Archives mensuelles : novembre 2020

Cachez ce code HTML dans votre nom d’entreprise, que je ne saurais voir

Publié le par

On rapporte qu’un entrepreneur anglais se faisait récemment demander par le registraire des entreprises de ce pays de changer le nom de sa société, qu’il avait nommé par du code HTML, en l’occurrence «““>». La raison? Le code pose un risque dans certaines circonstances, quand un usager tente d’interagir avec un nom dans la base de données du registraire anglais.

Le code en question avait le potentiel de permettre de générer une attaque informatique connue sous le nom de «cross-site scripting» («XSS») à partir du site du Companies House (l’équivalent anglais du Registraire des entreprises du Québec) et de son API. Le XSS est un type de faille qui permet à un tiers d’injecter son propre code dans celui qui dirige un site légitime vers le fureteur des visiteurs, résultant potentiellement dans l’exécution d’un programme qui n’a rien à voir avec le site que l’usager voulait consulter — étant entendu que ce code peut alors être n’importe quoi, incluant du code malicieux.

Ici, l’API en question est une interface que rend disponible le registraire anglais afin de permettre qu’on interroge sa base de données sans devoir passer par son site comme tel. En combinaison avec une requête comprenant les caractères composant le nom de la société en question, cela aurait permis d’exécuter du code tiers, ce qui aurait possiblement compris du code dangereux.

Bien que l’entrepreneur en question n’avait aucune mauvaise intention ici, le registraire lui a tout de même demandé de bien vouloir modifier le nom de sa société, ce qu’il a accepté de faire, en la renommant «THAT COMPANY WHOSE NAME USED TO CONTAIN HTML SCRIPT TAGS LTD».

Bref, cela ouvrait une brèche qu’on a maintenant colmatée, mais qui démontre bien que les registraires d’entreprises ont avantage à mieux valider les noms commerciaux qui entrent dans leurs bases de données. Ce n’est pas quelque chose que le gouvernement avait prévu en élaborant ses règles quant aux noms commerciaux qui s’avèrent acceptables pour inscription sur le registre des entreprises. Bienvenue en 2020!

La fouille d’appareils électroniques aux douanes exigerait des soupçons raisonnables

Publié le par

Comme vous le savez sans doute, depuis trente ans, nos douaniers ont progressivement adapté leurs protocoles pour en venir à considérer qu’ils pouvaient farfouiller dans tout ce qu’apporte avec lui un voyageur, incluant le contenu de ses appareils électroniques. Oui, dans le monde actuel, le douanier moyen peut très bien vous demander de voir le contenu de votre ordi ou de votre téléphone intelligent, c’est à ce point.

Bonne nouvelle de ce côté: les médias rapportaient cette semaine une décision albertaine en appel qui conclut que, contrairement à la prétention des douaniers canadiens, une fouille arbitraire d’appareil électronique, que ce soit à la frontière ou ailleurs, s’avère abusive. En principe (toujours selon cette décision), on ne devrait pouvoir fouiller ainsi que si on soupçonne qu’il y a anguille sous roche, pour ainsi dire. À défaut, si on trouve quelque chose suite à une telle fouille, l’accusé pourrait faire rejeter la preuve sur cette base, puisqu’on a enfreint ses droits fondamentaux contre les fouilles abusives par l’État. Ce genre de barème s’applique déjà aux policiers, et la Cour d’appel albertaine ne voit pas de raison de ne pas aussi l’étendre à nos agents des services frontaliers. Ouf, de dire plusieurs, y compris les avocats qui doivent passer la frontière en possession d’un appareil mobile contenant des renseignements privilégiés.

Cette décision pourrait venir renverser la vapeur au Canada, en évitant désormais que nos douaniers se permettent ce qui constitue souvent des parties de pêches en règle, quand on décide manu militari de farfouiller dans l’appareil mobile d’un voyageur passant la frontière. Certes peut-on toujours fouiller physiquement l’individu, d’accord, mais la fouille numérique dépasse les bornes, de dire la Cour d’appel.

Bien que ce soit encourageant, selon moi, il ne serait pas étonnant que l’État interjette appel de ce jugement, avant que l’Agence des services frontaliers du Canada (l’«ASFC») ne mette ses protocoles à jour pour s’y conformer.

Le contre-interro en oppisition de marque par vidéoconférence désormais la norme au Canada

Publié le par

L’IPIC nous avisait hier que la Commission des oppositions des marques de commerce (la «COMC») a finalement mis ses pratiques à jour afin de dorénavant tabler sur la vidéoconférence (les visios), au moins un peu. Incroyable, mais vrai: l’OPIC arrive en 2020 – en novembre, remarquez bien, mais quand même!

La nouvelle Pratique concernant la procédure d’opposition en matière de marque de commerce vient modifier comment les contre-interrogatoires doivent généralement se tenir, autant dans les dossiers d’opposition que dans les dossiers de procédure de radiation prévue à l’article 45 de la Loi sur les marques de commerce (la «LMC»). Dorénavant, cela se fait généralement par vidéoconférence (visio), plutôt qu’en personne. Pensez-vous? Bon, ça aurait été possible de le faire en 2015, disons, mais au moins, on y est arrivé.

À noter qu’étant donné ce changement, le jalon prolongation de délai pour les contre-interrogatoires est désormais réduit à deux (2) mois (moitié de la durée de ce jalon auparavant), puisqu’organiser une visio s’avère pas mal moins complexe qu’une rencontre en personne. En plus, une fois la pandémie terminée, une demande de prolongation pour permettre un contre-interrogatoire ne sera désormais plus considérée comme une circonstance exceptionnelle.

Il s’agit là d’un effort additionnel de l’OPIC pour notamment tenter de ramener la durée moyenne d’un enregistrement de marque à quelque chose de plus raisonnable. Ce n’est pas par cette seule mesure qu’on y parviendra, mais c’est sans nul doute un pas dans la bonne direction! Restera maintenant à faire que les auditions (en fin de dossier d’opposition, par ex.) puissent aussi se faire aussi à distance.