Le 23 juin, le Conseil de la radiodiffusion et des télécommunications canadiennes (CRTC) a annoncé sa décision d’obliger les fournisseurs canadiens de services de télécommunication à bloquer les réseaux de zombies dans leur réseau. Avant de déterminer les exigences détaillées d’un cadre de blocage des réseaux de zombies, le Conseil a soumis un ensemble de questions au Comité directeur du CRTC sur l’interconnexion (CDCI) aux fins d’examen. Composé de représentants de diverses entreprises du secteur des télécommunications, le CDCI a été mis sur pied par le CRTC pour contribuer à l’élaboration de renseignements, de procédures et de lignes directrices venant appuyer les activités réglementaires.
Tirant parti de son expertise en tant qu’exploitant du domaine de premier niveau .CA et fournisseur de services de cybersécurité fondés sur le DNS, CIRA a soumis une observation qui présente son point de vue sur le blocage des réseaux de zombies en réponse à l’avis de consultation 2021 du CRTC. De façon générale, nous sommes en faveur de plusieurs éléments de la décision du CRTC, mais nous reconnaissons également que de nombreux détails doivent être réglés par le CDCI dans les prochains mois afin de déterminer avec exactitude comment s’articuleront ces nouvelles exigences réglementaires. Nous prévoyons participer au processus du CDCI afin de trouver le meilleur cadre possible pour nous attaquer aux activités d’ordinateurs zombies sur les réseaux canadiens.
PRINCIPES DIRECTEURS ET PORTÉE
Dans notre observation, nous avons invité le CRTC à adopter la transparence, la non-discrimination, la nécessité et la proportionnalité comme principes directeurs d’un cadre visant à bloquer les réseaux de zombies. Heureusement, tous ces principes sont représentés dans le libellé de la décision. L’importance accordée par le Conseil à la nécessité nous encourage particulièrement. La décision précise que le cadre doit être appliqué exclusivement à des fins de cybersécurité, et le Conseil indique clairement n’avoir aucune intention d’obliger les fournisseurs de services de télécommunication à bloquer d’autres formes d’activités illégales ou à utiliser le blocage à des fins commerciales, concurrentielles ou politiques.1
Dans notre observation, nous avons également fortement mis en garde contre le fait d’utiliser un cadre de blocage du trafic à des fins de sécurité du réseau pour justifier des mesures de blocage ou de filtrage de contenu. Plusieurs autres répondants ont exprimé cette préoccupation et il est clair dans la décision que le CRTC partage également ce point de vue. Dans son état actuel, le corps de la politique qui habilite les fournisseurs de services de télécommunication à bloquer le trafic à des fins de sécurité est compris dans la Politique réglementaire de télécom 2009-657, qui traite des pratiques de gestion du trafic Internet, mais qui ne fournit pas de recommandation détaillée particulière pour le traitement des menaces à la sécurité des réseaux. Par conséquent, nous avons mentionné qu’il sera utile pour le Conseil de définir soigneusement les circonstances particulières où les fournisseurs de services de télécommunication peuvent légalement bloquer le trafic à des fins de sécurité et d’intégrité des réseaux.
Dans son avis de consultation, le CRTC s’en est tenu à la question du blocage des réseaux de zombies. Cependant, les observations soumises par les fournisseurs de services de télécommunication et d’autres acteurs du domaine de la sécurité des réseaux indiquent clairement l’existence d’autres indicateurs de compromission (IdC) préoccupants que les fournisseurs atténuent actuellement en bloquant le trafic. La décision précise que « les réseaux de zombies, les maliciels et les intrusions informatiques sont interconnectés, ce qui rend peu pratique et inefficace le fait de bloquer uniquement le trafic des réseaux de zombies et de ne pas bloquer les autres types d’IdC », et que « la justification stratégique du blocage du trafic des réseaux de zombies (c.-à-d. le préjudice causé aux Canadiens par les cybermenaces) s’applique également aux autres IdC ».2 Les paramètres de cette décision demeurent limités aux réseaux de zombies, mais nous ne serons pas étonnés si le rapport du CDCI recommande qu’un cadre de blocage comprenne d’autres catégories de cybermenaces.
COMPÉTENCE
L’observation présentée par CIRA visait en grande partie à déterminer si le Conseil a l’autorité nécessaire pour mandater les fournisseurs de services de télécommunication à bloquer certains types de trafic.Notre analyse de la Loi sur les télécommunications nous a permis de conclure que le Conseil détient la compétence pour établir un cadre de blocage non obligatoire au niveau du réseau seulement.Nous avons recommandé que le Conseil accorde une autorisation limitée aux fournisseurs de services de télécommunication à bloquer le trafic malveillant, mais nous ne sommes pas parvenus à la conclusion que le CRTC a l’autorité de mandater les fournisseurs de services de télécommunication à bloquer le trafic.
CIRA n’a pas été la seule à remettre en question la compétence du CRTC à ce chapitre. Bell Canada, Eastlink, INFOSECSW, Internet Society, l’ITPA et la CCSA, RCCI, TCI et Xplornet sont tous allés un peu plus loin que CIRA en affirmant que l’intervention réglementaire est entièrement inutile puisque de nombreux FSI signalent déjà les IdC de réseaux de zombies et de maliciels par l’entremise de groupes de travail du Comité consultatif canadien pour la sécurité des télécommunications (CCCST) et d’autres forums sectoriels.
Dans cette décision, le CRTC conclut toutefois avoir la compétence pour obliger les fournisseurs de services de télécommunication à bloquer le trafic. Afin d’appuyer cette décision, le Conseil note que les preuves soumises par les fournisseurs de services de télécommunication démontrent qu’il n’existe pas d’approche uniforme en matière de blocage des IdC parmi les fournisseurs canadiens et que très peu de mesures disponibles provenant de ceux-ci indiquent qu’ils surveillent les événements de blocage ou les infections. En outre, le Conseil ne considère pas le Comité consultatif canadien pour la sécurité des télécommunications (CCCST) comme un forum adéquat pour partager les IdC de réseaux de zombies ou de maliciels, privilégiant plutôt une approche réglementaire qui fournirait un niveau de référence de filtrage pour l’ensemble des fournisseurs.
CENTRALISATION OU DÉCENTRALISATION
Nous avons soutenu que la meilleure option consiste en une approche décentralisée de blocage des réseaux de zombies sans point de défaillance unique, et que les divers fournisseurs de listes de blocage qui participeraient à ce cadre devraient se conformer à certaines normes et exigences de service. Cette méthode tiendrait compte de l’approche actuelle de résolution des enjeux de cybersécurité à plusieurs intervenants qui est largement adoptée par le secteur des exploitants de réseaux.
Le Conseil prétend toutefois « qu’une liste de blocage centralisée est l’option la plus efficace et efficiente »,3 mais qu’une « centralisation complète n’est pas nécessairement requise ».4 Plusieurs observations ont proposé de privilégier une certaine forme de centralisation auprès d’un tiers indépendant ayant de l’expertise en cybersécurité plutôt que de laisser à chaque fournisseur de services de télécommunication le soin de concevoir des solutions pour son propre réseau.
Le CST et le CCC ont suggéré CIRA comme candidat à ce rôle. Il s’agit d’une question ouverte dont les détails seront réglés avec le CDCI au cours des neuf prochains mois. Du point de vue de CIRA, tout tiers agissant comme autorité centrale de compilation des IdC jouerait le rôle d’organisateur et de compilateur et dépendrait de l’écosystème existant de flux de menaces liées à la cybersécurité.
ADHÉSION ou RETRAIT
Dans l’avis de consultation, le Conseil a demandé si les utilisateurs doivent avoir la possibilité d’adhérer à un système de blocage des réseaux de zombies ou de s’en retirer. Dans son avis préliminaire énoncé dans la décision, le CRTC a exprimé une préférence pour un modèle de « blocage par défaut ». En raison de nos préoccupations quant à la compétence du CRTC, nous croyons que celui-ci n’a pas l’autorité de mandater un système de blocage d’une manière ou d’une autre. Au lieu de cela, son rôle devrait consister à approuver ou à refuser les cadres de blocage proposés individuellement par les fournisseurs de services de télécommunication. Par conséquent, nous avons demandé au CRTC d’approuver les modèles où le blocage est « activé par défaut », et où les utilisateurs ont la possibilité de se retirer facilement du système de blocage des menaces offert par leur fournisseur.[5] Néanmoins, le CRTC maintient son avis préliminaire selon lequel il faut bloquer par défaut les réseaux de zombies sans offrir de mécanisme de retrait. Il note également que les utilisateurs auraient encore l’option d’utiliser un réseau privé virtuel ou d’autres résolveurs de DNS n’appartenant pas à leur fournisseur de services de télécommunication afin de contourner le filtrage des menaces de leur fournisseur de services Internet (FSI).
CLARIFICATIONS
Enfin, nous souhaitons clarifier une affirmation faite par le CRTC dans la décision en ce qui concerne le service du Bouclier canadien de CIRA. Le paragraphe 63 indique que CIRA a récemment conclu un partenariat avec Mozilla Firefox en vertu duquel le service est activé par défaut pour les utilisateurs du navigateur Web. Le paragraphe mentionne notamment ce qui suit :
« Dans le cadre de ce partenariat, le trafic Web des utilisateurs canadiens de Mozilla Firefox est filtré par défaut par l’infrastructure de blocage du Bouclier canadien de CIRA. Cette initiative a été déployée au cours de la présente instance. Elle a commencé en juillet 2021 et elle a atteint l’ensemble des utilisateurs canadiens de Mozilla Firefox à la fin septembre 2021. »
Bien qu’il soit exact que le Bouclier canadien soit activé pour les utilisateurs de Mozilla Firefox, le niveau de service dans le navigateur ne filtre pas les menaces liées à la cybersécurité. L’option activée dans le navigateur Firefox représente l’option de premier niveau (« Privé ») du Bouclier canadien, qui résout les requêtes DNS au moyen du protocole DNS sur HTTPS, mais qui n’inclut pas la protection contre les réseaux de zombies. Le niveau 2 est l’option « Protégé », qui effectue un filtrage afin de protéger contre les maliciels, l’hameçonnage, les réseaux de zombies et les escroqueries. Enfin, le niveau 3 est l’option « Familial », qui, en plus des capacités du niveau 2, offre le blocage du contenu pornographique. Les utilisateurs peuvent activer les options Protégé et Familial en réglant leurs paramètres de DNS sur le service de résolution de CIRA.
PROCHAINES ÉTAPES
Nous sommes ravis de constater qu’un grand nombre de recommandations présentées dans notre observation en réponse à l’avis de consultation ont été prises en compte dans la décision du CRTC. Après tout, la mission de CIRA est de bâtir un Internet fiable pour les Canadiens. L’application rigoureuse d’une atténuation des menaces par les exploitants de réseaux est essentielle pour instaurer la confiance envers la sécurité et la stabilité de l’Internet au Canada. Un cadre pour limiter le trafic des réseaux de zombies aidera à y parvenir, mais l’atténuation des menaces doit aussi être contrebalancée par les principes de nécessité, de transparence et de proportionnalité. Nous poursuivrons notre participation au groupe de travail Réseau du CDCI visant à aider à proposer les paramètres techniques de base du système de blocage des réseaux de zombies afin de limiter les menaces liées aux réseaux de zombies au Canada.
1. CRTC, Décision de télécom 2022-170, 23 juin 2022, Annexe 1 https://crtc.gc.ca/fra/archive/2022/2022-170.htm
2. Ibid., par. 131
3. Ibid., Annexe 2
4. Ibid., par. 110
5. CIRA, Intervention of the Canadian Internet Registration Authority in CETNC 2021-9, March 15, 2022, para. 83 https://static.cira.ca/2021-03/CETNC%202021-9%20-%20CIRA%20intervention.pdf
