Les cas d’enfants exploités sexuellement sur l’internet ont atteint un sommet avec le confinement. Nos journalistes poursuivent leur enquête sur cette autre épidémie.

Gabrielle Duchaine Gabrielle Duchaine
La Presse

Caroline Touzin Caroline Touzin
La Presse

Des dizaines de milliers d’images pédopornographiques sont détectées chaque année sur les serveurs informatiques de sociétés d’hébergement installées au Québec.

Des sites web utilisés par des prédateurs du monde entier pour partager des dizaines de milliers d’images pédopornographiques sont hébergés sur les serveurs informatiques de grandes entreprises installées au Québec, révèlent des données inédites obtenues par La Presse. Les experts sont catégoriques : les hébergeurs web ne peuvent plus fermer les yeux sur les contenus illicites des sites hébergés sur leurs serveurs.

Réponse des entreprises : nous n’avons pas accès au contenu de nos clients.

Faux, rétorque Jean Loup Le Roux, expert en cybersécurité et vie privée. « Les hébergeurs, ils ne veulent pas se mêler de ce que font leurs usagers. Mais d’un point de vue technologique, dans la vaste majorité des cas, ils ont accès au contenu. C’est leur infrastructure. »

PHOTO OLIVIER JEAN, LA PRESSE

Francis Fortin, professeur en criminologie à l’Université de Montréal et ancien analyste en cybercriminalité à la Sûreté du Québec

« Pour voir ce qui se passe, il faut être proactif », ajoute le professeur en criminologie Francis Fortin, de l’Université de Montréal, ancien analyste en cybercriminalité à la Sûreté du Québec.

D’abord, les chiffres :

— Le Centre canadien de protection de l’enfance (CCPE), qui possède un outil de détection, a envoyé quelque 150 000 demandes à des fournisseurs web entre 2018 et 2020 pour supprimer des images considérées comme de la pornographie juvénile sur les serveurs d’entreprises d’hébergement installées au Québec.

— Très souvent, une même image s’est retrouvée plus d’une fois sur les serveurs. Dans certains cas, le CCPE a aussi dû envoyer plusieurs avis avant qu’une image soit retirée du web.

— En tout, ce sont 71 000 images différentes montrant des enfants agressés sexuellement qui ont été détectées sur une période de trois ans dans des centres de données des grands hébergeurs québécois.

« Et ça, c’est juste ce qu’on trouve. Ces chiffres ne reflètent en rien l’ampleur de la distribution », prévient le porte-parole de l’organisme, René Morin.

Comment ça marche ?

L’outil du CCPE, baptisé Projet Arachnid, fouille la Toile à la manière d’un programme de reconnaissance faciale. Il recherche des images connues des autorités comme de la pédopornographie. Elles font partie de bases de données montées au fil des enquêtes. Soit les victimes sont identifiées, soit il est clair qu’elles sont mineures. Lorsqu’une image est détectée, une demande de suppression est automatiquement envoyée au gestionnaire du site web ou au propriétaire du serveur où elle a été téléchargée.

Deux sites, ImageVenue.com, une plateforme d’autopartage bien connue de la police montréalaise, et GayBoysTube, un site de pornographie qui permet aux utilisateurs de diffuser leur propre contenu, se démarquent par le nombre d’images détectées.

Bien que les deux soient gérés à l’étranger, le premier en République tchèque et le deuxième au Texas, ils ont ceci en commun : ils ont loué, entre 2018 et 2020, de l’espace sur les serveurs informatiques de grandes entreprises installées à Montréal. Elles sont nombreuses à choisir le Québec pour établir leurs centres de données en raison des tarifs d’électricité et d’une météo propice.

PHOTO OLIVIER JEAN, LA PRESSE

Le centre de données d’iWeb à Saint-Léonard

En trois ans, ImageVenue a reçu à lui seul 140 000 demandes de suppression pour quelque 68 000 images montrant des enfants exploités sexuellement. Selon le CCPE, ces images se trouvaient sur des serveurs de l’entreprise iWeb, qui possède des centres de données à LaSalle, à Saint-Léonard et à L’Île-des-Sœurs. Depuis quelques mois, le site a changé d’hébergeur et n’est plus au Québec.

Même si ce n’est pas iWeb directement, mais ImageVenue, qui a reçu les demandes de suppression, le CCPE affirme avoir alerté l’hébergeur québécois au sujet des photos et des vidéos publiées à répétition sur le site de son client. « Nous remontons souvent aux fournisseurs dans de telles situations », indique René Morin. Un des anciens propriétaires d’iWeb, Martin Leclair, raconte que la police avait débarqué chez l’hébergeur dès 2010 pour mener une perquisition en lien avec ImageVenue.

PHOTO OLIVIER JEAN, LA PRESSE

Le centre de données d’eStruxture à Montréal

GayBoysTube, qui est pour sa part hébergé chez eStruxture, toujours dans la région métropolitaine, a reçu quelque 2300 demandes de suppression pour plus de 900 images de pornographie juvénile sur la même période. eStruxture a aussi reçu directement près de 1000 avis de la part du CCPE concernant des images hébergées sur des sites parmi ses clients.

PHOTO OLIVIER JEAN, LA PRESSE

Le centre de données d’OVH à Beauharnois

À une troisième société d’hébergement, OVH, dont les serveurs sont à Beauharnois, le CCPE a envoyé 6364 demandes entre 2018 et 2020 concernant des images pédopornographiques sur des sites qu’elle hébergeait.

La Presse a demandé des entrevues aux trois entreprises d’hébergement, qui nous ont plutôt envoyé des déclarations écrites. Leur rôle, disent-elles, s’arrête à fournir une plateforme pour créer ou héberger du contenu, pas à vérifier ledit contenu.

« iWeb fournit une infrastructure internet aux entreprises, iWeb n’a pas accès aux contenus stockés sur l’infrastructure internet d’un client », écrit l’hébergeur.

« Le contenu n’est pas filtré ou révisé par le fournisseur de services, donc nous n’avons pas techniquement accès au contenu et aux données de nos clients », indique un porte-parole de OVH.

L’entreprise, assure-t-on, « ne tolère aucunement l’hébergement de contenu abusif ou illégal ». « Nous coopérons constamment avec les autorités locales afin de les aider dans leurs processus d’enquête. Nous disposons d’une plateforme d’alerte et d’équipes dédiées qui traitent toutes les plaintes. »

iWeb dit aussi « prendre très au sérieux la question de la pornographie juvénile ». « Notre équipe traite rapidement toute plainte relative à un contenu illicite qui se trouve à être hébergé dans l’un des environnements de nos clients, y compris la notification aux forces de l’ordre et la suspension de l’infrastructure internet d’un client, le cas échéant. »

Même réponse chez eStruxture, qui dit « respecter les obligations de la loi en dénonçant toute publication prohibée aux autorités lorsqu’elle en est informée ».

Questionnées sur le nombre exact de signalements qu’elles ont faits à la GRC concernant des images pédopornographique détectées sur leurs serveurs, les entreprises n’ont fourni aucune réponse. Idem pour le nombre de clients suspendus.

Une responsabilité morale

Alors, est-ce qu’une entreprise de serveurs informatiques est responsable du contenu qui est hébergé chez elle sur des sites web étrangers qui ne sont que ses clients ?

Oui, répondent d’emblée les experts du milieu.

Selon la loi canadienne, toute entreprise offrant des services internet doit déclarer à la police les images d’exploitation sexuelle d’enfants dont elle a connaissance. Mais rien n’oblige les entreprises à faire un travail préventif pour détecter de telles images. D’où la position des hébergeurs.

« Ils n’ont pas à chercher les images. C’est là le facteur qui doit probablement changer », note Lloyd Richardson, directeur des technologies de l’information du CCPE.

« Le discours selon lequel les gens téléchargent ce qu’ils veulent et qu’on ne peut pas le contrôler, ça ne passe plus aujourd’hui, martèle Francis Fortin. Ça se passe chez toi, tu es responsable. »

Il y va de cette analogie : l’hébergeur est comme le propriétaire d’un centre commercial. Le site web qui diffuse les images est un commerce qui loue de l’espace. « Le proprio dit : “Ce n’est pas à moi de gérer ce qui se passe dans les magasins.” Mais s’il fait passer un agent de sécurité dans les couloirs, il va le savoir, ce qui se passe. Quand quelqu’un vend des produits illégaux dans ton centre commercial, tu as une responsabilité. »

PHOTO OLIVIER JEAN, LA PRESSE

Julie Miville-Dechêne, sénatrice indépendante

La sénatrice indépendante Julie Miville-Dechêne, qui a fait de l’enjeu de la pédopornographie son cheval de bataille, est du même avis. Les sociétés d’hébergement sont, au minimum, responsables moralement de ce qui se retrouve sur leurs serveurs. « C’est payant, les serveurs. Ils profitent de notre électricité. Ils profitent de notre météo. Ils sont redevables. On ne peut pas à la fois être responsable d’une compagnie et ne pas savoir ce qui s’y passe, dit-elle. »

« Révoltée ». C’est le mot qu’utilise la députée du Parti libéral du Québec Christine St-Pierre, vice-présidente de la Commission parlementaire sur l’exploitation sexuelle des mineurs l’an dernier. « On avait tous les yeux rivés sur Pornhub/Mindgeek. Or, vos révélations montrent un problème plus étendu auquel il est urgent de s’attaquer. »

En mars, suivant une recommandation de cette commission, Québec a mis en place un comité d’experts qui se penchera sur la présence de pornographie juvénile sur les sites des entreprises enregistrées au Québec. Selon l’annonce officielle, les propriétaires de serveurs ne sont pas dans la ligne de mire. Mme St-Pierre souhaite que Québec précise la composition de ce comité, sa mission et son échéancier. « Le Québec a un rôle à jouer pour protéger les enfants dont les images se retrouvent sur ces serveurs. Si les serveurs sont ici, c’est parce que c’est rentable. Il faut agir ! »

« Il y a des outils »

L’ironie dans tout ça, c’est qu’il est assez facile, de détecter les images illégales dès leur téléchargement.

« Il existe des outils de reconnaissance automatique. Les gens distribuent toujours les mêmes images abusives. Si on pouvait éliminer au moins ça, ce serait un début », dit Francis Fortin.

Les hébergeurs pourraient, au minimum, exiger par contrat que leurs clients s’en servent, dit René Morin.

Lloyd Richardson donne l’exemple des dizaines de milliers d’images publiées sur ImageVenue. « La majorité des images qui s’y retrouvent ont déjà été signalées par nous et retirées du web. Les gens ne prennent même pas la peine de les modifier. Ils font juste les télécharger à nouveau quand ils voient qu’elles ne sont plus là. Si un travail proactif était fait, on pourrait simplement empêcher qu’elles réapparaissent. »

Sans compter, ajoute-t-il, que son centre offre des outils gratuits aux entreprises pour les aider à filtrer en amont les photos et les vidéos considérées comme de la pédopornographie. « Tout ce que ça prend, c’est un peu de travail d’installation », dit-il.

La réponse de GayBoysTube

Deux sites web étrangers sont ciblés dans ce reportage. Nous les avons contactés. Personne chez ImageVenue n’a répondu à nos demandes d’entrevue. Le gestionnaire de GayBoysTube, Sean Watson, nous a répondu ceci : « Je travaille très dur pour examiner manuellement toutes les images avant qu’elles ne soient publiées. Il arrive que je manque des choses, mais je fais de mon mieux. J’assume une grande responsabilité pour surveiller, examiner et répondre rapidement à tout problème. […] Je pense que vous obtenez une image trompeuse à cause du nombre de demandes de suppression, ils en envoient plusieurs fois [pour une même image]. »