La cybersécurité et la montée du vigilante hacker

Les données obtenues illégalement peuvent-elles être utilisées dans le cadre d’une procédure civile?

Écrit par Ruth Promislow and Lauren Shneer

Dans le monde des cyberpirats et des fuites, il existe deux catégories générales d’acteurs: les fraudeurs qui volent des données afin d’obtenir un profit, et les « hacktivistes » qui exposent les données, prétendument pour le plus grand bien.

Les attaques de pirates informatiques vigilantes mettent en évidence un problème émergent dans le monde de la cybersécurité: les données obtenues illégalement peuvent-elles être utilisées dans une procédure civile? Un examen de la jurisprudence au Canada donne à penser que les tribunaux permettront son utilisation à condition que la cyberattaque ait été commise par un tiers et non par le plaideur lui-même.

Les incidents de hacktivisme sont à la hausse. Les cas très médiatisés comprennent la publication des Panama Papers, une base de données contenant plus de 11,5 millions de documents volés, la publication par Edward Snowden des dossiers de surveillance mondiale de la National Security Agency des États-Unis,1 et la création par Julian Assange de WikiLeaks, qui continue de publier anonymement des « documents officiels restreints »². Plus récemment, le groupe anarchiste numérique, Anonymous, a annoncé « une guerre de cyberattaque contre la Banque d’Angleterre et [la] Bourse de New York ». ³

Avec la publication des Panama Papers, des représentants de l’État du monde entier se seraient emparés des éléments de preuve pour ouvrir des enquêtes ou des enquêtes visant les personnes identifiées dans les données volées. Avec la publication ultérieure de la base de données interrogeable contenant 200 000 documents des Panama Papers, on peut s’attendre à ce que ces éléments de preuve soient également invoqués dans les procédures civiles.

L’admissibilité des données volées a récemment été abordée par la Cour fédérale du Missouri dans un recours collectif intenté contre Avid Life Media Inc., la société qui possède et exploite AshleyMadison.com. ⁴ En l’espèce, les demandeurs ont cherché à s’appuyer sur des documents qu’ils ont obtenus uniquement à la suite de la cyberattaque « altruiste » perpétrée contre l’entreprise et ses membres. En réponse, les défendeurs ont présenté une requête pour empêcher les demandeurs d’utiliser les documents volés. ⁵

Le piratage d’Ashley Madison a été exécuté par un groupe de pirates informatiques appelé The Impact Team, des cyber-justiciers autoproclamés en mission morale pour fermer le site et exposer les « dirtbags tricheurs » qui l’utilisent. ⁶ Le cyber-groupe anonyme a finalement divulgué des millions de renseignements personnels et financiers des utilisateurs d’Ashley Madison, ainsi que des discussions internes concernant la sécurité des données d’entreprise.

En examinant s’il y a eu raison de permettre aux demandeurs de se référer aux données autrefois confidentielles pour prouver leur cas, le juge John A. Ross a répondu par la négative. ⁷ Son Honneur a fait remarquer que même si les documents avaient déjà été publiés en ligne, cela ne changeait pas leur caractère confidentiel ou le fait qu’ils avaient été volés. Le juge Ross a expliqué que les renseignements volés [traduction] « ne peuvent pas constituer le fondement d’une croyance de bonne foi en matière de preuve à l’appui d’un acte de procédure »⁸ et a conclu que les demandeurs n’avaient pas le droit légal d’utiliser ces documents jusqu’à ce qu’ils soient divulgués pendant le litige. ⁹

Un examen de la jurisprudence canadienne pertinente donne à penser que nos tribunaux peuvent trancher la question différemment.

Comme point de départ, la Cour suprême du Canada a statué que les éléments de preuve pertinents, peu importe la façon dont ils ont été obtenus, sont présumés admissibles. ¹⁰ Bien que cette présomption soit réfutable, presque toutes les interdictions générales d’utiliser ou de communiquer des données « volées » surviennent dans le contexte criminel relativement à des données obtenues de façon irrégulière par la police et à la protection des droits garantis par la Charte. ¹¹

Dans le contexte civil, il n’existe aucune mesure de protection inhérente empêchant la conservation, l’utilisation ou la divulgation d’éléments de preuve obtenus au moyen d’une cyberattaque. Ce sont les règles de preuve¹² et la procédure civile qui régissent les conditions et les limites d’admissibilité des éléments de preuve piratés ou divulgués.

En vertu des Règles de procédure civile de l’Ontario (les Règles)¹³, par exemple, les parties sont tenues de produire tous les documents non privilégiés (y compris ceux sous forme électronique) qui se rapportent aux questions en litige, peu importe à quel point ils peuvent être personnels ou confidentiels. Par conséquent, dans la mesure où les renseignements obtenus dans le cadre de la cyberattaque sont pertinents, non privilégiés, et sont en la possession ou sous le contrôle de l’une des parties au litige, les éléments de preuve sont susceptibles d’être produits dans le cadre du litige.

Dans l’affaire Osiris Inc. c. 1444707 Ontario Ltd.14^, un employé a piraté le serveur de son employeur et volé plus de 2 000 documents dans le but de se protéger contre une sanction pour avoir refusé de participer à la conduite contraire à l’éthique de son employeur. L’employé a ensuite remis ces dossiers aux demandeurs d’une poursuite civile intentée contre le même employeur. La Cour a fait remarquer que la Loi ^{no 15} sur la protection des renseignements personnels et les documents électroniques n’usurpait pas la compétence légale du juge de se prononcer sur l’admissibilité et que toute plainte au commissaire à la protection de la vie privée était une question distincte. ¹⁶ La Cour a permis aux demandeurs d’utiliser les dossiers volés, déclarant ce qui suit : [traduction] « [l]a loi selon laquelle les éléments de preuve obtenus illégalement ne sont pas, en soi, inadmissibles dans les procédures civiles ». ^{17 ans}

Dans l’arrêt Solara Technologies Inc. c. Bearda18^, la Cour d’appel de la Colombie-Britannique s’est penchée sur la question de savoir s’il y avait moyen d’admettre des éléments de preuve obtenus au moyen d’une ordonnance Anton Piller obtenue de façon irrégulière. La Cour a jugé que l’exclusion des éléments de preuve pertinents aurait pour effet d’empêcher le tribunal d’obtenir justice. Bien qu’elle ne soit pas directement pertinente, cette décision souligne l’accent mis par les juges sur l’inclusion d’éléments de preuve pertinents.

Cependant, les tribunaux ont critiqué les plaideurs qui obtiennent des éléments de preuve par le biais de mécanismes d'« auto-assistance », ce qui laisse entendre qu’une partie à un litige ne sera pas autorisée à se fier à des documents qu’elle a obtenus illégalement.

Dans l’affaire Autosurvey Inc. c. Prevost19^, l’entreprise avait piraté le serveur privé de son ancien employé et tout ce qui s’y trouve pour préserver les éléments de preuve potentiels, y compris les communications privées échangées entre l’employé et son avocat. Le tribunal a non seulement rejeté les éléments de preuve volés, mais a suspendu entièrement la procédure, réprimandant l'«entrée par force brute » du demandeur dans le serveur informatique du défendeur. ²⁰

Dans l’affaire Miller c. ^Miller21, l’avocat a cherché à utiliser une lettre dont il savait probablement qu’elle avait été volée par sa cliente, Mme Miller, dans le dossier de litige privé de son père. L’avocat de M. Miller a demandé au tribunal d’exclure la lettre de la preuve. La Cour a statué que même si le document n’était pas privilégié (puisque, à ce moment-là, le privilège avait été renoncé), l’avocat aurait dû soulever la question avant de s’appuyer sur le document. ²² Mme Miller et son avocat ont reçu l’ordre de retourner tous les documents tirés du dossier de M. Miller, et l’avocat de Mme Miller a été disqualifié à titre d’avocat inscrit au dossier. ^{23 ans}

Dans l’affaire Firemaster Oilfield Services Ltd. v. Safety Boss (Canada) (1993) Ltd.24, la Cour a refusé d’admettre des documents obtenus dans le cadre d’une instance distincte qui étaient assujettis à une entente de confidentialité. La Cour a conclu que, que les documents soient privilégiés ou non, « l’obligation de traiter honorablement et avec intégrité avec d’autres avocats ne peut que mener à la conclusion [...] qu’il n’y a pas de droit de conserver des documents obtenus de façon irrégulière ». ²⁵ Même si les documents auraient pu être produits dans le s’il y avait lieu de faire l’objet d’interrogatoires préalables, la cour a déclaré que les avocats avaient eu tort de s’aider eux-mêmes. La preuve a été rejetée et les avocats ont été condamnés à payer les dépens de la demande. ^{26 ans}

Conclusion

Compte tenu de la jurisprudence ci-dessus, il y a des raisons de croire que, contrairement à l’approche adoptée par la Cour fédérale du Missouri dans l’affaire Ashley Madison, les éléments de preuve obtenus illégalement seront admis à condition que le plaideur lui-même n’ait pas commis la cyberattaque.

La montée du hacker vigilante a conduit certains à remettre en question l’bien-fondé d’admettre des données volées car elles peuvent être considérées comme des encouragements à d’autres actes de hacktivisme. Il reste à voir si cet argument de politique publique modifiera l’approche actuelle au Canada.

Remarques :

¹ Voir : Rusbridger, Alan; MacAskill, Ewen « Edward Snowden interview – the edited transcript ». The Guardian (18 juillet 2014).

² En ligne : https://wikileaks.org/.

³ Voir la vidéo publiée par Anonymous sur sa chaîne youtube. En ligne : https://www.youtube.com/watch?v=mdjRkLGEa5I (4 mai 2016).

⁴ In re Ashley Madison Customer Data Security Breach Litigation, No. 15-2669, E.D. Mo.; 2016 U.S. Dist. LEXIS 57619 [Ashley Madison].

⁵ Requête en ordonnance de protection interdisant l’utilisation de documents volés par les demandeurs ou leur avocat (doc. no 115); Avid Life Media Inc. a également déposé un avis de pouvoir supplémentaire lié à sa requête en ordonnance de protection le 5 avril 2016 (doc. no 137).

⁶ Republié en ligne par KrebsOnSecurity.com, le site d’informations et d’enquêtes approfondies sur la sécurité qui a annoncé la nouvelle du piratage. Voir: KrebsOnSecurity, « Site de tricherie en ligne AshleyMadison Hacked » (Juillet 2015), en ligne: https://krebsonsecurity.com/2015/07/online-cheating-site-ashleymadison-hacked.

⁷ Ashley Madison, supra, note 1 (ordonnance du 29 avril 2016, doc. no 2669).

⁸ Ibid à la p. 8.

⁹ Ibid aux pp. 9-10.

¹⁰ Queen c Wray, [1971] R.C.S. no 272 (C.S.C.); Sopinka et Lederman et al., « The Law of Evidence in Canada; Second Edition » (Butterworths & Company (Canada) Limited, 1999).

¹¹ Il existe cependant des exemples de tribunaux qui admettent des éléments de preuve dans une procédure criminelle obtenus par un tiers pirate informatique, par exemple voir : R. c. Spencer, 2014 CSC 43.

^{12 ans} Même lorsqu’ils ne sont pas présumés exclus, pour être admis, la preuve doit satisfaire aux critères énoncés dans la Loi sur la preuve au Canada, L.R.C. 1985, c C-5, qui « s’applique à toutes les procédures criminelles et à toutes les procédures civiles > < ».
¹³ R.R.O. 1990, Reg. 194 (les Règles).

¹⁴ [2005] O.J. no 5527 (C. sup.).

¹⁵ L.C. 2000, ch. 5

¹⁶ Supra note 21 au para 84.

¹⁷ Ibid au para 75.

¹⁸ 2007 BCCA 402

¹⁹ [2005] O.J. no 4291 (C. sup.) [Autosurvey] [cité avec approbation plus récemment dans l’affaire Financière Banque Nationale Ltée c. Succession Barthe, 2015 LSRN 47, au para 226].

²⁰ Ibid au para 19.

²¹ [2000] A.J. no 34 (C.R.).

²² Ibid au para 6.

²³ Ibid au para 5.

²⁴ [2000] A. J. no 1466 (Q. B.), confirmé [2001] A.J. no 1317 (C.A.),

²⁵ Ibid au para 22.

²⁶ Ibid au para 35.