Téléphones de vedettes piratés: les victimes bénéficient d’une ordonnance de non-publication

L’identité de vedettes québécoises victimes d’un crack en informatique s’étant introduit dans leur téléphone cellulaire sera protégée a décidé la cour, alors que s’ouvrait aujourd’hui le procès de l’accusé.  

• À lire aussi: Personnalités publiques espionnées: le crack informatique était comme un loup dans une bergerie

• À lire aussi: Personnalités publiques espionnées: la menace n’est pas suffisamment prise au sérieux

Le Directeur des poursuites pénales et criminelles (DPCP) entend déposer de la preuve concernant 106 victimes qu’aurait fait Pascal Desgagnés, dont certaines sont des personnalités publiques.

Vingt et une de ces présumées victimes doivent d’ailleurs témoigner.

Le DPCP s’était opposé à ce que l’identité de ces personnes puisse être dévoilée.

La juge Rachel Gagnon s’est rendue à sa demande prononçant une ordonnance de non-publication sur le nom des présumées victimes et tout élément qui permettrait de les identifier. Le contenu des informations dérobées est aussi visé par l’ordonnance.

«On y retrouve du contenu intime personnel et professionnel, notamment des photos et des vidéos, des messages textes et des courriels (...) Le tribunal conclut que si le public avait accès au contenu des iCloud, il y aurait un risque sérieux d’atteinte à la dignité des victimes. La dignité des victimes est d’un intérêt public important. Au même titre, la société a intérêt à encourager les victimes à dénoncer les infractions», a expliqué la juge, se référant à l’arrêt Mentuk.

«Du point de vue de la proportionnalité, les avantages de l’ordonnance l’emportent sur ses effets négatifs», a ajouté la juge.

Reproches

Pascal Desgagnés, qui se défend seul, fait face à sept chefs d’accusation, notamment d’avoir frauduleusement obtenu des services d’ordinateur, d’avoir frauduleusement utilisé un mot de passe, d’avoir sciemment eu en sa possession des renseignements sur d’autres personnes dans le but de commettre un acte criminel, de s’être frauduleusement fait passer pour des personnes vivantes avec l’intention d’obtenir un avantage et de méfaits à l’égard de données informatiques.

L’homme a plaidé coupable au premier chef, utilisation frauduleuse d’un ordinateur, mais pour une seule victime et pour une période différente de celle pour laquelle il est accusée, soit un seul mois, mars 2018, au lieu de six ans, du 20 décembre 2013 au 21 janvier 2019.

«C’est en lien avec mes aveux à la police pour les aider à trouver ceux qui ont fait ces méfaits. C’est cohérent pour moi de plaider coupable», a expliqué Pascal Desgagnés.

Adresses IP

Un sergent-détective de la région de Montréal a expliqué avoir reçu une plainte le 24 mai 2018. La personne avait depuis un an des problèmes de connexions avec divers comptes personnels la forçant à changer régulièrement de mots de passes.

Deux semaines plus tôt, un ami que la présumée victime avait appelé à la rescousse lui avait fait remarquer que plusieurs adresses IP (connexion internet) ayant eu accès à ses comptes ne correspondaient aux siennes. Il avait aussi constaté un transfert de sa connexion de courriel.

Le plaignant se présente donc à la police avec un journal (log) des multiples connexions internet à partir de ses comptes ainsi que les quatre adresses IP qu’il utilise.

La vérification des adresses suspectes montre que certaines proviennent de l’étranger. À ce sujet, un fournisseur répond à la police qu’il procure un service VPN n’enregistrant pas l’origine de la connexion.

Mais deux de ces adresses proviennent d’un fournisseur québécois.

Le sergent-détective obtient une ordonnance de communication pour ces adresses. La première, qui a été utilisée à six reprises pour se connecter aux comptes de la présumée victime, correspond à l’adresse de la résidence de Pascal Desgagnés.

La seconde, datée du 9 mai, est utilisée par l’hôtel Hyatt Regency à Montréal. Le sergent-détective a fourni une facture montrant que M. Desgagnés avait une réservation à cet hôtel le 9 mai.

Matériel saisi

Une perquisition a ensuite été menée le 26 juin 2018 au domicile de l’accusé à Québec.

Une femme et un enfant se trouvaient aussi au domicile.

Les policiers cherchaient des ordinateurs, des tablettes et des téléphones ainsi que des supports tels que disques durs et clés USB. Le but était de vérifier si ces appareils avaient servi pour s’introduire dans les comptes Facebook, de courriel et iCloud de la personne plaignante. Neuf items ont été saisis.

«Le climat était calme (les deux adultes) ont de façon libre et volontaire fourni les mots de passe», a raconté le sergent-détective responsable de la perquisition, qui a souligné qu’aucune arrestation n’a été faite à ce moment.

Aveux

Après la perquisition, le sergent-détective à l’origine de l’enquête a rencontré Pascal Desgagnés au quartier général de la SQ à Québec.

Le lendemain, le policier a reçu un courriel de l’avocate de M. Desgagnés pour «ajuster sa version des faits.»

Il y reconnaît avoir «initié les connexions vers le Facebook personnel et le courriel personnel» de la personne qui a porté plainte. Il affirme l’avoir fait «dans un contexte d’amusement et par défi personnel» et non pour exploiter ou partager les données.

Longue liste

Le 21 août, des données extraites du matériel saisi sont communiquées à l’enquêteur. Il reçoit ainsi 87 fichiers textes contenant des renseignements personnels identifiés à autant de personnes, 307 photos, le contenu de 18 comptes iCloud et une vidéo.

L’enquêteur dresse alors deux catégories, les victimes confirmées et les victimes potentielles.

La première regroupe les personnes dont même les réponses pour les questions secrètes permettant la réinitialisation des comptes apparaissent dans le fichier, en plus notamment de leur date de naissance, leur l’adresse, leur numéro de téléphone, de divers mots de passe et le contenu de leur iCloud.

Dans la deuxième apparaissent plusieurs informations personnelles des individus, mais pas les réponses exactes aux questions secrètes ou de mots de passe.

Les victimes potentielles ont été contactées pour les aviser que leur identité était compromise. Des 73 personnes concernées, 11 n’ont toutefois pas pu être rejointes.

De septembre 2018 à janvier 2019 chacune des victimes confirmées a aussi été rencontrée.

Le procès se poursuivra demain.