Les botnets sont constitués d’appareils connectés à Internet qui ont été infectés par un logiciel malveillant et sont sous le contrôle d’un acteur criminel. Ces appareils peuvent être des ordinateurs, des routeurs ou d’autres objets dits intelligents. Pour envoyer des instructions et des mises à jour, l’opérateur a recours à un serveur de «contrôle et de commande» (serveur C2). Celui-ci peut ensuite utiliser les zombies pour diffuser des pourriels, distribuer des rançongiciels ou lancer des attaques de déni de service.

La neutralité, principe fondateur d’Internet

La neutralité du réseau est le principe selon lequel on ne doit pas faire de discrimination du contenu du trafic qui circule sur la toile. Un fournisseur ne peut donc pas, par exemple, bloquer ou ralentir le contenu d’un concurrent.

Pour Philippe de Grosbois, professeur de sociologie et auteur du livre Les batailles d’Internet (Écosociété, 2018), un filtrage de cette nature est une atteinte à cette neutralité. Celle-ci est importante, car il «s’agit d’un des fondements de l’Internet tel qu’on le connaît et l’apprécie». Cette neutralité empêche la discrimination et le favoritisme envers le contenu qui circule sur le web et permet à des voix plus marginales de se faire entendre. Pour y porter atteinte, une raison légitime est nécessaire et le CRTC a le fardeau de la preuve. Il doit démontrer qu’il fait face à une menace grave et qu’il n’a pas d’autres choix. «Il faut montrer qu’on a réfléchi à des alternatives», souligne-t-il.

Le danger posé par les botnets

Les méfaits causés par ces réseaux sont bien réels. La compagnie de cybersécurité Emisoft a publié une étude sur le coût des rançongiciels par pays pour l’année 2020. En tenant compte des sommes payées en rançon et des coûts reliés au temps d’arrêt, la facture estimée s’élèverait à 1,76 milliard de dollars américains.

Le CRTC propose donc de mettre en place un cadre de blocage à l’échelle des réseaux. Ce cadre donnerait la responsabilité aux fournisseurs d’accès à Internet de filtrer et bloquer le trafic des botnets, sous la supervision d’«une partie indépendante spécialisée en cybersécurité». L’objectif est d’empêcher la communication entre les appareils infectés et leurs serveurs C2 en filtrant les diverses façons qu’utilisent ces appareils pour communiquer entre eux. Contacté afin d’avoir des précisions, le CRTC a répondu que l’organisme n’émettait pas de commentaire en période de consultation.

Un précédent à ne pas banaliser

«Il faut faire attention au précédent que cela installe.» M. de Grosbois rappelle qu’en 2018, la coalition Franc-Jeu Canada, regroupant des sociétés telles que Bell, Cogeco, Québecor, et d’autres, avait fait une requête au CRTC afin d’avoir le droit de bloquer les sites web offrant du matériel piraté. Le Conseil a rejeté cette demande. Utiliser le blocage comme solution au problème des botnets pourrait inciter des groupes, comme la coalition Franc-Jeu, à revenir à la charge pour défendre l’instauration de filtres pour d’autres contenus.

Selon Luc Lefebvre, président et cofondateur de l’organisme Crypto.Québec, un organisme de défense des libertés civiles, «la neutralité du net est une valeur qui n’est pas négociable». Lorsqu’on lui demande si la menace ne justifie pas ce genre de programme, M. Lefebvre fait le parallèle avec l’application de traçage Alerte COVID. «Au début, le gouvernement se drape dans la vertu et ceux qui s’y opposent passent pour des méchants». Une fois implanté, il est difficile de reculer et il est tentant pour l’État d’ajouter des menaces à filtrer. Il rappelle que dans le cas d’Alerte COVID, le gouvernement a annoncé en février que celle-ci se mettrait à collecter plus de données qu’annoncé initialement.

Pour Crypto.Québec, d’autres avenues sont à explorer. Le gouvernement se doit d’investir en cybersécurité. «Ce n’est pas aux utilisateurs de subir l’incompétence technologique du gouvernement et de voir certaines de leurs libertés limitées». L’appel aux observations se poursuit jusqu’au 15 mars, le CRTC analysera ensuite les avis reçus et rendra sa décision.