Prolifération des capacités de cyber-intrusion : un marché ambivalent incontrôlable ?

L’acquisition de capacités de cyber-intrusion n’est plus exclusivement réservée aux Etats, entreprises et particuliers peuvent désormais bénéficier de l’essor d’un marché privé d’outils d’intrusion informatique. En réaction à ce phénomène, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) a alerté sur la contribution « significative » de « la prolifération d’outils offensifs commerciaux » dans « l’augmentation générale du niveau de menace ». ¹

Il est vrai que le marché des capacités de cyber-intrusion revêt un caractère ambivalent en proposant des offres commerciales qui peuvent satisfaire aussi bien les besoins de la cybersécurité que des intentions cybermalveillantes. En effet, ce marché porte sur le commerce des logiciels d’intrusion et des vulnérabilités informatiques qui permettent à l’acquéreur de pouvoir tester la sécurité de ses systèmes numériques mais aussi de mener des cyberattaques. Malgré les risques de dérive de la prolifération des capacités de cyber-intrusion commercialement accessibles, ce marché en pleine croissance est aujourd’hui devenu essentiel pour les acteurs de la cybersécurité, notamment pour les forces de sécurité qui cherchent à bénéficier des meilleures solutions pour leurs besoins légitimes de cyber-renseignement ou d’enquêtes judiciaires. Dans ces conditions, il apparait difficile de contrôler l’essor de ce marché, d’autant plus que les solutions innovent régulièrement.

Pour autant, le commerce des capacités de cyber-intrusion n’est pas une problématique nouvelle du point de vue juridique. Des stipulations visant à contrôler la prolifération de ces capacités cyber ont été introduites depuis longtemps dans des instruments à caractère général de régulation du cyberespace et des technologies. Cependant, elles se sont révélées insuffisantes. De nouvelles initiatives plus spécifiques se sont alors succédé pour tenter de renforcer le contrôle du marché des capacités de cyber-intrusion, en particulier des logiciels espions, mais des défis sont à relever pour en contrôler véritablement la prolifération.

DES INSTRUMENTS GÉNÉRAUX DE CONTRE-PROLIFÉRATION INSUFFISANTS

Le commerce des capacités de cyber-intrusion n’est pas toujours licite. Tant la Convention de Budapest de 2001 du Conseil de l’Europe ² que le projet de convention des Nations Unies contre la cybercriminalité de 2024 ³ prohibent la production et le trafic, sans motif légitime, des logiciels malveillants ou des vulnérabilités informatiques. Cette prohibition a directement pour objet la contre-prolifération des outils numériques intrusifs et de faire obstacle aux cyberattaques malveillantes. Toutefois, le champ d’application de ces stipulations internationales se limite à réprimer le « marché noir » des capacités de cyber-intrusion. Si cette pénalisation est nécessaire pour lutter contre la cybercriminalité, elle ne permet cependant pas de contrôler la prolifération des capacités développées par les États et les entreprises spécialisées dans la cybersécurité et la cyberdéfense.

De son côté, l’Arrangement de Wassenaar de 1993, l’instrument international de contre-prolifération des armements ⁴, a introduit les capacités de cyber-intrusion dans les listes des biens et technologies devant faire l’objet d’un contrôle et d’une autorisation d’exportation par les autorités nationales. Dès 2012, les systèmes, équipements et composants ainsi que les logiciels et technologies pouvant servir techniquement au fonctionnement des logiciels d’intrusion ont ainsi été inscrits dans la liste des biens à double usage (civils et militaires) de l’Arrangement ⁵. Une modification apportée en 2017 est venue préciser que les biens et technologies concernés ne doivent non plus seulement être techniquement capable de servir au fonctionnement d’un logiciel d’intrusion, mais également d’être en mesure de donner des ordres et de faire exécuter des actions à ce type de logiciel ⁶. En 2019, les outils offensifs ayant vocation à causer des dommages à des systèmes numériques sont entrés dans la liste des matériels de guerre (« munitions list »).

Le régime de contrôle de l’Arrangement de Wassenaar applicable aux logiciels d’intrusion a cependant dû être assoupli afin de ne pas entraver le marché de la cybersécurité. Lors de la révision de 2017, deux exemptions au contrôle des technologies ont été accordées en ce qui concerne la divulgation légitime de vulnérabilités informatiques et les échanges d’informations nécessaires sur les incidents de cybersécurité. Plus problématique, l’Arrangement constitue un accord informel non contraignant pour les Etats participants qui peuvent adopter discrétionnairement des mesures différentes, favorables ou non, à la prolifération des capacités de cyber-intrusion ⁷. Dans les faits, l’Arrangement n’a pas empêché la vente du logiciel espion israélien « Pegasus », spécialisé dans le piratage de smartphones, à des Etats comme le Maroc, l’Arabie saoudite, l’Inde ou la Hongrie, pour espionner des journalistes, des militants, avocats ou responsables politiques ⁸.

Pour autant, la communauté internationale semble vouloir toujours plus renforcer le contrôle et la transparence du marché des capacités de cyber-intrusion, ce qui s’est traduit par plusieurs initiatives récentes de régulation plus spécifiques.

DES INITIATIVES SPÉCIFIQUES POUR RENFORCER LE CONTRÔLE

Considérant que ses entreprises des technologies ne pouvaient plus librement vendre des logiciels espions à des régimes autoritaires sans entrer en contradiction avec ses valeurs de défense et de promotion des droits fondamentaux, l’Union européenne a donc renforcé son régime de contrôle des exportations des biens de cybersurveillance. Dans la continuité du régime de l’Arrangement de Wassenaar (que le droit de l’Union européenne applique), le nouveau règlement européen du 20 mai 2021 relatif au contrôle des biens à double usage ⁹ a donc élargi l’obligation d’autorisation administrative d’exportation applicable aux biens utiles au fonctionnement des logiciels d’intrusion aux biens non listés « conçus spécifiquement pour permettre la surveillance discrète de personnes physiques par la surveillance, l’extraction, la collecte ou l’analyse de données provenant de systèmes d’information et de télécommunications » (article 2 du règlement) et qui peuvent être « destinés, entièrement ou en partie, à une utilisation impliquant la répression interne et/ou la commission de violations graves et systématiques des droits de l’homme et du droit humanitaire international » (article 5 du règlement). L’introduction de cette clause dite « attrape-tout » s’accompagne d’obligations pour l’exportateur de vigilance et d’information sur les risques d’atteintes aux droits fondamentaux par l’usage des biens qu’il commerce.

D’autres pays occidentaux tels que l’Australie, le Canada, les Etats-Unis ou le Royaume-Uni ont également exprimé leurs inquiétudes sur les menaces de la prolifération des logiciels espions commerciaux contre la sécurité nationale et les droits fondamentaux. À l’occasion du deuxième Sommet des démocraties de mars 2023, ces pays se sont engagés politiquement à renforcer ensemble et dans leur droit interne l’encadrement de ces capacités cyber en collaboration avec les industriels ¹⁹. Au même moment, le Président des Etats-Unis a ordonné, par décret présidentiel ¹¹, l’interdiction pour les agences gouvernementales d’utiliser des logiciels espions commerciaux susceptibles de constituer une menace pour la sécurité nationale ou qui sont utilisés abusivement à des fins de violations des droits fondamentaux par des puissances étrangères. En outre, le décret présidentiel conditionne l’achat des logiciels espions au respect d’exigences de sécurité nationale et de promotion des droits fondamentaux. Notons qu’il existe en France un régime d’autorisation d’acquisition des logiciels espions commerciaux prévue par le Code pénal ayant pour objet de veiller au respect du droit à la vie privée ¹².

Au-delà des seules capacités de cyberespionnage, le Processus de Pall Mall ¹³, initié par la France et le Royaume-Uni en février 2024, a pour ambition de responsabiliser davantage le marché privé des capacités de cyber-intrusion en élaborant un « droit souple » (« soft law » en anglais) similaire au Document de Montreux ¹⁴ de 2008 relatif aux activités des entreprises de services de sécurité et de défense ¹⁵. Certains experts ont salué le succès de cette initiative diplomatique sectorielle, qui devrait plus facilement mobiliser les industriels de la cybersécurité et de la cyberdéfense dans la régulation de la militarisation du cyberespace ¹⁶. En revanche, d’autres experts ont exprimé des réserves sur la pertinence du Processus de Pall Mall pour lutter efficacement contre une prolifération des capacités de cyber-intrusion qui apparait être davantage alimentée par les gouvernements que par les entreprises privées ¹⁷.

Les instruments existants de contre-prolifération et les récentes initiatives continuent de soulever des défis à relever pour l’élaboration d’un véritable contrôle du marché des capacités de cyber-intrusion.

LES DÉFIS À RELEVER D’UN VÉRITABLE CONTRÔLE DE LA PROLIFÉRATION

Deux défis nous apparaissent importants à relever pour les Etats et les entreprises. Le premier n’est pas nouveau. Il renvoie aux cycles de négociations internationales de l’ONU sur le droit international applicable au cyberespace et à l’Appel de Paris pour la confiance et la sécurité dans le cyberespace de 2018 ¹⁸. Les instruments juridiques et de droit souple de régulation du marché des capacités de cyber-intrusion devraient concilier ce dernier avec la sécurité du numérique et garantir la stabilité du cyberespace. Autrement dit, les conditions de licéité du développement ou de l’acquisition commerciale de logiciels d’intrusion ou de vulnérabilités informatiques devraient tenir compte de leur risque pour le cyberespace, que ce soit pour les entreprises de cybersécurité ou les gouvernements, aux niveaux national et international. S’agissant plus particulièrement du commerce des vulnérabilités informatiques ¹⁹, sa licéité devrait être remise en question lorsqu’il n’a pas pour cause la sauvegarde de la sécurité du numérique. Relevons que certains États s’efforcent d’encadrer la « course aux vulnérabilités » afin de garantir la cybersécurité de la société. Le droit français organise des mécanismes de divulgation obligatoire ou volontaire ²⁰ à l’ANSSI de vulnérabilités informatiques. Mentionnons également l’existence de doctrines dite « Vulnerabilities Equities Process » (VEP) qui organisent le contrôle des rétentions de vulnérabilités par les agences gouvernementales ²¹.

Le second défi est, quant à lui, relatif à la problématique plus récente de la conciliation du marché des capacités de cyber-intrusion avec le respect des droits fondamentaux et du droit humanitaire. Tout d’abord, il n’est pas certain que l’ensemble de la communauté internationale s’accorde sur la nécessité d’élaborer un contrôle des capacités de cyber-intrusion commercialement accessibles fondé sur la « sécurité humaine », notamment lorsque des pays comme les Etats-Unis ou la Russie se sont montrés réticents à réaffirmer la protection de la vie privée et des données personnelles dans le projet de convention de l’ONU sur la cybercriminalité ²². Ensuite, il peut s’avérer difficile en pratique pour les autorités nationales et les entreprises de caractériser un potentiel risque de violation des droits fondamentaux ou du droit humanitaire dans l’usage final des capacités de cyber-intrusion, d’autant plus lorsque ces capacités ont vocation à porter atteinte à des droits et libertés à des fins légitimes de lutte contre le terrorisme ou la cybercriminalité. Une régulation du marché des capacités de cyber-intrusion fondée sur le respect des droits fondamentaux présente ainsi un risque de contentieux entre les entreprises et les administrations de contrôle. Soulignons cependant que la société française de cybersurveillance, Amesys, et ses dirigeants ont été mis en examen en 2021 pour complicité de torture en Libye entre 2007 et 2011 pour avoir fourni un outil de surveillance au régime autoritaire de Mouammar Kadhafi ²³. Le commerce des capacités de cyber-intrusion n’est donc pas sans conséquences juridiques pour les entreprises en cas d’abus contre les droits et libertés des individus, ce qui confirme la nécessité de tenir compte du respect des droits fondamentaux.

Alors que le contrôle du marché des capacités de cyber-intrusion est traditionnellement justifié par les nécessités de la sécurité nationale, de la sûreté publique ou de la lutte contre la criminalité, il nous semble bienvenu de renforcer ce contrôle en y intégrant les nécessités de sécurité du numérique et de la sécurité humaine. Espérons que ces dernières trouvent à s’appliquer en pratique dans les décisions qui seront prises par les gouvernements et les entreprises, notamment à l’occasion de la prochaine conférence du Processus de Pall Mall qui aura lieu à Paris en avril 2025. La prolifération des capacités de cyber-intrusion n’est pas incontrôlable si les efforts de régulation du marché imposent aux gouvernements et aux entreprises des garanties relatives à la sécurité du numérique et au respect des droits fondamentaux des internautes. Il en va de la sauvegarde de la confiance dans l’économie numérique.

1. Cf. ANSSI, Panorama de la cybermenace 2023, p. 24 (https://www.cert.ssi.gouv.fr/uploads/CERTFR-2024-CTI-001.pdf).
2.  Article 6 de la Convention sur la cybercriminalité du 23 novembre 2001.
3.  Article 11 du projet de convention des Nations Unies contre la cybercriminalité de 2024.
4.  Cf. À Propos – The Wassenaar Arrangement (https://www.wassenaar.org/fr/about-us/).
5.  Sur l’introduction des « logiciels d’intrusion », voir notamment GERY, Aude. « Droit international et prolifération des cyberarmes », Politique étrangère, 2018/2 Été, 2018. p.43-54.
6.  Sur la modification de 2017, voir notamment Observatoire du monde cybernétique, La révision de l’Arrangement de Wassenaar dans le domaine des logiciels d’intrusion et ses conséquences, Lettre n° 70, Janvier 2018.
7.  En ce sens, voir GERY, Aude. « Droit international et prolifération des cyberarmes », op. cit. ou plus spécifiquement pour les systèmes de surveillance numérique KELLER, Jonathan. L’exportation de systèmes de surveillance informatique par les sociétés privées européennes vers les pays tiers, La Revue des droits de l’homme [En ligne], 11 | 2017, mis en ligne le 16 janvier 2017.
8. À ce sujet, voir  le lien Projet Pegasus : des révélations choc sur un logiciel espion israélien – Amnesty International France (https://www.amnesty.fr/liberte-d-expression/actualites/surveillance-revelations-sur-le-logiciel-espion-israelien-pegasus-nso-group?) ou encore l’article de LELOUP, Damien et UNTERSINGER, Martin. « Projet Pegasus » : révélations sur un système mondial d’espionnage de téléphones, Le Monde, 18 juillet 2021.
9.  Règlement (UE) 2021/821 du Parlement européen et du Conseil du 20 mai 2021 instituant un régime de l’Union de contrôle des exportations, du courtage, de l’assistance technique, du transit et des transferts en ce qui concerne les biens à double usage.
10.  En ce sens, voir la Déclaration au deuxième Sommet des démocraties de mars 2023 des Gouvernements de l’Australie, du Canada, du Costa Rica, du Danemark, de la France, de la Norvège, de la Norvège, de la Suède, de la Suisse, du Royaume-Uni et des États-Unis d’Amérique sur la nécessité de contrôles nationaux et internationaux sur la technologie des logiciels espions commerciaux (https://www.gov.uk/government/news/efforts-to-counter-the-proliferation-and-misuse-of-commercial-spyware-joint-statement).
11.  Executive Order on Prohibition on Use by the United States Government of Commercial Spyware that Poses Risks to National Security (https://www.whitehouse.gov/briefing-room/presidential-actions/2023/03/27/executive-order-on-prohibition-on-use-by-the-united-states-government-of-commercial-spyware-that-poses-risks-to-national-security/).
12. Article 226-3 du Code pénal et articles R. 226-1 à R. 226-12 du même code.
13. Cf. Processus de Pall Mall : Lutter contre la prolifération et l’usage irresponsable des capacités d’intrusion cyber disponibles sur le marché (Lancaster House, Londres, 06.0224) – Ministère de l’Europe et des Affaires étrangères (https://www.diplomatie.gouv.fr/fr/politique-etrangere-de-la-france/securite-desarmement-et-non-proliferation/actualites-et-evenements-lies-a-la-securite-au-desarmement-et-a-la-non/2024/article/processus-de-pall-mall-lutter-contre-la-proliferation-et-l-usage-irresponsable). 
14. Cf. Le Document de Montreux (https://www.icrc.org/sites/default/files/external/doc/fr/assets/files/other/icrc_001_0996.pdf).
15.  Cf. VERDIER, Henri et ROLLAND, Léonard. L’usage responsable des capacités commerciales de cyber-intrusion : une perspective diplomatique, 8^ème rapport d’activité (2023) de la CNCTR, p. 175 et suivantes.
16.  Cf. Le processus de Pall Mall sur les outils de cyberintrusion : passer de la parole aux actes | Institut royal des services unis (https://rusi.org/explore-our-research/publications/commentary/pall-mall-process-cyber-intrusion-tools-putting-words-practice).
17.  Cf. Le processus de Pall Mall sur les capacités de cyberintrusion | Lawfare (https://www.lawfaremedia.org/article/the-pall-mall-process-on-cyber-intrusion-capabilities).
18. Cf. L’appel de Paris — Appel de Paris (https://pariscall.international/fr/call).
19.  La loi n° 2023-703 du 1er août 2023 relative à la programmation militaire pour les années 2024 à 2030 a prévu une obligation spécifique de notification à l’ANSSI de « vulnérabilité significative » à la charge des éditeurs de logiciels soumis à la législation française.
20.  L’article 2321-4 du code de la défense permet aux hackers éthiques de divulguer à l’ANSSI des vulnérabilités informatiques sans être nécessairement poursuivis pénalement.
21. On retrouve des démarches de doctrine de VEP aux Etats-Unis, au Royaume-Uni, en Australie, au Canada ou encore en Allemagne mais aussi à l’international (voir notamment M. Schulze, Quo Vadis Cyber Arms Control ? A Sketch of an International Vulnerability Equities Process and a 0-Day Emissions Trading Regime, Science Peace Security ’19. Proceedings of the Interdisciplinary Conference on Technical Peace and Security Research Christian Reuter, Jürgen Altmann, Malte Göttsche, and Mirko Himmel (Editors). TUprints, Darmstadt, 2019).
22. Cf. TARNOWSKI, Stanislas. Convention sur la cybercriminalité : « Le risque, c’est que les Nations unies créent une Convention qui affaiblisse celle de Budapest », estime Karine Bannelier, InCyber News, 1^er mars 2023 (https://incyber.org/article/convention-sur-la-cybercriminalite-le-risque-cest-que-les-nations-unies-creent-une-convention-qui-affaiblisse-celle-de-budapest-estime-karine-banneli/).
23.  Cf. FIDH, « Surveillance et torture en Libye : la Cour d’appel de Paris confirme la mise en examen d’Amesys et de ses dirigeants, et annule celle de deux salariés », 21 novembre 2022.