L'administration Biden a envoyé un signal fort aux fournisseurs de logiciels espions en publiant un décret (executive order) interdisant aux agences fédérales d'utiliser ceux qui présentent des risques importants en matière de contre-espionnage ou de sécurité pour le gouvernement des États-Unis. Les solutions visées par le décret sont principalement des logiciels espions conçus pour suivre et collecter des données à partir de téléphones portables, qui peuvent être facilement installés en un ou plusieurs clics sur des liens spécifiques. Au moins 50 fonctionnaires gouvernementaux sont soupçonnés - ou ont été - ciblés par ce type de logiciel invasifs conçus pour pirater des téléphones portables, selon des sources proches du dossier relayées dans la presse, sans préciser qui avait été ciblé ni où. Leur prolifération « pose des risques distincts et croissants en matière de contre-espionnage et de sécurité pour les États-Unis, notamment pour la sûreté et la sécurité du personnel du gouvernement américain et de leurs familles », a déclaré la Maison-Blanche dans une note.

Plus important encore, les logiciels espions fabriqués par une multitude d'entreprises, principalement israéliennes ou appartenant à d'anciens agents israéliens, dont le célèbre groupe NSO, ont été utilisés par plusieurs gouvernements étrangers pour cibler des adversaires politiques, des militants des droits de l'homme et des journalistes afin d'étouffer l'opposition politique. Par exemple, l'association journalistique à but non lucratif Forbidden Stories a coordonné une enquête de plusieurs mois intitulée Pegasus Project, du nom du tristement célèbre logiciel d'espionnage mobile éponyme de NSO. Cette enquête a révélé l'existence de 50 000 victimes potentielles, parmi lesquelles des journalistes, des défenseurs des droits de l'homme, des avocats, des hommes politiques, des universitaires, des hommes d'affaires et même des membres de familles royales et des chefs d'État, dont Emmanuel Macron. « En outre, un nombre croissant de gouvernements étrangers ont déployé cette technologie pour faciliter la répression et permettre des violations des droits de l'homme, notamment pour intimider les opposants politiques et réduire la dissidence, limiter la liberté d'expression et surveiller et cibler les activistes et les journalistes », selon la note de la Maison Blanche. « L'utilisation abusive de ces puissants outils de surveillance ne s'est pas limitée aux régimes autoritaires. Les gouvernements démocratiques ont également dû faire face à des révélations selon lesquelles des acteurs de leurs systèmes ont utilisé des logiciels espions pour cibler leurs citoyens sans l'autorisation légale, les garanties et le contrôle adéquats ».

Pas d'interdiction générale

Bien que le décret interdise aux ministères et agences fédéraux d'utiliser des logiciels espions étrangers, ces derniers doivent répondre à une série de critères indiquant qu'ils présentent « des risques importants pour les États-Unis en matière de contre-espionnage ou de sécurité ». Parmi les facteurs énoncés dans le texte réglementaire débouchant sur l'interdiction, on peut citer le fait qu'ils ont été utilisés « pour obtenir ou tenter d'obtenir l'accès à des ordinateurs du gouvernement des États-Unis ou à des ordinateurs du personnel du gouvernement des États-Unis sans autorisation » ou bien de manière inappropriée par un gouvernement étranger. Un autre facteur qui entre en ligne de compte dans l'interdiction est la question de savoir si une entité qui fournit des spywares à des gouvernements a des antécédents d'« actes systématiques de répression politique », conformément aux conclusions du Département d'État. En outre, l'administration peut accorder à une agence une dérogation ne dépassant pas un an « si cette dérogation est nécessaire en raison de circonstances extraordinaires et qu'il n'existe pas d'autre solution réalisable pour faire face à ces circonstances ». Les dérogations exigent des fonctionnaires de très haut niveau qu'ils fassent preuve de diligence raisonnable en fonction des facteurs énoncés dans le décret et qu'ils fassent connaître les raisons de ces dérogations directement au président par l'intermédiaire de l'assistant du président pour les affaires de sécurité nationale (APNSA).

Le texte permettra également aux agences d'acquérir des logiciels espions à des fins de test, de recherche, d'analyse, de cybersécurité ou de développement de contre-mesures pour le contre-espionnage ou les risques de sécurité, ou encore d'enquête criminelle découlant de la vente ou de l'utilisation criminelle du logiciel espion. Enfin, cette décision ne s'applique qu'aux logiciels espions commerciaux provenant d'entités étrangères, et non aux solutions développées au niveau national. On ignore dans quelle mesure les services de renseignement et les services répressifs américains, tels que la NSA, la CIA ou le FBI, ont créé des versions de logiciels espions mobiles comparables.

Un impact encore trouble

On ne sait pas non plus combien d'agences gouvernementales américaines utilisent déjà spywares interdits par le décret. Le directeur du FBI, Chris Wray, a déclaré que son agence avait acheté une licence pour Pegasus mais uniquement à des fins de recherche et de développement. Cependant, une enquête du New York Times a révélé que les responsables du FBI ont fait pression pour déployer les outils de piratage à la fin de 2020 et au premier semestre de 2021. En 2018, la CIA a organisé et payé l'acquisition de Pegasus par le gouvernement de Djibouti pour aider l'allié américain à lutter contre le terrorisme. Enfin, la DEA a déployé un logiciel espion appelé Graphite, fabriqué par l'entreprise israélienne Paragon. En outre, le décret d'application ne s'applique pas aux forces de l'ordre locales et étatiques. Par le passé, une société appelée Westbridge Technologies, se présentant comme la « branche nord-américaine » de NSO, a proposé Pegasus de NSO à des services de police locaux, dont celui de San Diego.

Le décret sur les logiciels espions a été accueilli favorablement par les défenseurs des droits de l'homme et les législateurs. John Scott-Railton, chercheur au Citizen Lab de l'université de Toronto, a déclaré que les États-Unis étaient un marché convoité par les éditeurs de spywares et que l'administration Biden établissait une « norme mondiale » avec cette dernière mesure. Jim Himes, principal représentant démocrate à la commission du renseignement de la Chambre des représentants, a déclaré que cette nouvelle ordonnance devrait être suivie par d'autres démocraties afin de prendre des mesures similaires contre les logiciels espions. « Il est appréciable de voir le gouvernement américain mettre les pieds dans le plat. Les États-Unis montrent l'exemple. Je pense que le signal le plus important est donné aux entreprises elles-mêmes que le gouvernement américain n'est peut-être pas la solution de facilité que vous espériez pour vendre votre produit à grande échelle », indique Betsy Cooper, directrice du Tech Policy Hub de l'Aspen Institute. « Je pense donc que le message le plus important s'adresse aux entreprises elles-mêmes, et pas nécessairement aux alliés qui pourraient être d'accord avec nous. Et si les États-Unis peuvent montrer l'exemple en disant qu'ils n'achèteront pas ces produits dans la grande majorité des cas, on peut espérer que le marché des logiciels espion diminuera avec le temps ».