Vers un contrôle renforcé de la vente de cyberarmes
Les pays signataires de l’arrangement de Wassenaar sur le contrôle des exportations des armes conventionnelles et des équipements et technologies à usage double viennent de s’accorder sur un contrôle accru des exportations des logiciels d’intrusion et de surveillance.
Les pays signataires - parmi lesquels, les Etats-Unis, le Royaume-Uni, la Russie, mais aussi la France et de nombreux pays européens - de l’arrangement de Wassenaar ont enrichi, le 4 décembre, la liste des armes conventionnelles et des équipements et technologies à usage à la fois civil et militaire dont l’exportation doit être contrôlée. Y figurent ainsi désormais de nombreux outils susceptibles d’être utilisés pour l’intrusion dans des systèmes informatiques ou pour la surveillance, tant individuelle que de masse.
La liste mentionne ainsi spécifiquement les systèmes d’analyse sur la couche applicative d’un réseau IP de classe opérateur, d’extraction de métadonnées ou de contenus applicatifs, ou encore d’indexation des données extraites. Et si les hyperviseurs, les outils de débogage, et rétro-ingénierie logicielle ne sont pas concernés par les restrictions à l’exportation, ni même les outils de supervision conçus pour être installés par des administrateurs ou des utilisateurs finaux, la vente de tout logiciel permettant de contourner les protections installées - anti-virus, IDS, IPS, pare-feu, etc. - ou intégrées à un système d’exploitation - prévention d’exécution de données, randomisation de l’allocation de l’espace mémoire ou sandboxing - devra faire l’objet d’une demande d’autorisation préalable du gouvernement. Et il en va de même pour les logiciels malveillants conçus pour infliger des dommages physiques.
Les outils de collecte et d’analyse de métadonnées de communications électroniques ou de cartographie de relations entre individus et groupes ont également été ajoutés à la liste, à l’exception des systèmes spécifiquement conçus pour le marketing, la gestion de la qualité de service, ou encore l’expérience client. De quoi promettre un encadrement des activités commerciales d’entreprises telles Gamma International, dont le logiciel FinFisher aurait été, selon F-Secure, déployé en Egypte. Une vente démentie par l’éditeur. Mais des Trovicor ou encore Amesys seront également de facto concernés.
Si les extensions apportées à l’arrangement de Wassenaar doivent encore être inscrites dans les législations des pays signataires, reste à savoir dans quelle mesure elles seront contournées. Ainsi, lors l’édition de début 2013 du salon ISS World pour la région Moyen-Orient et Afrique, dédié aux « systèmes de support du renseignement pour l’interception légale », SAS présentait sa solution SAS Social Media Analytics comme un outil « opérationnel pour les organisations de sécurité publique » tandis qu’il est référencé, sur son site Web, dans la catégorie « Expérience client ». De quoi lui éviter de tomber sous le coup des nouvelles restrictions à l’exportation prévues par l’arrangement de Wassenaar.