La FCC ajoute les routeurs grand public fabriqués à l’étranger à la « Covered List »

 (fcc.gov)
1 points par GN⁺ 2026-03-24 | 1 commentaires | Partager sur WhatsApp
  • La FCC a nouvellement inclus les routeurs grand public fabriqués à l’étranger dans la « Covered List »
  • Cette mesure interdit l’homologation de nouveaux modèles de ces routeurs
  • La mise à jour a été effectuée sur la base de l’évaluation de sécurité nationale des agences de l’exécutif américain
  • La FCC a publié les documents concernés via un communiqué de presse et un avis public, aux formats DOCX, PDF et TXT
  • Cette décision constitue une réponse au niveau fédéral visant à renforcer la gestion des risques de sécurité des équipements réseau destinés aux consommateurs

La FCC ajoute les routeurs grand public fabriqués à l’étranger à la « Covered List »

  • La FCC (Federal Communications Commission) a nouvellement ajouté les routeurs grand public fabriqués à l’étranger à la « Covered List »
    • Cette mesure signifie l’interdiction d’homologuer de nouveaux modèles de ces routeurs
  • La mise à jour a été effectuée conformément à l’évaluation de sécurité nationale des agences de l’exécutif américain, et il est précisé que ces équipements peuvent constituer une menace potentielle pour la sécurité nationale
  • La FCC a rendu ces informations publiques sous la forme d’un communiqué de presse (News Release) et d’un avis public officiel (Public Notice), fournis en fichiers DOCX, PDF et TXT
  • Les documents incluent un lien vers la FAQ sur la mise à jour de la Covered List et présentent les changements réglementaires concernant les routeurs fabriqués à l’étranger
  • Cette mesure a été annoncée comme une réponse au niveau fédéral visant à renforcer la gestion des risques de sécurité des équipements réseau destinés aux consommateurs

À lire aussi

1 commentaires

 
GN⁺ 2026-03-24
Avis sur Hacker News

  • La FCC maintient une liste d’équipements et de services appelée « Covered List ». Les attaques exploitant les vulnérabilités des petits routeurs domestiques fabriqués à l’étranger se multiplient récemment, mais le fond du problème n’est pas le pays de fabrication, plutôt les pratiques de sécurité déplorables des fabricants. Comme les agences gouvernementales n’ont pas imposé de firmware sécurisé, les fabricants n’avaient aucune raison de s’en soucier. Ni la FCC ni la FTC ne sont vraiment guidées par la protection des consommateurs, mais par des intérêts politiques, et au final les États-Unis ont laissé proliférer une multitude d’appareils à la sécurité désastreuse

    • Le « firmware sécurisé » est une notion relative. Plutôt que d’exiger un firmware parfait, l’important est d’avoir des mises à jour continues. Mais les fabricants arrêtent le support au bout de 3 ans, tandis que les consommateurs utilisent ces appareils pendant 15 ans. La solution serait que les consommateurs aient le droit de remplacer eux-mêmes le firmware. Ainsi, même si l’entreprise disparaît, on peut passer à un firmware open source, avec à la clé une meilleure sécurité
    • Ironiquement, beaucoup d’équipements grand public intègrent des portes dérobées au nom du « dépannage ». Ce problème n’est pas limité aux produits étrangers. Le seul moment où les autorités se sont vraiment préoccupées de sécurité, c’est quand le FBI a essayé d’affaiblir le chiffrement
    • L’Europe appliquera à partir de 2027 le Cyber Resilience Act, qui imposera des exigences minimales de sécurité à tous les produits numériques. Cela inclut l’interdiction des mots de passe par défaut codés en dur, les mises à jour de sécurité automatiques et le chiffrement des données. Son efficacité reste à voir, mais l’initiative est jugée positive
    • La FCC ne gère que les interférences radio et n’est pas une autorité de protection des consommateurs. La FTC, de son côté, traite des pratiques commerciales déloyales, pas de la qualité de la sécurité
    • Il est courant de critiquer l’exécutif, mais cette mesure est interprétée ici comme : « on laisse sciemment des vulnérabilités, puis on ne les corrige qu’une fois qu’elles ont été exploitées contre nous ». Certains en viennent à penser qu’il vaudrait mieux fabriquer son propre routeur

  • Le point central de l’annonce est que les routeurs étrangers seraient interdits par défaut, mais pourraient être vendus s’ils obtiennent une autorisation conditionnelle (Conditional Approval). La FCC exigerait des fabricants des informations sur la compétence juridique, l’origine des composants, le plan de mises à jour logicielles et les projets d’augmentation de la production aux États-Unis. Autrement dit, la procédure d’approbation viserait à encourager la fabrication locale

    • Mais en pratique, il est très possible que seules les entreprises ayant versé des contributions politiques (payola) obtiennent l’autorisation, tandis que les autres seront bloquées. Ce schéma se voit déjà dans la politique tarifaire
    • Sur le papier, cela paraît très bien, mais dans la réalité, il y a un risque important de détournement au service de l’enrichissement personnel de l’exécutif
    • Il est difficile d’imaginer que ce type de procédure soit administré comme une gestion technique non partisane ; beaucoup y voient au contraire une logique de « pay-to-play »
    • Au final, cela se lit comme une approche du type : « les droits de douane n’ont pas suffi, essayons maintenant une autre façon de faire pression sur nos partenaires commerciaux »
    • Certains avancent même, avec cynisme, que seules les entreprises ayant fait des dons à des projets privés de Trump passeront

  • Certains craignent aussi que cette mesure soit le point de départ d’une infrastructure de surveillance. Si l’on impose aux routeurs fabriqués aux États-Unis une fonction d’accès distant réservée au gouvernement, alors tous les foyers pourraient finir reliés à un réseau de surveillance. Le seul véritable avantage garanti par le libre-échange, selon eux, est qu’un seul État ne peut pas surveiller toute sa population

    • Par exemple, l’application des routeurs Xfinity aurait récemment ajouté une fonction de « détection des mouvements dans la maison via le Wi‑Fi »
    • Sur le ton de la plaisanterie, certains disent qu’en chaînant en série des routeurs américains, chinois et russes, aucun camp ne pourrait disposer d’un accès backdoor complet
    • Mais au-delà de la simple surveillance, cela pourrait surtout servir de base à un contrôle domestique d’Internet. À l’image de l’Iran, l’idée serait de créer une structure permettant au gouvernement de masquer des violences en bloquant l’information

  • Si l’on veut une vraie sécurité, il ne faut pas interdire les appareils, mais publier le firmware pour qu’il puisse être audité

    • Cela dit, une porte dérobée peut être cachée non pas dans le firmware, mais dans la puce en silicium elle-même. Une vérification complète étant irréaliste, c’est la sécurité de la chaîne d’approvisionnement qui est essentielle. Mais cette mesure ressemble surtout à un instrument de guerre commerciale au service de Trump
    • Le firmware ouvert a du mal à réussir commercialement, mais des projets comme OpenWRT One sont de bons exemples. Le modèle conçu en coopération entre Software Conservancy et Banana Pi fonctionnerait bien
    • Cependant, la réglementation de la FCC rend difficile la modification libre des équipements RF par les utilisateurs, et il existe une exception au « Right to Repair ». Tant que le Congrès ne changera pas cela, les progrès concrets resteront difficiles
    • De plus, il est impossible pour un utilisateur ordinaire de vérifier que le firmware correspond bien au code source. Un simple commerçant n’a aucun moyen de s’en assurer

  • Le récent arrêt Loper Bright Enterprises v. Raimondo (2024) a fortement affaibli les pouvoirs de la FCC. Dans ce contexte, certains doutent que des restrictions visant les routeurs étrangers résistent à un contrôle juridique

    • Quelqu’un a même critiqué le fait que « la Cour suprême à majorité conservatrice n’a fait que renforcer le pouvoir de collecte de pots-de-vin de l’exécutif »

  • On parle d’une « interdiction totale des routeurs grand public étrangers », mais certains se demandent s’il existe seulement des routeurs américains

    • Selon un article de heise.de, il n’existe quasiment pas de routeurs fabriqués aux États-Unis
    • Les modèles existants pourraient toutefois continuer à être vendus. Selon les règles de la « Covered List » de la FCC, la mesure ne s’appliquerait qu’aux nouveaux modèles. Certaines entreprises pourraient aussi importer des commutateurs sans firmware puis les reflasher aux États-Unis
    • Même Cisco ne produit pas aux États-Unis
    • Il est aussi possible de transformer un petit ordinateur comme un Raspberry Pi en routeur
    • Certains pensent aussi que Starlink pourrait peut-être bénéficier d’une exception

  • Cette mesure pourrait être une tentative de la FCC d’étendre ses pouvoirs de régulation d’Internet. Des précédents similaires sont évoqués, avec un lien vers une discussion antérieure

  • Du point de vue des fabricants, la solution pourrait être de vendre le produit non pas comme un routeur, mais comme un ordinateur généraliste. Il existe déjà beaucoup de matériels utilisables comme NAS, pare-feu ou serveur proxy

    • Mais la plupart des consommateurs veulent un produit fini appelé « routeur ». Ceux qui veulent du matériel réseau DIY le font déjà

  • Même si une entreprise chinoise fabriquait ses routeurs dans une usine américaine, le risque sur la chaîne d’approvisionnement resterait entier. En réalité, le plus dangereux, ce sont déjà les objets connectés présents sur les réseaux domestiques. Beaucoup voient donc dans cette mesure davantage un geste politique qu’un changement réel

  • En conclusion, la question demeure : combien existe-t-il réellement de routeurs grand public qui ne soient pas fabriqués à l’étranger ?