants dans leur cours de preuves. J’ai plutôt choisi ce titre accrocheur pour attirer votre attention sur la problématique de la preuve en matière de cybercriminalité. C’est un sujet qui m’a toujours fasciné et encore plus particulièrement depuis que la RIAA (Recording Industry Association of America) et la MPAA (Motion Picture Association of America) font une véritable chasse aux sorcières aux terroristes du web (comme ils semblent percevoir les jeunes de 13 ans qui téléchargent inconsciemment quelques MP3 ou encore les mères de famille qui n’ont aucune idée de comment faire) en utilisant des méthodes parfois douteuses qui finissent par donner des poursuites presque frivoles.

Également, la propagation du fléau qu’est le phishing (cette transposition au monde virtuel de la fraude classique qui consiste à se faire passer pour une autorité ou une entreprise légitime pour profiter de la crédulité, ou de l’ignorance, des gens pour leur voler leurs informations personnelles) m’a également mené à me questionner sur les difficultés de prouver, et par conséquent de poursuivre, ces crimes en pratique. J’ai fais quelques recherches sur la question et, à ma grande stupéfaction, je n’ai trouvé pratiquement personne qui se soit penché sur la question. Voici donc le résultat de ma recherche et de ma réflexion de quelques heures sur la question. Vous me pardonnerez évidemment de ne pas être aussi exhaustif que je le voudrais. Je vous propose de suivre le parcours que doivent suivre les corps policiers et les procureurs pour identifier les malfaiteurs, mais surtout pour confirmer leur identité.

Comme notion fondamentale, il faut comprendre que dès qu’un ordinateur est relié à internet il est identifié par un code numérique unique – l’adresse IP. C’est souvent cette seule information de leur agresseur qu’auront les victimes que ce soient le particulier qui se fait voler ses informations bancaires en répondant à un faux courriel supposément envoyé par sa Banque (phisphing), les autorités qui cherchent à faire appliquer la législation entourant les droits d’auteurs ou les entreprises qui sont la cible d’attaque par ce qu’on appelle communément des « pirates » de l’informatique.

Vous vous en doutez probablement, l’étape suivante consiste à tenter d’associer cette adresse IP à un individu, ou au moins à un ordinateur. C’est ici que se dressent les premiers obstacles. N’importe qui, ayant moindrement de connaissances en informatique, peut dire de quel pays provient l’individu recherché et quelle organisation a fourni sa connexion à internet. À cette étape il y a 2 possibilités : soit il s’agit d’un fournisseur d’accès internet personnel comme Vidéotron ou bien il s’agit d’une institution (gouvernementale, institutionnelle ou une entreprise privée). Dans le premier cas, les fournisseurs conservent, durant un certain temps, l’information permettant d’associer adresse IP à leur client. Toutefois, cette information doit normalement être protégée par l’entreprise en respect de la Loi sur la protection des renseignements personnels dans le secteur privé. Les rumeurs sont à l’effet que certains fournisseurs respectent mieux la confidentialité des informations de leurs clients (tels que Bell Sympatico) que d’autres (tels que Vidéotron).

Dans le deuxième cas, celui d’une institution, une difficulté supplémentaire se présente. Il faut savoir que le nombre d’adresses IP est limité et que, par conséquent, elles sont rares et relativement couteuses. Pour pallier à ce problème, les institutions publiques et privées ont recours à des procédés technologiques leur permettant d’utiliser une seule adresse IP pour tout leur parc informatique. En fait, c’est un peu le même principe qui s’applique si vous avez plus d’un ordinateur à la maison tous reliés à internet via un routeur. Dans ce cas de figure, comment savoir exactement de quel ordinateur provient l’acte frauduleux? C’est quelque chose de très difficile à déterminer, surtout s’il s’est écoulé beaucoup de temps entre l’évènement et l’enquête.

Une fois toutes ces épreuves surmontées et l’ordinateur identifié, si cela a été possible, il reste à déterminer qui l’a utilisé au moment de l’attaque. Dans le cas d’une résidence, la liste de suspects est courte et il est probablement facile de déterminer qui est le responsable. Dans le cas d’une entreprise privée où chaque employé a son propre poste informatique, c’est également assez facile. La tâche se complique quelque peu si l’ordinateur identifié est un poste mis à la disposition d’une multitude d’utilisateurs comme dans une bibliothèque par exemple.

Comme si tous ces obstacles courants n’étaient pas suffisants, il peut se présenter des cas particuliers. Notamment, ces dernières années nous avons connu une expansion fulgurante des réseaux sans-fils. Le problème est que la très grande majorité des réseaux sans-fils domestiques, et parfois même ceux des petites entreprises, ne sont aucunement sécurisés et sont ouverts au public. Si vous voulez en avoir la preuve, promenez vous en voiture dans quelques quartiers de Montréal armé de votre ordinateur portable et vous serez impressionnés de voir le nombre de réseaux auxquels vous pourrez vous connecter d’un simple clic de souris sans aucun mot de passe. Si l’ordinateur identifié fait donc parti d’un tel réseau, comment s’assurer que la personne recherchée ne s’est pas également promené dans les rues équipée de son ordinateur portable à la recherche d’un réseau non sécurisé?

Même dans la situation la plus simple soit celle où l’ordinateur identifié serait le seul d’une résidence où une personne habite seule, il est possible que les choses se compliquent infiniment. Le cauchemar des experts en sécurité porte le nom d’«ordinateur zombie». C’est ainsi qu’on désigne un ordinateur qui, en apparence, fonctionne très bien, mais qui a été en réalité infecté par un virus. Ce virus reste inactif jusqu’au jour où un esprit malveillant l’active pour pouvoir passer à travers cet ordinateur, l’utilisant comme relai, pour réaliser ses cyberdélits. 50 à 80% de tous le pourriel (spam en anglais) que vous recevez est envoyé par ces ordinateurs zombie de particuliers comme vous et moi. Si la personne suspectée par les autorités peut prouver que son ordinateur est effectivement un ordinateur infecté, ce qui est plutôt simple, comment être sur, encore une fois, qu’on a la bonne personne?

Je finirai avec un dernier exemple. Vous avez sans doute déjà regardé un film ou une série télévisée comme 24 dans laquelle les « méchants » utilisaient plusieurs relais à travers le monde pour brouiller leur piste? Eh bien sachez que ce n’est pas du tout de la science-fiction et que cette technique pour brouiller les pistes est accessible à n’importe quel utilisateur lambda. C’est effectivement ce que vous permet de faire gratuitement le logiciel Tor. Le leitmotiv de ce système est l’anonymat pour tous et il n’est évidemment pas conçu pour les esprits malveillants, mais…

J’espère ne pas vous avoir perdu dans toutes ces technicalités. Si oui, imaginez un jury tout aussi néophyte que vous qui se ferait adroitement expliqué en détails tout cela par l’avocat de la défense… Dans ces conditions, comment établir la culpabilité hors de tout doute raisonnable des cyber-délinquants qui se font de plus en plus nombreux? Je crois qu’il sera, tôt ou tard, nécessaire que les juristes de demain que nous sommes réfléchissent à un encadrement législatif plus adapté à la cybercriminalité…

Note: Cet article a été publié dans l’édition du 18 septembre 2007 du Pigeon Dissident, journal étudiant de la Faculté de Droit de l’Université de Montréal.