Les États-Unis veulent réguler l'exportation de failles zero day

Les États-Unis veulent inclure les failles zero day à l’arrangement de Wassenaar sur le contrôle des exportations d’armes classiques et de biens et technologies à double usage.

Le département du Commerce américain propose d’inclure les failles logicielles à l’arrangement de Wassenaar sur le contrôle des exportations d’armes classiques et de biens et technologies à double usage, rapporte Reuters. La méthode choisie par les Américains est l’obtention d’une licence pour l’exportation de ces failles. Le but : limiter le soutien de l’industrie IT aux « ennemis » des États-Unis.

Établi en 1996 aux Pays-Bas, l’arrangement dit de Wassenaar est actuellement soutenu par 41 Pays*, dont la France. Il vise à coordonner les exportations et transferts d’armes conventionnelles, biens et technologies sensibles à double usage (civil et militaire). Le secrétariat de l’initiative est installé à Vienne, en Autriche.

Un juteux marché à contrôler

La proposition américaine est ouverte à consultation pendant 60 jours. Elle intéresse les failles zero day, ces vulnérabilités inconnues du fournisseur du logiciel avant que des tiers – hackers ou professionnels de la sécurité – ne le préviennent. Ces tiers peuvent vendre les informations sur les failles détectées à l’éditeur concerné, un gouvernement ou d’autres organisations.

Washington souhaite que ces ventes ne puissent se faire à l’extérieur de marchés anglophones (États-Unis, Royaume-Uni, Canada, Australie et Nouvelle-Zélande) sans autorisation spéciale. Les critiques estiment que la proposition américaine entravera la collaboration transfrontalière en matière de sécurité informatique, sans freiner le marché noir. Une aberration selon Chaouki Bekrar, fondateur de Vupen,qui entrevoit un « enfer » pour les chercheurs et les sociétés de sécurité aux Etats-Unis.