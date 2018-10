UN LOGICIEL CONTROVERSÉ

Le « dragon » Martin-Luc Archambault doit une partie de sa fortune à un logiciel qu'il a présenté comme un « moteur de recherche sociale à succès », mais qui s'est plutôt introduit dans l'ordinateur de millions de personnes dans le monde - souvent à leur insu - pour les bombarder de publicités intempestives.

Wajam Internet Technologies Inc., l'entreprise créée par M. Archambault en 2009 pour offrir ce logiciel, a stocké les données brutes de ces millions d'utilisateurs non consentants dans une gigantesque base de données à Montréal, alors qu'elle assurait faussement utiliser des « méthodes de chiffrement modernes » pour protéger leurs renseignements personnels.

C'est ce qui ressort d'un rapport d'enquête du Commissariat à la protection de la vie privée du Canada. Passé inaperçu lorsqu'il a été déposé, à l'été 2017, ce document conclut que Wajam a « enfreint de nombreuses dispositions de la Loi sur la protection des renseignements personnels et les documents électroniques ».

« Notre enquête a révélé que les pratiques de l'intimée avaient mené à l'installation du logiciel ainsi qu'à la collecte et à l'utilisation de renseignements personnels sans consentement valable de l'utilisateur, ce qui contrevient à la Loi. »

- Extrait du rapport du Commissariat à la protection de la vie privée du Canada sur l'entreprise montréalaise Wajam

Placée devant les conclusions du Commissariat, Wajam a répliqué qu'elle ne pouvait rien y faire, puisqu'au cours de l'enquête, elle avait vendu tous ses actifs à une société chinoise. De nombreux indices laissent croire cependant que Wajam a simplement déménagé à Hong Kong (voir texte suivant).

Dans un bref entretien téléphonique avec La Presse, M. Archambault a affirmé qu'il n'avait « pas vraiment rapport là-dedans » et qu'il n'avait « pas de commentaire à faire là-dessus », avant de raccrocher.

Par la suite, un porte-parole de M. Archambault nous a transmis une déclaration par courriel. « En 2017, Wajam a vendu ses actifs à Iron Mountain Technology Limited, à l'exception des données sur les utilisateurs canadiens, qui ont été détruites volontairement et en toute sécurité. L'entreprise a alors cessé toutes ses opérations », a assuré le porte-parole.

Fausse promotion

M. Archambault participe à l'émission Dans l'oeil du dragon de Radio-Canada depuis 2015, année où il a aussi créé AmpMe, une application permettant de synchroniser plusieurs téléphones mobiles pour en faire une chaîne audio portable.

Investisseur en série, M. Archambault a fondé Wajam Internet Technologies Inc. avec deux associés en 2009. Le logiciel offert par Wajam permettait en principe à l'utilisateur qui faisait une requête par mots-clés sur l'internet d'avoir accès aux résultats de recherche obtenus par ses contacts dans les réseaux sociaux. « Quand vous lancez une recherche, Wajam vous montre ce que vos amis ont partagé », expliquait l'entreprise sur son site web.

Or, la réalité était tout autre, a découvert le Commissariat, qui a lancé son enquête après avoir reçu une plainte, en septembre 2016. Contrairement à ce qu'affirmait Wajam sur son site web, il n'était plus possible de lier le logiciel à Google+ depuis 2012, à LinkedIn depuis 2013 et à Facebook depuis 2014. Malgré tout, l'entreprise « a continué de promouvoir et de commercialiser fortement la capacité de lier le logiciel aux sites de médias sociaux longtemps après que les liens [eurent] cessé d'être offerts ».

Loin d'être le moteur de recherche sociale qu'il prétendait être, Wajam n'était rien de plus qu'un logiciel publicitaire distribué comme complément à d'autres logiciels sans aucun rapport - un convertisseur de fichiers PDF, par exemple - et téléchargeables gratuitement sur l'internet.

Entre 2011 et 2016, Wajam a conclu plus de 50 ententes avec des distributeurs, qui ajoutaient le logiciel à des logiciels gratuits offerts sur leurs propres sites web. Puisque Wajam rémunérait ses distributeurs chaque fois que son logiciel était installé, ces derniers avaient avantage à multiplier les installations - quitte à afficher des écrans de consentement nébuleux, imprécis ou trompeurs.

« Le modèle de distribution adopté par l'intimée semble avoir connu un franc succès - selon elle, le logiciel avait été installé des "centaines de millions" de fois au moment de l'enquête », révèle le rapport du Commissariat.

C'est ainsi que Wajam a engrangé des bénéfices nets de 4,2 millions en 2013 et de 3,6 millions en 2014. À cette époque, la valeur marchande de ses actions a été établie à 28 millions par la firme Raymond Chabot Grant Thornton.

Alors que Wajam était célébré comme un succès indéniable au Québec, son logiciel était conspué par ceux qui, partout dans le monde, subissaient ses assauts publicitaires. Par centaines, des « clients » se sont plaints à l'entreprise de ne pas avoir consenti à l'installation du logiciel - et de ne pas arriver à s'en débarrasser.

« Comment osez-vous envahir les ordinateurs des gens au moyen d'une infernale machine à pubs ? Avec tout ce que votre site crache dans mon navigateur, il m'est maintenant impossible d'utiliser le web normalement », a écrit l'un de ces utilisateurs involontaires au responsable des relations avec les clients de Wajam.

« J'ai suivi toutes les suggestions pour supprimer de mon ordinateur vos publicités non sollicitées, non commandées et non autorisées. J'ai tenté de supprimer votre logiciel à partir de tous les emplacements possibles, mais vos publicités indésirables me gâchent la vie ! »

- Extrait d'un courriel adressé au responsable des relations avec les clients de Wajam

Données non chiffrées

Les enquêteurs du Commissariat à la protection de la vie privée du Canada ont également constaté que Wajam « conservait dans sa base de données principale, sous une forme non chiffrée, toutes les données originales brutes recueillies auprès des utilisateurs, même si elles renfermaient une quantité appréciable de renseignements personnels associés à des utilisateurs précis ».

Pas moins de 400 téraoctets de données - l'équivalent de 8000 disques Blu-ray double couche - étaient ainsi stockés sans protection dans les bureaux de Wajam, boulevard Saint-Laurent à Montréal. Le site web et la politique de confidentialité de l'entreprise indiquaient pourtant que les renseignements personnels des utilisateurs étaient conservés en toute sécurité grâce à des « méthodes de chiffrement modernes ».

« Dans l'ensemble, il était manifeste que l'intimée n'avait mis en place aucun cadre de gestion de la protection de la vie privée, malgré le volume de renseignements personnels sensibles », conclut le rapport d'enquête.

Pas un virus, mais...

Sans être un virus ni un logiciel malveillant, Wajam était classé comme un « logiciel potentiellement indésirable » par des articles spécialisés et des antivirus, note le rapport. Au fil du temps, le logiciel a d'ailleurs été bloqué à maintes reprises. Afin de contourner les antivirus, Wajam a enregistré au moins 221 noms de domaines entre 2014 et 2016. Avoir autant d'adresses internet lui permettait de brouiller les pistes.

L'entreprise montréalaise procédait aussi à des mises à jour fréquentes - parfois même quotidiennes - pour éviter à son logiciel d'être « détecté et endommagé par les antivirus et les logiciels de ses concurrents », a admis Wajam aux enquêteurs.

La manoeuvre a réussi. « En dépit des efforts déployés en vue de détecter et de bloquer l'installation du logiciel, l'intimée a réussi à le faire installer des millions de fois, y compris sur des milliers et des milliers d'ordinateurs d'utilisateurs canadiens », lit-on dans le rapport.

Ceux qui cherchaient à désinstaller le logiciel en visitant le site web de Wajam étaient parfois assaillis de publicités trompeuses... sur la page même du site indiquant la procédure de désinstallation. On leur proposait, par exemple, de faux logiciels Adobe Flash et des antivirus faisant croire que leur ordinateur était infecté.

C'est le code source de Wajam qui faisait appel à ce réseau de publicités trompeuses. Interrogée par les enquêteurs du Commissariat, Wajam a prétendu qu'elle n'était pas au courant de cette pratique et a promis d'y mettre un terme.

Les enquêteurs se sont dits « étonnés » de cette ignorance : « Si les allégations de l'intimée sont vraies, il est extrêmement troublant, du point de vue de la surveillance de la sécurité, que l'intimée ignorait auparavant l'existence de ce codage et du réseau de publicité intégré à son propre site web. »