Pékin a lancé des enquêtes antimonopole et de sécurité nationale contre des fabricants américains de puces — avec Nvidia en ligne de mire — tout en renforçant son propre écosystème basé sur RISC-V, l’architecture ouverte pour CPU née à Berkeley. La thèse qui gagne du terrain à Washington est claire : si la Chine scrute avec rigueur les risques liés à des technologies étrangères, les États-Unis ne peuvent pas traiter RISC-V comme une simple expérimentation bénigne, surtout quand elle commence à alimenter des domaines comme l’IA, l’automobile, les centres de données voire des projets à vocation militaire. Cet article synthétise les arguments du débat, les risques ainsi que les possibles voies de politiques publiques permettant de préserver l’innovation ouverte sans compromettre la sécurité.

De Nvidia à RISC-V : le miroir réglementaire

Ces dernières semaines, les autorités chinoises ont passé au crible Nvidia (et son processeur H20) pour d’éventuels abus de position dominante et risques pour la sécurité nationale. Au-delà du résultat, le message politique est limpide : lorsqu’une technologie étrangère menace des enjeux stratégiques, elle est mise sous pression. Si l’on inverse la question, interrogent à Washington, ne devrait-on pas appliquer le même principe à RISC-V une fois que l’architecture s’impose comme une voie alternative aux contrôles à l’exportation et devient un élément clé du plan industriel chinois ?

La comparaison n’est pas fortuite : RISC-V (développée depuis 2010 à l’Université de Californie, Berkeley) n’est pas un processeur, mais une ISA ouverte (ensemble d’instructions) que tout le monde peut implémenter sans devoir payer de licences, contrairement à Arm ou x86. Cette ouverture a été une bénédiction pour la communauté académique, les startups, les fabricants émergents et les projets de hardware open source. Elle a aussi permis à la Chine de réduire sa dépendance à la propriété intellectuelle occidentale sensible, sans enfreindre directement les sanctions : il suffit de concevoir des puces “propres” à partir d’une base non contrôlée par une entreprise américaine.

L’argument sécurité : de “l’ouverture neutre” à “l’ouverture comme arme”

Le discours d’alerte à Washington repose sur trois idées principales :

1. Évasion aux contrôles. Les listes d’entités et contrôles à l’export fonctionnent quand il y a des fournisseurs et une propriété intellectuelle à couper. Avec RISC-V, le design de base est public; la valeur ajoutée se concentre sur l’implémentation, la microarchitecture, les toolchains, la IP périphérique et, surtout, la fabrication. Cela complique la régulation, mais ne la rend pas impossible — plutôt plus complexe.
2. Militarisation de l’écosystème. Les sources ouvertes mettent en lumière les investissements étatiques chinois (dizaines de millions en projets RISC-V depuis 2018), les levées de fonds privées dépassant 1,1 milliard de dollars et plus de 2 500 brevets déposés par des organisations chinoises, dont certaines liées à des universités militaires. La tendance est claire : souveraineté technologique et applications à double usage.
3. Superposition logiciel/hardware. Le rapport cité dans l’article évoque le fait que des acteurs chinois ont produit du code malicieux exploitant l’ouverture du software. En extrapolant, il questionne : pourquoi supposer que le hardware ouvert serait traité différemment ? Un seul processeur, équipé de micro-failles intentionnelles ou de trojans silicium dans une red électrique, un centre de données ou un système d’arme, peut ouvrir des portes dérobées silencieuses.

Au final : si RISC-V devient ubiquitous sans garanties, la surface d’attaque des infrastructures critiques pourrait considérablement s’élargir. Il ne s’agit pas de interdire RISC-V, mais d’assumer que sa gouvernance et sa chaîne d’approvisionnement en font aussi des cibles de sécurité nationale.

L’autre facette : comment concilier innovation ouverte et sécurité ?

Tout le monde ne partage pas l’approche de “renforcement sans nuance”. L’ouverture a été le moteur du leadership technologique américain pendant des décennies (Linux, TCP/IP, open source en IA). RISC-V International (basé en Suisse) insiste sur sa neutralité, affirmant que le standard est mondial et collaboratif. Bloquer ou stigmatiser une ISA ouverte pourrait :

• Nuir aux universités et startups américaines qui expérimentent avec RISC-V.
• Pousser l’innovation hors des États-Unis et fragmenter l’écosystème.
• Réduire la visibilité sur ce qui est construit (l’ouverture permettant, par définition, d’auditer).

Le défi de la politique publique est subtil : il s’agit de augmenter la confiance sans tuer le dynamisme du hardware ouvert.

Que peut faire les États-Unis (sans casser le jouet) ?

Un cadre réfléchi combine contrôles ciblés, certification, traçabilité et investissement. Voici des propositions concrètes :

1) Contrôles à l’exportation “d’implémentation”, non du standard

• Étendre les contrôles à l’IP complémentaire (cores hardware/software, bibliothèques d’accélération, firmware, PHYs, toolchains propriétaires) lorsque l’utilisation finale ou le destinataire sont restreints, plutôt que d’interdire RISC-V.
• Surveiller les services de conception (foundry services, EDA en cloud) pour les entités sous sanctions.

2) Certification de confiance pour le silicon RISC-V dans les secteurs critiques

• Créer un schéma d’évaluation (pensez à Common Criteria pour le hardware) avec des tests pour détecter trojans, canaux cachés, résilience physique et firmware sécurisé.
• Exiger une SBOM pour le silicium (liste des blocs IP, versions, origines) et des attestations de fabrication (usine, lot, mask set).

3) Traçabilité de la chaîne d’approvisionnement

• Étiquetage fiable dès l’EDA (outil reproductible) jusqu’au foundry (chaîne de traçabilité), avec des audits par des tiers.
• Créer un registre des foundries et des emballages utilisés pour les puces intégrant des infrastructures réglementées.

4) Gouvernance et conformité dans les projets ouverts

• Renforcer dans RISC-V International et les dépôts associés les politiques de contribution, la vérification de l’origine des contributions sensibles et les contrôles de conformité à l’export (sans freiner l’upstream).
• Promouvoir des laboratoires ouverts de vérification (vérification formelle, fuzzing au niveau RTL/gate) financés par des fonds publics-privés.

5) Investissement et alternatives “sécurisées par la conception”

• Soutenir des projets comme OpenTitan, OpenROAD, SSITH (DARPA) et des accélérateurs pour une EDA open source auditable.
• Accorder des bourses et des contrats pour des implémentations RISC-V avec tests de sécurité dans des secteurs comme l’électricité, la santé, la défense (avec exigences en matière de certification).

6) Coopération avec les alliés

• Aligner avec l’UE, le Japon, la Corée, le Royaume-Uni et le Canada des critères minimums de certification et de traçabilité pour le silicium ouvert dans les infrastructures critiques.
• Partager les menaces et les indicateurs en matière de hardware trojans et de campagnes de supply chain.

Et le rôle des grandes entreprises technologiques ?

L’article original mentionne des initiatives comme celle de Nvidia, notamment pour porter CUDA sur RISC-V. Pour l’industrie, le message de politique devrait être prévisible :

• Liberté d’innover, certes ; mais avec des règles claires de conformité pour les SDK, IP et services utilisés par les entités sous contrôle.
• Barrières réglementaires pour encadrer les collaborations impliquant des entreprises ou institutions liées à militaire ou renseignement de pays rivaux.
• Programmes de bug bounty et vérification spécifiquement destinés aux implémentations RISC-V à usage étendu.

Questions clés auxquelles Washington doit répondre

1. Qu’entend-on par “RISC-V critique” ? Un microcontrôleur éducatif n’a pas la même importance qu’un SoC pour réseaux électriques. Le seuil réglementaire doit être sectoriel et proportionné.
2. Comment mesurer “l’influence géopolitique” dans un standard ouvert ? Par le nombre de brevets ? Le maintien des dépôts ? Le financement étatique ? Il faut élaborer des métriques transparentes.
3. Quels incitatifs offrir pour une production “fiable” ? Crédit d’impôt, priorité dans les marchés publics, assurance contre les risques de chaîne d’approvisionnement… Si l’on demande plus à l’industrie, il faut aussi l’accompagner.
4. Comment éviter la fragmentation de l’écosystème ouvert ? Un excès de précautions peut créer des forks isolés et dupliquer les efforts. La coordination multilatérale est essentielle.

Conclusion : l’éveil sans coup de frein

RISC-V ne se limite plus à l’expérimentation ; c’est une plateforme stratégique où convergent souveraineté technologique, IA, IoT industriel et défense. La Chine l’a compris et le pousse à l’industrialiser. Les États-Unis ne peuvent pas ignorer ces enjeux ni se contenter de l’ostracisme : ils doivent auditer sans étouffer, en certifiant, traçant, audité, investissant et en coopérant avec leurs alliés. Si Washington ne se contente que de suivre le mouvement de Pékin — en sécurisant à outrance et en donnant carte blanche à ses propres acteurs — il perdrait ce qui l’a toujours renforcé : l’innovation ouverte sous un large parapluie de sécurité exigeante. L’équilibre reste possible : des règles claires sur les composants clés et des pistes ouvertes pour maintenir la recherche avancée… dans la confiance et l’intérêt commun.

via : washingtontimes