Le 27 mars dernier, la Maison-Blanche publiait un décret présidentiel interdisant aux agences de renseignement et aux forces de l’ordre d’utiliser des logiciels commerciaux d’espionnage et de surveillance sur lesquels pèsent des soupçons éthiques ou sécuritaires. Plus particulièrement, sont bannis les spywares dont l’utilisation a pu être prouvée dans le cas de violations des droits de l’homme par des gouvernements connus pour leur transgression systématique de ces derniers ou qui auraient pu être utilisés pour espionner le gouvernement des États-Unis ou des ressortissants américains (1).
Le contexte de cette annonce éclaire bien entendu les raisons de cette décision. D’une part, les journaux américains ont révélé quelques jours auparavant que près de 50 citoyens américains auraient été espionnés à l’aide du logiciel Pegasus de l’entreprise israélienne NSO Group (2). Cette entreprise, placée sous sanction par le Département du Commerce des États – Unis en novembre 2021 après les révélations d’un consortium international de journalistes durant l’été de la même année, aurait cherché à vendre certains de ses spywares au FBI en 2019-2020. D’autre part, le décret présidentiel intervient quelques jours avant deux déclarations conjointes lors du deuxième Sommet pour la démocratie, organisé par les États – Unis. La première émane des entreprises du Tech Accord (un ensemble d’acteurs privés s’étant engagés à ne pas faciliter, soutenir et permettre des opérations offensives, à l’initiative de Microsoft en 2018) et consiste en une série de principes visant à combattre le développement des « cybermercenaires », c’est-à‑dire les entrepreneurs privés bénéficiant de la vente de solutions offensives, dont les spywares (3).
La seconde est une déclaration conjointe contre la prolifération et le mésusage des logiciels espions (4). Signée par l’Australie, le Canada, le Costa Rica, le Danemark, l’Estonie, la France, le Japon, la Nouvelle – Zélande, la Norvège, la Suède, le Royaume – Uni et les États – Unis, elle s’accompagne de la mise en place d’un dialogue stratégique sur « la cybersécurité civile face à la répression transnationale » (5). Enfin, le décret de la Maison – Blanche doit aussi se comprendre à la lumière de la nouvelle stratégie nationale de cybersécurité rendue publique le 3 mars. Cette dernière insiste en effet sur la nécessité de réviser le « contrat social cyber » en plaçant les exigences et les responsabilités de la cybersécurité sur les acteurs du secteur numérique et non plus sur les seuls utilisateurs (sécurité by design et sécurité par défaut). Ainsi se déploierait un ensemble de mesures de la part des pouvoirs publics américains afin de réguler l’écosystème numérique et de cybersécurité de manière à augmenter la résilience du tissu économique des États – Unis et de leurs alliés, mais aussi de lutter contre le développement d’un « autoritarisme numérique » dont l’essor s’expliquerait aussi par la promotion d’un modèle alternatif de gouvernance de la sphère informationnelle et du cyberespace par la Chine et d’autres régimes autoritaires.
Cet effort montre donc la prise de conscience par les autorités américaines (de même qu’au Congrès) de l’importance de préserver une forme de « cybersécurité humaine » dans un contexte où le risque d’une dérive autoritaire du cyberespace et d’Internet semble de plus en plus menaçant. Il décline aussi la compétition de long terme avec la Chine dans des dimensions où la domination des acteurs (et donc des normes) américains est de plus en plus remise en question. Pour autant, les spywares incarnent aussi les paradoxes de ce récit peut – être trop binaire. Dans un rapport paru deux semaines avant le décret présidentiel, la fondation Carnegie montrait que, sur 74 gouvernements ayant acquis des logiciels d’espionnage commerciaux entre 2011 et 2023, 30 seraient des régimes démocratiques libéraux et électoraux (6). Les révélations du consortium international de journalistes sur Pegasus ainsi que d’autres enquêtes dans la presse ont ainsi montré que certains gouvernements de l’Union européenne avaient eu recours à Pegasus ou à d’autres spywares pour surveiller des adversaires politiques ou des activistes. Les forces de l’ordre d’autres gouvernements européens auraient aussi fait l’acquisition de solutions d’investigation également utilisées par des régimes autoritaires dans le cadre de la répression de l’opposition politique.
Par ailleurs, 56 des gouvernements identifiés dans le rapport se sont procuré ces outils auprès d’un nombre limité d’acteurs du secteur, principalement israéliens (NSO Group étant l’un des plus significatifs). Ainsi, on ne saurait tracer une ligne étanche entre un monde autoritaire, acteur de pratiques répressives facilitées par l’omniprésence des technologies numériques de l’information, et un monde démocratique conscient des menaces que les solutions de sécurité informatique font peser sur les libertés individuelles. Il semblerait que la demande de technologies d’intrusion (c’est-à‑dire permettant l’accès aux systèmes et réseaux visés) favorise l’essor du secteur commercial des « capacités cyber offensives » (7). Les effets en matière de sécurité s’observent donc à plusieurs échelles puisqu’au problème de la sécurité humaine (la répression et le contrôle exercés par les outils numériques) s’ajoute celui de la prolifération d’outils et de pratiques d’intrusion susceptibles de renforcer les capacités d’un large éventail d’acteurs et de déstabiliser davantage la sécurité internationale.
Le fait même que les gouvernements s’adonnent à l’espionnage, et que la pratique de ce dernier connaisse un certain nombre d’évolutions du fait des technologies et des réseaux numériques, est un obstacle supplémentaire à l’entreprise de régulation et de normalisation du cyberespace (8). Dans ce domaine en effet, on tend à observer la persistance (voire l’intensification) de ce type d’activité et le lien supposé entre les agences gouvernementales et certaines entreprises privées. Cependant, on voit aussi l’évolution des réactions publiques à la découverte d’intrusions de grande ampleur : si globalement les gouvernements continuent de jouer le jeu du « business as usual », la publicisation et la politisation de ces affaires tend à durcir le ton des débats et à contraindre la marge de manœuvre des gouvernements. Enfin, si les contraintes et les pressions financières peuvent être un outil pour limiter le marché des spywares, elles restent suspendues à la capacité collective à les mettre en œuvre et à les faire respecter.
Plus largement donc, les logiciels espions manifestent les évolutions du paysage sécuritaire contemporain dans lequel les catégories traditionnelles des acteurs, des échelles et des menaces tendent à se combiner, à se recomposer ou à se brouiller. Les spywares sont ainsi l’un des éléments paradoxaux accompagnant la « révolution des capacités individuelles » décrite à l’orée de ce siècle par J. Rosenau. Ce dernier y voyait en effet un signe d’émancipation sans toutefois négliger la possibilité de développements plus dystopiques.
Notes
(1) Maison-Blanche, « EO 14093 Executive Order on Prohibition on Use by the United States Government of Commercial Spyware that Poses Risks to National Security », 27 mars 2023.
(2) Ellen Nakashima et Tim Starks, « At least 50 U.S. government employees targeted with phone spyware overseas », The Washington Post, 27 mars 2023.
(3) Tech Accord, « New Industry Principles to Curb Cyber Mercenaries », 27 mars 2023.
(4) Maison-Blanche, « Joint Statement on Efforts to Counter the Proliferation and Misuse of Commercial Spyware », 30 mars 2023.
(5) Joint Statement on the Strategic Dialogue on Cybersecurity of Civil Society Under Threat of Transnational Repression, 30 mars 2023.
(6) Steven Feldstein et Brian Kot, « Why Does the Global Spyware Industry Continue to Thrive ? Trends, Explanations, and Responses », Carnegie Endowment for International Peace Working Paper, 14 mars 2023.
(7) Winnona DeSombre, James Shires et coll., « Countering cyber proliferation : Zeroing in on Access-as-a-Service », Atlantic Council Cyber Statecraft Initiative, 1er mars 2021.
(8) Amy B. Zegart, Spies, Lies and Algorithms : The History and Future of American Intelligence, Princeton University Press, Princeton, 2022.
Légende de la photo ci-dessus : Discussion au parlement européen autour des spywares. (© Alexandros Michailidis/Shutterstock)