L’administration Biden a annoncé lundi un nouveau décret qui interdirait largement aux agences fédérales américaines d’utiliser des logiciels espions développés commercialement qui menacent les droits de l’homme et la sécurité nationale.
La décision d’interdire aux agences fédérales – y compris les forces de l’ordre, la défense et le renseignement – d’utiliser des logiciels espions commerciaux intervient alors que les responsables ont confirmé que des dizaines de membres du personnel du gouvernement américain avaient leurs téléphones ciblés.
Les défenseurs des droits humains et les chercheurs en sécurité mettent en garde depuis des années contre les risques posés par les logiciels espions commerciaux, créés dans le secteur privé et vendus presque exclusivement aux gouvernements et aux États-nations. Cette puissante technologie de surveillance exploite souvent des failles auparavant non divulguées trouvées dans un logiciel iPhone ou Android pour voler les photos, les contacts, les journaux d’appels, les messages et les données de localisation en temps réel d’une personne. Mais alors que les gouvernements prétendent utiliser exclusivement la technologie pour enquêter sur des crimes graves, les critiques affirment que le logiciel espion a été déployé contre des journalistes, des avocats et des défenseurs des droits humains, souvent ceux qui critiquent ouvertement leurs gouvernements.
Lors d’un appel avec des journalistes avant la signature de la commande, les responsables de l’administration Biden ont déclaré que les États-Unis essayaient de devancer le problème et d’établir des normes pour les autres gouvernements et leurs alliés, qui achètent et déploient des logiciels espions commerciaux. L’ordonnance est la dernière mesure prise par le gouvernement ces dernières années, notamment en interdisant à certains fabricants de logiciels espions de faire des affaires aux États-Unis et en adoptant des lois visant à limiter l’utilisation et l’achat de logiciels espions par les agences fédérales.
Les responsables ne nommeraient pas le logiciel espion spécifique concerné par le décret, bien que les critères affectent probablement les fabricants et fournisseurs de logiciels espions connus du gouvernement connus pour vendre aux gouvernements autoritaires qui commettent des violations des droits de l’homme, notamment NSO Group, Cytrox et Candiru. Les responsables ont déclaré que la commande incluait à la fois les logiciels espions nationaux et étrangers, afin de ne pas inciter les entreprises à se délocaliser aux États-Unis, mais que la liste des logiciels espions interdits ne serait pas nécessairement rendue publique.
Les responsables ont averti que l’utilisation abusive de ces outils de surveillance ne se limite pas aux régimes autoritaires, notant que les gouvernements démocratiques – y compris des pays européens comme la Grèce, l’Espagne et la Pologne – se sont également appuyés sur des logiciels espions commerciaux.
La semaine dernière, l’ancien responsable de la confiance et de la sécurité de Meta, Artemis Seaford, qui détient à la fois des passeports américain et grec, a été confirmé piraté par le logiciel espion Predator, probablement à la demande du gouvernement grec, qui nie avoir utilisé le logiciel espion développé par la société nord-macédonienne Cytrox. Seaford, qui a déclaré ne pas savoir pourquoi elle avait été ciblée, est la dernière victime américaine connue de logiciels espions commerciaux ciblés, y compris des enfants de journalistes ciblés vivant aux États-Unis et des employés du gouvernement américain travaillant à l’étranger.
En 2021, les iPhones de plusieurs employés de l’ambassade américaine en Ouganda ont été piratés par Pegasus, un logiciel espion développé par la société israélienne NSO Group. Les responsables de Biden ont confirmé lundi qu’au moins 50 employés fédéraux américains dans 10 pays sur plusieurs continents sont suspectés ou confirmés comme étant compromis par des logiciels espions, mais n’ont pas pu exclure d’autres cas.
Les États-Unis n’ont pas non plus échappé aux questions sur leur propre utilisation et déploiement présumés de logiciels espions commerciaux. Le FBI aurait acheté une licence pour Pegasus du groupe NSO en 2020 et 2021, mais a déclaré que la licence était uniquement destinée à la recherche et au développement. La Drug Enforcement Administration utilise également Graphite, un logiciel espion développé par la société israélienne Paragon. La DEA prétend n’utiliser l’outil qu’en dehors des États-Unis, mais ne dit pas si les Américains sont ciblés.
Les responsables de l’administration Biden ont refusé de dire aux journalistes lundi si d’autres agences fédérales américaines utilisaient de manière opérationnelle des logiciels espions commerciaux.
L’ordonnance est la dernière d’une série de réponses de la part de l’exécutif ces dernières semaines après des années d’inaction du Congrès, y compris la violence armée et l’accès au vote. Comme le décret exécutif a été introduit comme loi par l’administration Biden, il peut être révoqué à tout moment, y compris par toute administration ultérieure.