Levée de boucliers contre l’arrangement de Wassenaar

C’était hier le dernier jour, outre-Atlantique, pour apporter des commentaires formels au projet de transposition dans la loi américaine de la version de l’arrangement de Wassenaar mise à jour fin 2013. Cet arrangement est un accord multilatéral de contrôle des exportations pour armes conventionnelles et équipements et technologies à usage à la fois civil et militaire. Quarante et un pays en sont signataires. Depuis décembre 2013 figurent sur la liste de nombreux outils susceptibles d’être utilisés pour l’intrusion dans des systèmes informatiques, ou pour la surveillance, tant individuelle que de masse.

A titre de transposition, le bureau de l’industrie et de la sécurité du ministère du commerce américain a proposé des règles de contrôle des exportations qui couvrent les « systèmes, équipements, composants et logiciels spécifiquement conçus pour la production, l’opération ou la fourniture, ou la communication avec des logiciels d’intrusion, dont les produits de test d’intrusion pour identifier les vulnérabilités des ordinateurs et des appareils capables de connexion réseau ».

Et les voix s’opposant à cette transposition n’ont pas manqué de s’élever, dès la fin mai dernier – voire avant – , alors que le projet de transposition a été présenté et que l’appel à commentaires a été lancé, mais encore plus ces jours-ci, alors que l’appel touchait à sa fin.

Les organisateurs de la célèbre conférence Black Hat – dont l’édition européenne se déroulera du 10 au 13 novembre prochains – estiment ainsi que l’arrangement, dans sa rédaction actuelle « a le potentiel de restreindre significativement et/ou d’éliminer la profondeur et certains types de recherche examinés par de nombreux membres de notre communauté de la sécurité, en particulier pour ceux qui collaborent dans le monde entier ». Le jeudi 6 août, une table ronde sera consacrée au sujet à l’occasion de l’édition américaine de la conférence.

Cisco ne cache pas son inquiétude. Mais pour Google aussi, le projet de transposition pose problème : « nous pensons que les règles proposées, dans leur rédaction actuelle, auraient un impact négatif significatif sur la communauté ouverte de recherche en sécurité. Elles affecteraient notre capacité à nous défendre, à défendre nos utilisateurs, et à rendre le Web plus sûr ».

Jugées trop larges et trop floues, les règles proposées ne seraient ainsi pas applicables pour Google : pour le géant du Web, elles conduiraient à « la demande de milliers, peut-être même de dizaines de milliers – d’autorisations d’exportation ». Et puisque le groupe est une multinationale… « les contrôles pourraient couvrir nos communications au sujet de vulnérabilités logicielles, y compris e-mails, systèmes d’examen de code, systèmes de suivi de bugs, messageries instantanées, jusqu’à certaines communications de visu ! ».

De fait, dans sa liste de questions/réponses, le ministère du commerce américain reconnaît que sa transposition impliquerait le besoin d’une licence pour conduire des recherches en cas de « transfert de technologie contrôlée, de logiciel exécutable, ou de code source ». Et de préciser, pour être plus clair, que le contrôle s’appliquerait aussi « aux informations nécessaires pour développer, tester, affiner et évaluer des logiciels d’intrusion ».

Pour le groupe, « on ne devrait jamais avoir besoin d’une autorisation pour rapporter un bug et en obtenir correction », « les multinationales devraient pouvoir partager l’information dans le monde entier », et surtout, « la clarté est cruciale ».

Et justement, le flou est entretenu. Par exemple, « tous les logiciels malveillants et exploits ne répondent pas à la définition de logiciel d’intrusion ». Mais celle-ci échoue à dresser un portrait véritablement précis : selon elle, il s’agit de logiciels « capables d’extraire ou de modifier des données, ou de modifier le chemin d’exécution standard d’un logiciel afin de permettre l’exécution d’instructions fournies de l’extérieur ». Tout exploit permettant l’exécution de code distant semble donc ici concerné…  

Pour Katie Moussouris, de HackerOne, c’est simple : « des réglementations trop larges sont pire que leur absence ». Un avis partagé par d’autres, au moins dans ce cas précis. Pour Michael Ossmann, la transposition proposée manque également de clarté. Mais plus généralement, « le logiciel est une forme d’information, et le contrôle du flux de l’information est très différent du contrôle du transport de biens physiques ». Et d’appeler au retrait des logiciels de la liste de Wassenaar.

Quant à Robert Graham, d’Errata Security, la première phrase de son commentaire résume la situation : « j’ai créé le premier système de prévention d’intrusion, ainsi que de nombreux outils et produit de nombreuses recherches en cybersécurité au cours des 20 dernières années. Je n’aurais rien fait de tout cela si ces règles avaient été en place ». Et de souligner « qu’il n’est pas possible de clarifier entre bon et mauvais logiciel, parce qu’il n’y pas de différence entre outils offensifs et défensifs ».

Certains grands éditeurs savent d’ailleurs bien profiter de la dualité de leurs logiciels. Et l’ambiguïté apparaît là sans limite : « les contrôles d’exportation sur les logiciels offensifs impliquent des contrôles sur les logiciels défensifs. Des contrôles à l’exportation impliquent que les Soudanais et les Ethiopiens ne peuvent plus se défendre de leurs gouvernements ».

Pour Robert Graham, l’arrangement de Wassenaar a ainsi été modifié sous la pression d’activistes des droits de l’homme, « pour de bonnes raisons », concède-t-il, mais avec la promesse de résultats inverses à ceux souhaités.

Avec nos confrères de SearchSecurity.com.