Les scandales entourant la vente à des régimes autoritaires de technologies pouvant avoir un usage offensif se sont multipliés.
Comment le logiciel espion Pegasus a-t-il pu être commercialisé si massivement à des Etats qui en ont fait, comme le montre l’enquête d’un consortium de dix sept médias, dont Le Monde, un usage abusif, ciblant aussi bien journalistes, avocats, militants des droits de l’homme et opposants politiques ?
Si des juges d’instruction et des tribunaux pourraient dans certains pays établir des responsabilités pénales – en France, une enquête a été ouverte par le parquet de Paris le 20 juillet –, certaines voix appellent, d’ores et déjà, à une réponse plus globale et politique.
« Il ne s’agit pas seulement de se demander qui tenir pour responsable, par exemple en Israël ou au sein de cette entreprise en particulier », a réagi le lanceur d’alerte Edward Snowden, dans une interview accordée aux rédactions du « Projet Pegasus ».
Et d’asséner : « Le régime actuel des exportations a échoué à contrôler l’impact de l’industrie des logiciels malveillants. » Car, si des entreprises comme NSO Group, et d’autres avant elle, ont pu vendre des logiciels espions sophistiqués à des régimes autoritaires ou à des pays en faisant un usage dévoyé, c’est grâce à un régime juridique jugé incomplet par les ONG, un filet dont les mailles sont, y compris pour certains responsables politiques, trop larges.
Le filet en question porte le nom d’une petite commune néerlandaise : l’arrangement de Wassenaar, signé en 1996. Il s’agit d’un texte international initialement pensé pour mieux réglementer les ventes d’armes internationales, mais aussi ce que l’on appelle les « biens à double usage », des produits qui, selon leur destination, leur client, peuvent avoir des applications militaires et doivent donc être encadrés. La France et les Etats Unis, notamment, sont signataires de ce texte.
L’accord initial a été mis à jour au fil du temps pour intégrer les nouvelles technologies pouvant avoir un usage offensif dont, par exemple, les logiciels espions.
« Dans le monde virtuel, les biens à double usage ont un risque d’utilisation militaire très fort, la barrière est plus fine », juge Alain Benssoussan, avocat au cabinet Lexing.
S’il est non contraignant, et que de nombreux Etats, dont Israël, n’en sont pas membres, l’arrangement de Wassenaar est le pilier du cadre légal dictant les exportations des biens à double usage, et donc des outils de surveillance numérique. Les EtatsUnis comme l’Union européenne imposent aux entreprises vendant de tels produits de demander aux autorités dont elles dépendent des licences d’exportation, laissant à chaque Etat le soin d’autoriser ou non la transaction.
Wassenaar et ses applications ont fait l’objet de nombreuses critiques. Constatant l’utilisation abusive de logiciels espions par des pays autoritaires, des ONG et des responsables politiques ont critiqué le laxisme des textes actuels.
Nouvelles règles européennes
En 2015, des fichiers volés par un pirate à l’entreprise italienne Hacking Team avaient révélé que cette société avait vendu un logiciel espion à l’Azerbaïdjan, au Soudan du Sud et à l’Arabie saoudite. En 2020, l’armée colombienne a été soupçonnée d’avoir acheté et utilisé de façon abusive un outil de surveillance vendu par l’entreprise espagnole Mollitiam. Et la France n’est pas en reste, puisque des entreprises y ont été accusées de vendre des outils de surveillance à des régimes autoritaires, comme Amesys, dont l’ancien patron a été mis en examen en juin pour « complicité d’actes de torture ».
Après des années de débat, l’Union européenne a voté récemment un texte, qui entrera en vigueur en septembre, intégrant aux mécanismes de contrôle des exportations la nécessité de prendre en compte les risques que représentent ces « mouchards » informatiques pour les droits de l’homme.
Le nouveau règlement européen impose également de tels contrôles aux produits de cybersurveillance qui ne sont pas officiellement listés dans les textes de Wassenaar et passent entre les mailles du filet mais peuvent être utilisés à des fins de répression politique.
L’application de ces nouvelles règles dans le quotidien des exportations reste, cependant, floue, en l’absence, pour le moment, de consignes envoyées aux industriels et de détails pratiques sur la façon dont le risque pour les droits de l’homme sera évalué.
Aux Etats Unis, les autorités ont publié un guide à destination des fabricants, en établissant une liste de conseils pour déterminer, entre autres, si un client potentiel pourrait utiliser une technologie pour violer le droit humanitaire.
Toutefois, les Etats restent décisionnaires.
Pour Raman Jit Singh Chima, expert pour l’ONG Access Now, l’application des règles d’exportation est une « boîte noire » politique, où la souveraineté nationale et les intérêts des Etats finissent par triompher. « Il faut que [les Etats se réunissent] pour demander si ces règles d’exportation sont réellement appliquées », juge t-il.
L’Etat israélien met en œuvre, en principe, des règles largement inspirées de Wassenaar sur les biens à double usage. Mais plusieurs ONG ont critiqué des octrois de licence trop généreux, par exemple, à l’entreprise NSO Group par les autorités. « Israël est une passoire. Le régime en principe est sérieux, mais il y a une collusion entre le politique et l’industrie », note un expert du secteur.
Les contrats signés par NSO Group avec différents Etats ont ainsi participé à restaurer des relations diplomatiques entre Israël et certains pays clients. »
florianreynaud
LE MONDE , mercredi 28 juillet 2021