Etats-Unis : vers une nouvelle transposition de l’arrangement de Wassenaar
Après une importante levé de bouclier, le ministère américain du commerce s’apprête à revoir sa copie sur le contrôle des exportations des logiciels susceptibles d’être utilisés comme des cyberarmes.
Après une importante levé de bouclier, le ministère américain du commerce s’apprête à revoir sa copie sur le contrôle des exportations des logiciels susceptibles d’être utilisés comme des cyberarmes.
Dans un entretien avec Reuters, un porte-parole, qui a refusé de préciser son identité, a indiqué “qu’une seconde itération de cette réglementation sera promulguée. Et vous pouvez déduire de cela que la première sera retirée”.
C’était le 20 juillet le dernier jour, outre-Atlantique, pour apporter des commentaires formels au projet de transposition dans la loi américaine de la version de l’arrangement de Wassenaar mise à jour fin 2013.
Cet arrangement est un accord multilatéral de contrôle des exportations pour armes conventionnelles et équipements et technologies à usage à la fois civil et militaire. Quarante et un pays en sont signataires. Depuis décembre 2013 figurent sur la liste de nombreux outils susceptibles d’être utilisés pour l’intrusion dans des systèmes informatiques, ou pour la surveillance, tant individuelle que de masse.
A titre de transposition, le bureau de l’industrie et de la sécurité du ministère du commerce américain a proposé des règles de contrôle des exportations qui couvrent les « systèmes, équipements, composants et logiciels spécifiquement conçus pour la production, l’opération ou la fourniture, ou la communication avec des logiciels d’intrusion, dont les produits de test d’intrusion pour identifier les vulnérabilités des ordinateurs et des appareils capables de connexion réseau ».
Et les voix s’opposant à cette transposition n’ont pas manqué de s’élever, dès la fin mai dernier – voire avant – , alors que le projet de transposition a été présenté et que l’appel à commentaires a été lancé, mais encore plus ces jours-ci, alors que l’appel touchait à sa fin.
Ont en particulier été dénoncées des dispositions trop larges et trop floues, jusqu’à paraître inapplicables, selon Google et de nombreux experts. D’ailleurs, dans sa liste de questions/réponses, le ministère du commerce américain reconnaissait lui-même que sa transposition impliquerait le besoin d’une licence pour conduire des recherches en cas de « transfert de technologie contrôlée, de logiciel exécutable, ou de code source ». Et de préciser, pour être plus clair, que le contrôle s’appliquerait aussi « aux informations nécessaires pour développer, tester, affiner et évaluer des logiciels d’intrusion ».
Pour approfondir sur Réglementations et Souveraineté
-
Universités d’été Hexatrust 2024 : fin de la parenthèse olympique, place à la course de fond NIS 2
-
Introduction à l’automatisation des tests d’intrusion
-
Recommandations 2.0 du CEPD : quelles évolutions pour les exportateurs de données ?
-
Codecov : une attaque sur la chaîne logistique qui rappelle SolarWinds