Nouvelles règles du Département américain du Commerce : le partage de vulnérabilités de sécurité avec la Chine sans approbation est interdit et les objections de Microsoft sont invalides

​Récemment, le Bureau de l'industrie et de la sécurité (BIS) du ministère américain du Commerce a officiellement publié les dernières réglementations en matière de contrôle des exportations dans le domaine de la cybersécurité.

Oui, c'est la BRI qui publie la « Liste des entités » et la « Liste noire du commerce ». Ces dernières années, elle peut être considérée comme un « vieil ami des internautes chinois ».

Qu'est-ce qu'il y a cette fois ? Il s'agit principalement de la gestion et du contrôle des informations sur la sécurité et la vulnérabilité du réseau.

Pour faire simple, lorsque des entités américaines coopèrent avec des organisations et des individus liés au gouvernement chinois, si des vulnérabilités et des informations en matière de sécurité sont découvertes, elles ne peuvent pas être divulguées directement et doivent d'abord être examinées par le ministère du Commerce.

Les raisons sont la « sécurité nationale » éprouvée et la « nécessité de lutter contre le terrorisme ».

En fait, le nouveau règlement annoncé cette fois est la confirmation définitive du règlement intérimaire (projet pour commentaires) d'octobre 2021. Cette réglementation divise les pays du monde en quatre catégories : A, B, D et E, avec des mesures restrictives et une rigueur augmentant progressivement.

La Chine est classée dans la catégorie D, qui correspond aux « pays et régions soumis à des restrictions », et la catégorie E correspond aux « pays sous embargo complet ».

Ce règlement établit de nouvelles méthodes de contrôle pour certains projets de sécurité des réseaux aux fins de « considérations de sécurité nationale et de lutte contre le terrorisme ».

​Dans le même temps, le BIS a également ajouté une nouvelle exception pour autoriser les sorties de cybersécurité. Le contenu principal est d’autoriser l’exportation de ces éléments de cybersécurité vers la plupart des destinations, mais pas avec les exceptions mentionnées ci-dessus.

BIS estime que ces projets contrôlés peuvent être utilisés à des fins de surveillance, d'espionnage ou d'autres actes visant au sabotage.

En outre, le règlement modifie également les numéros de classification du contrôle des exportations dans la liste de contrôle du commerce.

La nouvelle réglementation BIS divise les pays du monde en quatre catégories : A, B, D et E. La catégorie D regroupe les pays et régions les plus concernés et les plus restreints.

Comme le montre la photo ci-dessus, la Chine est classée dans la catégorie D.

Selon les exigences de la nouvelle réglementation, lorsqu'elles coopèrent avec des services gouvernementaux ou des individus concernés dans des pays et régions de classe D, les entités doivent postuler à l'avance et obtenir l'autorisation avant d'envoyer des informations sur les vulnérabilités potentielles du réseau au-delà des frontières.

Bien sûr, il existe des exceptions aux conditions, et si c'est à des fins légitimes de cybersécurité, telles que la divulgation publique de vulnérabilités ou la réponse à un incident, aucune demande préalable n'est requise.

​Comme vous pouvez le constater, la Chine a été marquée d'un X dans quatre catégories : sécurité nationale, biochimie, technologie des missiles et embargo américain sur les armes.

​Le document indique que les exigences en matière de licence pour les personnes agissant au nom des gouvernements sont nécessaires pour empêcher les personnes agissant au nom des gouvernements des pays du groupe D de recevoir des « projets de cybersécurité » pour s'être engagées dans des activités contraires à la sécurité nationale et aux intérêts de politique étrangère des États-Unis.

Sans cette exigence, les gouvernements des pays de classe D pourraient avoir accès à ces projets.

Cette exigence adoptée par le BIS signifie que les exportateurs doivent dans certains cas vérifier les affiliations gouvernementales des particuliers et des entreprises avec lesquels ils travaillent.

​Cependant, en raison de la portée et de l'applicabilité limitées de l'exigence de licence, le BIS estime que cette exigence protégera la sécurité nationale et les intérêts de politique étrangère des États-Unis sans avoir d'impact indu sur les activités légitimes de cybersécurité.

Dans le même temps, le BIS a également révisé la clause § 740.22(c)(2)(i), qui élargit en fait la portée de l'exception.

Les conditions actuelles autorisent l'exportation de produits numériques vers les pays du groupe D, ou l'exportation de tout article de cybersécurité vers les pays du groupe D pour les services de police ou judiciaires.

Cependant, le BIS a en réalité uniquement l'intention d'autoriser l'exportation de produits numériques vers les agences policières ou judiciaires des pays du groupe D à des fins d'enquêtes ou de poursuites pénales ou civiles.

On peut dire que ces changements reflètent les avis attendus.

Objets Microsoft, invalides !

Concernant les nouvelles réglementations du BIS, les géants nationaux de la technologie aux États-Unis ne sont pas monolithiques. Le géant du logiciel Microsoft a clairement exprimé ses objections.

Dès l'année dernière, après la mise en consultation de ce règlement, Microsoft a soumis ses objections à ce document dans la section commentaires sous forme de commentaires écrits.

​

Microsoft a déclaré que si les individus et les entités impliqués dans des activités de cybersécurité sont restreints en raison de leurs liens avec le gouvernement, cela supprimera considérablement la capacité du marché mondial de la cybersécurité à déployer actuellement des activités de cybersécurité de routine.

Souvent, lorsque les entreprises sont incapables de déterminer si l'autre partie est liée au gouvernement, elles ne peuvent renoncer à leur coopération que lorsqu'elles sont confrontées à des pressions de conformité.

L’opposition de Microsoft n’est pas surprenante.

Le mécanisme actuel de partage des vulnérabilités est très important pour l’écosystème de développement logiciel de Microsoft. Plusieurs fois, Microsoft doit analyser les vulnérabilités via l'ingénierie inverse et d'autres technologies avant de publier les correctifs et mises à niveau pertinents. Une fois le mécanisme de partage des vulnérabilités détruit, cela réduira directement la vitesse de découverte et de réparation des vulnérabilités par Microsoft.

Microsoft a proposé que le BIS clarifie davantage la définition d'« utilisateur final gouvernemental », ou au moins précise quelles personnes ou entités peuvent être couvertes par cette définition.

Lorsque le BIS a publié le projet final du règlement, il a mentionné les objections de Microsoft sans les nommer et a déclaré que "le BIS n'est pas d'accord avec cet avis".

BIS mentionné dans le document :

« Une entreprise a déclaré que les restrictions imposées aux personnes représentant les « utilisateurs finaux du gouvernement » entraveraient la coopération transfrontalière avec le personnel de cybersécurité, car elles seraient vérifiées avant de communiquer avec ces personnes contactées par le gouvernement. La société a recommandé que cette exigence soit supprimée ou modifiée. BIS n'est pas d'accord avec cette recommandation

Cette décision finale a été publiée la semaine dernière par rapport au projet de consultation publié en octobre.

Cependant, ce règlement adopte certains avis de la communauté des chercheurs, restreint encore davantage la portée des vulnérabilités de sécurité qui doivent être vérifiées et ajoute des exceptions temporaires.

C'est-à-dire : s'il s'agit d'objectifs légitimes de cybersécurité, tels que la divulgation publique de vulnérabilités ou la réponse à des incidents de sécurité, aucun examen n'est requis.

Cette clause d'exception vise en grande partie à créer les conditions nécessaires au fonctionnement normal de la communauté open source.

Bien que Microsoft ait remercié le BIS pour la révision des règles, il a également déclaré qu'il n'était pas sûr qu'une telle exception puisse résoudre le problème réel.

« Ce qui est autorisé à être divulgué directement et ce qui ne peut pas être divulgué est toujours dans un état de confusion. Les activités qui nécessitent une licence ne peuvent pas être déterminées à ce stade. Nous craignons que pour les technologies qui ne peuvent pas être entièrement classées dans des catégories d'utilisation spécifiques, la demande de licence sera très lourde. "

BIS reconnaît les préoccupations de Microsoft, mais insiste sur le fait que cette disposition fera plus de bien que de mal à la sécurité nationale des États-Unis.

Similaire à « l'Accord de Wassenaar »

En fait, dès octobre 2021, la BRI a publié des réglementations « interdisant l'exportation d'outils de réseau offensants » pour empêcher les entités américaines de vendre des outils de réseau offensants à la Chine et à la Russie.

La secrétaire américaine au Commerce, Gina Raimondo, a déclaré : « La mise en œuvre de contrôles à l'exportation sur certains articles de cybersécurité est une approche appropriée pour protéger la sécurité nationale des États-Unis contre les cyber-comportements malveillants et garantir les activités licites de cybersécurité. »

BIS a en outre déclaré que les règles actuelles. s'inscrivent également dans le cadre de « l'Accord de Wassenaar », à savoir « l'Accord de Wassenaar sur le contrôle des exportations d'armes conventionnelles et d'articles et technologies à double usage ».

​

L'accord de Wassenaar stipule que les États membres doivent décider eux-mêmes de délivrer des licences d'exportation pour les articles à double usage de produits et technologies sensibles et notifier aux autres États membres de l'accord les informations pertinentes sur une base volontaire. .

En fait, cet accord est en fait contrôlé dans une large mesure par les États-Unis et affecte les réglementations de contrôle des exportations des autres pays membres, devenant ainsi un outil important permettant à l'Occident de mettre en œuvre un monopole de haute technologie sur la Chine.

L'accord contrôle la politique d'exportation des « technologies militaires et à double usage ». Il existe 42 pays signataires, dont de grands pays développés tels que les États-Unis, la Grande-Bretagne, la France, l'Allemagne et le Japon. Bien que la Russie soit également partie à l’accord, elle reste l’une des cibles de l’embargo.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!