Un panel d’outils internationaux contre la prolifération d’armes
Le droit international offre un panel d’outils aux États pour faire face à la lutte contre la prolifération de certaines armes. Les États, depuis quelques années, ont exploré différentes voies pour y parvenir : le contrôle aux exportations, les normes de comportement responsable des États et la lutte contre la cybercriminalité.
Les années 2012 et 2013 ont été marquées par des scandales sur la vente, par des entreprises privées, de solutions de surveillance à des États peu démocratiques. De même, des rapports ont fait état de l’achat et de l’utilisation de vulnérabilités 0-days par l’Agence de sécurité nationale américaine. La France et la Grande-Bretagne, membres de
l’Arrangement de Wassenaar, ont alors proposé de modifier la liste des biens à double usage (à usage civil et militaire) devant faire l’objet de contrôles aux exportations, pour y inclure les outils et technologies associées aux programmes malveillants. La motivation liée à la protection des droits de l’homme est une grande première pour l’Arrangement de Wassenaar, qui n’a traditionnellement jamais retenu cette approche. Les critères de sélection des biens à double usage ne les mentionnent d’ailleurs pas. Parmi les modifications de 2013, deux nouvelles catégories de produits ont été créées : les logiciels d’intrusion (intrusion
software) et IP network surveillance systems
.
Le terme de logiciels d’intrusion désigne les outils créés pour contourner les défenses d’un système, accéder aux systèmes et extraire des données de ces systèmes
. Cependant, l’Arrangement de Wassenaar ne vise pas directement les exploits, rootkits, porte dérobées, virus (voir
) et autre codes malveillants. En effet, le contrôle ne s’applique qu’aux technologies permettant de générer, de créer, de délivrer et de communiquer avec ces logiciels d’intrusion
.
Certains outils ayant de graves incidences sur les droits de l’homme ne sont pas couverts par la définition des logiciels d’intrusion
Les modifications apportées à la liste des biens devant être soumis à contrôle ont fait l’objet de nombreuses critiques. En effet, la définition des logiciels d’intrusion comprend de nombreuses lacunes. Elle inclut des outils et pratiques ayant un intérêt majeur pour la recherche en matière de sécurité, tels que des échantillons de
malware ou
rootkit, ainsi que des outils dédiés à l’analyse des menaces. À l’inverse, certains outils ayant de graves incidences sur les droits de l’homme ne sont pas couverts par la définition donnée. À titre d’exemple, on peut citer les applications mobiles malveillantes ou modifiées à des fins malveillantes,les attaques entraînant une impossibilité de chiffrer les données
. Ces carences sont régulièrement dénoncées par certaines institutions ou entreprises. Ainsi, le Parlement européen a émis le souhait que les contrôles aux exportations ne portent pas atteinte à la recherche et à l’échange d’informations en matière de sécurité informatique
. Les transpositions en droit interne des dispositions de l’Arrangement de Wassenaar ont offert aux acteurs privés une nouvelle tribune pour dénoncer les conséquences néfastes qu’auraient ces contrôles sur la sécurité des réseaux
.
Il semblerait que le Département d’État américain ait entendu ces doléances, puisqu’il envisagerait de proposer la suppression des dispositions sur les logiciels d’intrusion lors de la prochaine assemblée plénière de l’Arrangement de Wassenaar qui se déroulera en décembre 2016
.
Notons également que le manque de clarté des dispositions évoquées pourrait entrer en contradiction avec certaines normes adoptées en 2015 par le Groupe d’experts gouvernementaux de l’Onu chargé d’examiner les progrès de l’informatique et des télécommunications dans le contexte de la sécurité internationale. En effet, les contrôles pourraient impacter le développement de capacités cyber, ainsi que le rôle des entreprises, de la société civile et des chercheurs dans la recherche d’un haut niveau de cybersécurité
, s’opposant ainsi à l’objectif de création d’une culture mondiale de la cybersécurité
.
Une approche, complémentaire, a été adoptée par les États : le recours aux normes de comportement responsable des États. Le rapport 2015 du Groupe d’experts gouvernementaux fait en effet mention de la nécessité de prévenir « la prolifération des techniques et outils informatiques malveillants et l’utilisation de fonctionnalités cachées malveillantes »
. C’est une norme non contraignante qui a pour objectif de permettre d’aboutir « à une vision commune afin de renforcer la stabilité et la sécurité de l’environnement informatique mondiale »
.
Cette disposition vise, d’une part, la multiplication des outils informatiques malveillants et, d’autre part, leur utilisation. Cette démarche tend à se concentrer sur le comportement des États, sur ce qu’ils font dans le cyberespace. L’intégrité de la chaîne logistique peut également être interprétée comme un élément de la lutte contre la prolifération, puisqu’il vise à limiter le développement et le recours à des outils affaiblissant la sécurité des systèmes. Enfin, les dispositions relatives à l’interdiction de certaines attaques informatiques concourent également à cet objectif.
Cette approche présente l’intérêt de ne pas empêcher le développement de capacités cyber, la recherche en sécurité informatique ou l’analyse des menaces. De plus, son incidence sur le risque systémique et l’escalade des conflits est notable, dans la mesure où le risque d’attaque, dont les effets ne seraient pas contrôlés, est diminué. En revanche, ces normes sont non contraignantes, leur portée est donc limitée. De plus, la question de leur mise en œuvre ne fait l’objet d’aucune disposition. La pratique des États sera donc déterminante dans leur évaluation.