Nathalie Van Raemdonck

Bras de fer entre les activités des droits de l’homme et les experts en cyber-sécurité

Nathalie Van Raemdonck Nathalie Van Raemdonck est project manager chez CCB, mais écrit ici en son nom propre

L’UE entend revoir sa législation relative au contrôle sur l’exportation, le transfert, le commerce intermédiaire et le transit de produits à usage double.

Bras de fer entre les activités des droits de l’homme et les experts en cyber-sécurité

Vous me suivez ? La description évasive donnée par l’Europe n’a rien d’excitant par rapport aux cyber-armes, mais l’UE n’a cure de cette terminologie ambiguë. S’inspirant de l’arrangement international de Wassenaar, l’UE a donc décidé d’introduire des contrôles à l’exportation sur la technologie dite “à double usage”, à savoir les biens qui peuvent avoir des applications tant civiles que militaires. Wassenaar a récemment ajouté la sécurité de l’information à cette liste et l’UE l’implémente désormais dans sa législation.

La manière dont l’Europe abordera cette problématique aura un impact important sur notre sécurité sur l’Internet. Du coup, on ne peut que se réjouir que l’UE se soit ouverte à la concertation sous la forme d’une consultation en ligne. Etonnamment, il semble que l’on assiste maintenant à un bras de fer entre deux camps qui devraient normalement lutter côte à côte pour la liberté de l’Internet, à savoir les activistes des droits de l’homme et les chercheurs en cyber-sécurité. Les deux parties sont convaincues des bonnes intentions de l’autre, mais s’opposent sur l’application des mesures. Et le diable se cache dans les détails.

Wassenaar, et donc aussi l’UE, vise spécifiquement les logiciels d’intrusion. Par logiciel d’intrusion, il faut entendre tout logiciel permettant d’éviter les systèmes de détection, et donc aussi les zero-day exploits (les failles d’un logiciel qui n’ont pas encore été identifiées par l’utilisateur et/ou le développeur). Pour l’heure, les logiciels d’intrusion sont légalement disponibles sur le marché européen, tant qu’ils ne débouchent pas sur des activités criminelles. Les défenseurs des droits de l’homme mettent en garde contre la manière dont ces outils peuvent être utilisés contre des activistes. Ainsi, de nombreuses entreprises, parmi lesquelles le Hacking Team récemment piraté ou FinFisher, fournissent du spyware aux autorités pour espionner leurs populations. Dès lors, des actions ont été entreprises dans le cadre de Wassenaar. La parlementaire européenne Marietje Schaake (voir également son Opinion du 14 mai) est largement en faveur de contrôles à l’exportation. Elle a formulé une proposition visant à contrôler les exportations des entreprises afin d’interdire la vente à des acteurs qui pourraient violer les droits de l’homme.

Pour leur part, les chercheurs en cyber-sécurité méprisent tout autant des sociétés comme Hacking Team. Pourtant, ils regrettent l’idée d’imposer un contrôle sur les logiciels d’intrusion. En effet, de tels outils sont utilisés pour tester la sécurité des systèmes et ainsi les améliorer. La meilleure défense étant l’attaque, toute organisation sérieuse se doit de déployer de tels logiciels pour vérifier les éventuelles failles de ses systèmes. En outre, de nombreux particuliers contribuent à la bonne santé du Web en pénétrant bénévolement des systèmes et en partageant les vulnérabilités avec les organisations. Souvent, une rétribution est octroyée pour ce faire, mais il arrive que ces informations soient transmises à des personnes moins bien intentionnées.

Un régime autoritaire qui espionne des activistes peut, selon un point de vue différent, être également en mesure de se protéger contre des terroristes.

D’après les chercheurs, les contrôles à l’exportation ciblant exclusivement le contenu sont impossibles parce qu’aucune différence technique ne peut être établie entre les “bons” et les “mauvais” logiciels d’intrusion. Nous parlons bien ici de lignes de code. Seule la manière dont celui-ci est utilisé détermine si le logiciel est bon ou mauvais. La question est donc de savoir qui peut ou non utiliser le logiciel. En l’occurrence, l’hypocrisie est malheureusement une banalité. Un régime autoritaire qui espionne des activistes peut, selon un point de vue différent, être également en mesure de se protéger contre des terroristes. De nombreux Etats européens puisaient également dans la base de données de clients de Hacking Team. Au pays des aveugles…

Une telle décision a beau être ambiguë, les experts en cyber-sécurité s’accordent à dire que les logiciels d’intrusion ne devraient pas pouvoir être vendus à des Etats ou des entreprises qui violent les droits de l’homme. Mais qu’en est-il de la vente à des particuliers qui choisissent de les utiliser à de bonnes fins ou pour des actes malveillants ? De tels contrôles semblent être très difficiles à mettre en place sans vérifier chaque vente et imposer des autorisations. Et une telle procédure dissuadera surtout les pirates non coupables qui craindront d’être criminalisés s’ils n’ont pas les papiers corrects. L’UE essaie de prévoir toutes sortes d’exceptions afin de pouvoir cataloguer leurs actions comme recherche et open source. Mais l’intention est un critère difficilement quantifiable et les pirates de bonne foi en apparence peuvent avoir des visées malintentionnées.

Dans le cas des logiciels d’intrusion, le poison est également l’antipoison : établir des contrôles peut créer des barrières involontaires à la bonne santé de l’Internet. Pourtant, il semble qu’il devrait être possible d’agir autrement que d’intervenir.

Jusqu’à 15 octobre, un feedback constructif était attendu par le biais d’une consultation populaire de l’UE. Reste à espérer que l’UE a reçu suffisamment de commentaires constructifs pour concilier moralité et fonctionnalités.

Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici

Contenu partenaire