Le département américain du Commerce a annoncé une nouvelle règle pour empêcher la vente d'outils de piratage à la Chine et à la Russie, rapporte le Washington Post. Le département du Commerce a décrit le changement dans un communiqué de presse mercredi, qui oblige les entreprises américaines à détenir une licence pour vendre des logiciels espions et autres logiciels de piratage à des pays « de sécurité nationale ou d'armes de destruction massive ».
La règle est complexe et à dessein. Si une entreprise américaine souhaite exporter un logiciel espion vers un gouvernement qui pose un problème de sécurité nationale, l'entreprise aurait besoin d'une licence. Mais si le logiciel est spécifiquement destiné à la cyberdéfense et n'est vendu à aucune personne associée au gouvernement, aucune licence ne serait nécessaire. Comme l'explique The Post, les entreprises auront besoin d'une licence pour exporter des logiciels et des équipements de piratage vers la Chine, la Russie et d'autres pays répertoriés, que ce soit pour la cyberdéfense ou non.
« Les États-Unis se sont engagés à travailler avec nos partenaires multilatéraux pour dissuader la propagation de certaines technologies »
« Les États-Unis se sont engagés à travailler avec nos partenaires multilatéraux pour empêcher la propagation de certaines technologies pouvant être utilisées pour des activités malveillantes menaçant la cybersécurité et les droits de l'homme », a déclaré Gina M. Raimondo, la secrétaire américaine au Commerce.
La règle devrait entrer en vigueur fin janvier et cible des outils et des logiciels comme Pegasus. Ce logiciel intrusif, fabriqué par la société israélienne NSO Group, a été utilisé par les gouvernements pour espionner les smartphones des journalistes et des militants des droits humains. Il est capable de voler des données sur des téléphones portables et même d'activer le micro d'un appareil, tout en passant inaperçu.
Bien que les États-Unis soient membre de l'Arrangement de Wassenaar, un régime volontaire de contrôle des exportations qui fixe des règles sur l'exportation de technologies à double usage, c'est l'un des derniers des 42 pays participants d'imposer des restrictions sur la vente d'outils de piratage. Les responsables de la sécurité qui ont parlé à The Post ont déclaré que les États-Unis avaient mis si longtemps à créer la règle en raison de sa complexité. Si cela était fait de manière incorrecte, une telle limitation pourrait empêcher les spécialistes de la cybersécurité de collaborer avec des experts d'autres pays.
Le ministère du Commerce accorde une période de 45 jours pour les commentaires du public, puis 45 jours supplémentaires pour apporter des modifications supplémentaires avant qu'il n'entre officiellement en vigueur.