Le département américain du Commerce a annoncé mercredi de nouvelles règles interdisant la vente de logiciels et d’équipements de piratage à des régimes autoritaires et pouvant potentiellement faciliter les violations des droits de l’homme pour des raisons de sécurité nationale (NS) et d’antiterrorisme (AT).
Les mandat, qui doit entrer en vigueur dans 90 jours, interdira l’exportation, la réexportation et le transfert d’« articles de cybersécurité » vers des pays « préoccupants pour la sécurité nationale ou les armes de destruction massive » tels que la Chine et la Russie sans autorisation du bureau du département de l’Industrie et de la Sécurité (BIS).
« Le gouvernement des États-Unis s’oppose à l’utilisation abusive de la technologie pour porter atteinte aux droits de l’homme ou mener d’autres activités cybernétiques malveillantes, et ces nouvelles règles contribueront à garantir que les entreprises américaines n’alimentent pas des pratiques autoritaires », BIS mentionné dans un communiqué de presse.
La règle ne couvre pas le « logiciel d’intrusion » lui-même, mais plutôt ce qui suit :
- Systèmes, équipements et composants spécialement conçus ou modifiés pour la génération, la commande et le contrôle, ou la livraison de logiciels d’intrusion (ECCN 4A005)
- Logiciel spécialement conçu ou modifié pour le développement ou la production de systèmes, d’équipements et de composants (ECCN 4D001.a)
- Logiciel spécialement conçu pour la génération, l’exploitation, la livraison ou la communication avec un logiciel d’intrusion (ECCN 4D004), et
- Technologie requise pour le développement, la production et l’utilisation de systèmes, d’équipements et de composants, et le développement de logiciels d’intrusion (ECCN 4E001.a et 4E001.c)
Cependant, il convient de noter que la restriction ne s’applique pas lorsqu’il s’agit de répondre à des incidents de cybersécurité ou à des fins de divulgation de vulnérabilités, ainsi que pour mener des enquêtes pénales ou des poursuites pouvant suivre à la suite d’intrusions numériques.
Cela ne s’applique pas non plus lorsque les articles sont vendus à un «utilisateur final de cybersécurité avec traitement favorable», qui pourrait être une filiale américaine, des fournisseurs de services bancaires et autres services financiers, des compagnies d’assurance et des institutions civiles de santé et de médecine.
Cette décision devrait aligner les États-Unis sur 42 pays européens et autres tels que l’Australie, le Canada, l’Inde, la Russie et la Corée du Sud, qui sont membres de la Arrangement de Wassenaar qui énonce des politiques volontaires de contrôle des exportations d’armes classiques et de biens et technologies à double usage, y compris les systèmes de surveillance basés sur Internet.
« Les États-Unis se sont engagés à travailler avec nos partenaires multilatéraux pour empêcher la propagation de certaines technologies pouvant être utilisées pour des activités malveillantes menaçant la cybersécurité et les droits de l’homme », a déclaré la secrétaire américaine au Commerce, Gina M. Raimondo.
« La règle finale provisoire du département du Commerce imposant des contrôles à l’exportation sur certains articles de cybersécurité est une approche adaptée qui protège la sécurité nationale des États-Unis contre les cyber-acteurs malveillants tout en garantissant des activités de cybersécurité légitimes », a ajouté Raimondo.