Généralement, lorsqu’un gouvernement ou une coalition souhaite faire accepter l’inacceptable dans le but non avoué de mieux contrôler ses populations, il légalise la pratique en question. La loi sur le Renseignement en France en est un exemple, ce risque d’être le cas également d’une extension des textes des accords de Waassenaar créant une nouvelle catégorie d’armes à contingenter : les « cyber-flingues d’intrusion ».
Wassenaar, paisible bourgade des Pays Bas réputée pour son Zoo et le fait qu’il ne s’y passe pratiquement jamais rien fut, en 1996, le lieu où se rédigèrent les fameux « arrangements » portant le nom de la ville, et aux termes desquels les différentes puissances mondiales s’entendaient pour effectuer un contrôle des exportations d’armes. Ces arrangements reposent sur des listes d’outils destinés à détruire son prochain avec raffinement et efficacité, listes régulièrement mises à jour.
En d’autres termes et en simplifiant à l’extrême, les accords de Wassenaar ne servent qu’à légaliser une pratique illégale en droit commercial : l’entente illicite. Les principaux pays marchands de canons s’arrogeant le droit de décider qui a le droit d’acheter du matériel de guerre et qui a le droit d’en vendre ou d’en fabriquer.
Ce genre d’accord est assez pratique pour exercer des pressions sur la scène politique internationale. Il suffit d’inventer la présence d’armes de destruction massive, et la justification Wassenaar se met en branle. Mais lorsqu’un commerçant dûment patenté par l’accord en question souhaite traiter avec un Etat-Voyou, il lui suffit de trouver un intermédiaire, généralement une petite nation Africaine en mal d’équipement militaire, ou de transiter par quelque pays neutre qui se fera un plaisir, via des sociétés-écran, de vendre des centrifugeuses ou des mines anti-personnelles.
C’est très exactement ce qu’il risque d’arriver avec une proposition du Gouvernement US qui entend inscrire les « intrusion software » dans la catégorie des armes à contingenter. Avec quelques exceptions, certes, mais le terme de « logiciels d’intrusion » est tellement flou que pratiquement tout et n’importe quoi pourrait correspondre à cette catégorie. A ce titre, Sean Sullivan de F-Secure fait remarque que ce flou intègre les « outils de détection » tels que les antivirus, IPS, IDS et firewalls toutes générations confondues, et que l’exportation d’une licence d’A.V. pourrait bien se transformer en un enfer de paperasserie.
Trois catégories de cyber-armes sont ainsi règlementées. Les « malware d’intrusion », les « exploits d’intrusion » et les produits « de surveillance IP ». C’est étrange, mais l’on dirait presque que le rédacteur de ces recommandations pensait tout particulièrement aux inoubliables productions Françaises de la société Amesys (et des produits concurrents développés par d’autres grands groupes nationaux).
N’ayons crainte, Amesys pourra toujours vendre ses outils d’optimisation de réseau délivrant des billets gratuits pour les salles de torture Lybiennes ou assimilées. Seulement, les formulaires administratifs seront légèrement plus nombreux et les contrats un tout petit peu plus compliqués à rédiger. Gageons qu’une fois encore, de petits états Africains n’ayant pas les moyens de s’offrir des backbones IP sérieux auront besoin de systèmes de monitoring évolués. Après tout, il faut bien commencer sur des bases solides.
En revanche, la chanson risque de ne plus du tout être la même pour les éditeurs de logiciels et certaines entreprises du monde de la sécurité. Désormais, le bug et l’exploit subiront des contingentements… et par voie de conséquence cela pourrait bien occasionner un marché noir très juteux. Durant le mois écoulé, deux grands noms ont augmenté leurs « bug bounties ». Mozilla, qui achète un « trou avec PoC de première catégorie » aux environs de 7500 $ contre 3000 auparavant, et Microsoft, qui ajoute Azure et le projet Spartan à la liste logiciels-terrain-de-chasse-pour-bughunters. Les primes au trou, précise le communiqué du Response Team, peuvent atteindre 100 000 dollars, soit le montant de 250 à 500 véritables fusils d’assaut au marché noir. Si l’on ajoute à ces deux actualités le travail des multiples centrales d’achats d’exploits tel le Zero Day Initiative, HackerOne, Bugcrowd, Crowdcurity ou Synack, et que l’on complète la liste avec les noms des spécialistes du Pentesting tels que ImmunitySec (Canvas) ou Vupen, ex-entreprise Française basée désormais à Annapolis, l’on se rend vite compte que la proposition Wassenaar des USA pourrait bien avoir des conséquences formidables en termes de sécurité des TIC.
La première d’entre ces conséquences est la massification progressive des compétences sur le territoire US. Un pays, cela va sans dire, qui n’a pas besoin des autorisations Wassenaar pour produire ses propres armes à usage « interne » quand bien même « l’interne » concernerait l’Europe comme le prouvent les fichiers Snowden et les différentes opérations d’espionnage que la NSA a mené en France, en Allemagne et en Espagne notamment.
La seconde conséquence serait, comme déjà mentionné, la création d’un nouveau marché noir de l’exploit. Il en existe déjà plusieurs, qui alimentent soit le secteur purement mafieux des « rings » de Russie, de Chine, d’Amérique du Nord et du Sud, soit les hacktivistes de ces mêmes pays (au nombre desquels l’on doit ajouter quelques Nations du Moyen Orient), soit des mercenaires spécialistes de l’espionnage industriel…
Or, ces nouveaux marchés du cyberflingue « Wassenaar free » ne suivra pas les circuits traditionnels de la vente d’arme. Point d’intermédiaire Africain pour faire transiter une Kalachnikov binaire, nulle Aktiengesellschaft Helvétique pour s’assurer du transport d’une centrifugeuse de code virtuelle. Il suffit d’une liaison IP et d’un compte en banque numéroté. Et la première victime ne sera pas nécessairement la personne visée par la cyberarme en question, mais tous les usages de systèmes d’information, qui verront s’amenuiser encore plus le volume de correctifs et les capacités de détection et de défense des outils périmétriques. Le prix de vente d’un exploit à un militaire n’est pas le même que celui affiché au barème des bug-bounties.
Tout comme dans le domaine du Renseignement en France, l’encadrement juridique des outils de « cyber-attaque » ne vise certainement pas à limiter l’usage illégal ou agressif de ces outils, mais d’amoindrir l’autonomie et faciliter la surveillance de chaque citoyen, de chaque entreprise.
