Le CRTC a imposé des amendes à l’endroit de deux entreprises qui auraient facilité l’installation de logiciels malveillants par l’entremise de publicités diffusées en ligne.

Le CRTC impose ses premières amendes liées aux logiciels malveillants

MONTRÉAL - Pour la première fois depuis l’entrée en vigueur de la loi antipourriel en 2014, le Conseil de la radiodiffusion et des télécommunications canadiennes (CRTC) a imposé des amendes à l’endroit de deux entreprises qui auraient facilité l’installation de logiciels malveillants par l’entremise de publicités diffusées en ligne.

Dans un communiqué émis mercredi, le CRTC a précisé que Datablocks devrait débourser 100 000 $, alors que Sunlight Media s’est fait imposer une amende de 150 000 $.

Ces deux sociétés évoluent dans le secteur de la publicité en ligne. Selon le CRTC, les publicités en ligne sont l’une des principales sources de diffusion des logiciels malveillants.

Dans le cadre d’une enquête qu’il a décrite comme «extrêmement complexe», le CRTC a notamment mené une perquisition.

Les deux entreprises - qui ont violé la Loi canadienne antipourriel - ont maintenant 30 jours pour présenter des observations écrites au CRTC ou encore pour payer la pénalité.

Le CRTC spécifie que Sunlight Media «a accepté des clients non vérifiés et anonymes qui ont utilisé ses services pour diffuser des logiciels malveillants».

Quant à Datablocks, l’entreprise «a fourni l’infrastructure et le logiciel permettant aux clients de Sunlight Media de concourir en temps réel pour le placement de leurs publicités, qui contenaient des logiciels malveillants».

«Le réseau publicitaire Sunlight Media se sert de la plate-forme d’enchères de Datablocks pour mener des activités à titre de courtier entre les annonceurs et les éditeurs», a précisé le CRTC dans le communiqué.

Le groupe a ajouté qu’aucune des deux entreprises n’avait fait signer de contrat à leurs clients pour s’assurer qu’ils respectent la loi antipourriel ou n’avaient émis une politique claire à ce sujet.

Les deux compagnies n’avaient déployé aucune mesure de surveillance pour encadrer l’utilisation de leurs services, a souligné l’organisme fédéral.

Celui-ci ajoute que des chercheurs en cybersécurité avaient pourtant averti les deux compagnies, en 2015, de la présence de failles dans leurs activités. Celles-ci n’ont toutefois pas «mis en place les mesures de protection fondamentales qui sont bien connues dans l’industrie», déplore le CRTC.