Les États-Unis ont annoncé ajouter quatre entreprises à leur liste noire, dont NSO Group, le fabricant de Pegasus.
Les trois autres entreprises sont Candiru, Positive Technologies et Computer Security Initiative Consultancy, toutes accusées « d'activités contraires à la sécurité nationale ou aux intérêts de la politique étrangère des États-Unis ».
NSO Group placé sur liste noire
Après les révélations du consortium de journalistes Forbidden Stories sur l'utilisation du logiciel espion Pegasus par plusieurs gouvernements pour surveiller les activités de journalistes, dissidents, activistes et politiques, les appels à sanctionner NSO Group, à l'origine du logiciel, s'étaient multipliés. Aux États-Unis notamment, un groupe de parlementaires démocrates avait appelé à des sanctions contre l'entreprise dès juillet. Ils ont obtenu en partie gain de cause avec cet ajout à la liste noire du département du commerce américain, initié par l'administration Biden-Harris.
Une entreprise placée sur la liste noire des États-Unis, aussi appelée Entity List, ne peut plus travailler avec des entreprises américaines et ces dernières ne peuvent plus lui vendre de technologies. Il est toujours possible pour les entreprises américaines de demander une licence spéciale au département du commerce, mais ce dernier a prévenu qu'elle serait refusée quasi systématiquement. NSO Group a déclaré être « consterné par la décision » et demande à ce qu'elle soit annulée.
Une deuxième entreprise israélienne sanctionnée
En plus de NSO, une deuxième entreprise israélienne a été ajoutée à la liste. Il s'agit de Candiru, également accusée d'avoir fabriqué et vendu des logiciels espions utilisés pour surveiller les activités de journalistes, activistes, politiques et dissidents. Là où NSO visait les smartphones, Candiru se concentrait sur les ordinateurs sous Windows, en utilisant plusieurs failles zero-day pour déployer son spyware DevilsEye comme découvert par Microsoft et Citizen Lab en juillet. Un coup dur pour ces entreprises, mais aussi pour le ministère de la Défense israélien, censé contrôler leurs activités et la vente de leurs outils.
Les deux autres entreprises blacklistées sont Positive Technologies, une entreprise russe accusée de développer et de vendre des exploits aux agences de renseignement russes, et Computer Security Initiative Consultancy, une société basée à Singapour qui vendrait des « outils de piratage ».
« Les États-Unis sont déterminés à utiliser agressivement les contrôles à l'exportation pour tenir pour responsables les entreprises qui développent, vendent ou utilisent des technologies dans le but de mener des activités malveillantes menaçant la cybersécurité des membres de la société civile, des dissidents, des fonctionnaires et des organisations, ici et à l'étranger », a déclaré Gina Raimondo, la secrétaire au commerce. Cette décision s'inscrit dans une initiative plus globale de l'administration Biden-Harris d'améliorer la cybersécurité du pays, en travaillant notamment avec des entreprises américaines sur des partenariats.
Sources : The New York Times, The Record
