Alors que l’inquiétude grandit quant aux risques de sécurité posés par les pirates informatiques à l’étranger, le Bureau de l’industrie et de la sécurité (BIS) du département américain du Commerce a publié des révisions à son interdiction de certaines exportations de cybersécurité.
L’interdiction – d’abord annoncé en octobre dernier – interdit effectivement l’exportation de logiciels et d’équipements de piratage vers la Chine, la Russie et un certain nombre d’autres pays sans licence de la BRI.
Perturber, nier, dégrader
« Ces éléments justifient des contrôles car ces outils pourraient être utilisés pour la surveillance, l’espionnage ou d’autres actions qui perturbent, nient ou dégradent le réseau ou les périphériques qui s’y trouvent », lit-on dans le rapport. nouvelle et définitive règlepublié au Federal Register et en vigueur depuis le 26 mai.
L’interdiction d’exportation couvrirait donc probablement les logiciels espions tels que Pegasus, développé par la société israélienne NSO Group et utilisé de manière controversée par les gouvernements autoritaires pour surveiller les journalistes, les militants, les politiciens et les dirigeants d’entreprise.
Cette décision aligne les États-Unis sur 42 autres nations membres de la Arrangement de Wassenaar sur le contrôle des exportations d’armes classiques et de biens et technologies à double usage.
Une version antérieure de la règle, publiée l’année dernière, a introduit une nouvelle exception de licence pour les exportations de cybersécurité autorisées (AS). Ceci, inclus en réponse aux préoccupations de l’industrie de la cybersécurité, a permis l’exportation, la réexportation et le transfert à l’intérieur du pays d' »articles de cybersécurité » vers la plupart des destinations.
En conséquence, dans le cadre du projet de l’année dernière, il a été convenu qu’une licence ne serait requise que pour les exportations vers des pays où il existe des préoccupations concernant la sécurité nationale ou les armes de destruction massive, ainsi que vers des pays soumis à un embargo américain sur les armes.
Cette version finale, produite à la suite d’une consultation publique, inclut certaines modifications à cette section. Il s’agit notamment de clarifier la définition d’« utilisateur final gouvernemental », de réécrire une partie du texte pour le rendre plus clair et de corriger la formulation qui, selon le BRI, a élargi « par inadvertance » la portée des exceptions.
Forte opposition
Il y avait eu auparavant une forte opposition de la part de l’industrie de la cybersécurité, craignant que les contrôles ne couvrent une gamme trop large d’outils et de technologies, que la bureaucratie impliquée n’entrave le travail des pirates de bonne foi et des chasseurs de primes de bugs, et que les restrictions sur le le développement de logiciels d’intrusion freinerait la recherche internationale sur la cybersécurité.
« Cette règle est censée être un cadre pour comprendre et dissuader l’exportation de cybercapacités – principalement des exploits, mais aussi potentiellement des TTP, des IOC, etc. – vers les gouvernements du groupe de pays D », a déclaré Casey Ellis, fondateur et CTO de Bugcrowd. .
« Le contrôle des exportations est déjà assez difficile avec les armes physiques – les contrôles cryptographiques des exportations ont déjà illustré l’idée que la réglementation des exportations dans le domaine du cyber est difficile, et la mise en œuvre de l’accord de Wassenaar pour inclure le cyber aux États-Unis n’a pas fait exception. »
Difficultés de conformité
La règle suscite encore quelques inquiétudes, un certain nombre de commentateurs sur le projet suggérant qu’elle présente des difficultés de conformité et n’est pas nécessairement toujours claire – par exemple, sur la question de savoir si elle contrôlerait les logiciels de détection et de surveillance des incidents de cybersécurité.
Le BRI tente de résoudre ce problème en publiant régulièrement des FAQet indique qu’il prévoit de fournir davantage de conseils au fil du temps.
« Ce qui est bien et clair ici, c’est que la BRI a écouté et travaillé activement pour prendre en compte les commentaires des communautés de sécurité, de recherche et de chasseurs de primes », déclare Ellis.
« Une section importante à surveiller sera la portée des exigences de licence, qu’ils se sont engagés à décrire et à maintenir via la FAQ. Ces FAQ détermineront en fin de compte qui est tenu de demander une licence en vertu de la décision et qui est exclu.