Analyse du projet d’interdiction de vente de TP-Link par le gouvernement américain

 (krebsonsecurity.com)
2 points par GN⁺ 2025-11-11 | 1 commentaires | Partager sur WhatsApp
  • Le gouvernement américain examine une mesure visant à interdire la vente des routeurs sans fil et des équipements réseau de TP-Link Systems, la principale raison avancée étant les préoccupations liées à ses liens avec la Chine
  • Le ministère du Commerce estime que les produits TP-Link traitent des données sensibles aux États-Unis et qu’ils pourraient être sous l’influence du gouvernement chinois
  • TP-Link rejette tout risque pour la sécurité nationale en invoquant sa séparation complète d’avec l’entité chinoise, sa fabrication au Vietnam et son siège en Californie, et affirme aussi que sa part de marché a été exagérée
  • Check Point Research et Microsoft ont signalé des cas où des routeurs TP-Link ont été exploités par des groupes de hackers chinois, avec notamment la mention de Camaro Dragon et d’autres acteurs soutenus par un État
  • Du point de vue des consommateurs, au-delà des inquiétudes de sécurité, l’accès à des produits bon marché et performants pourrait être limité, faisant de l’équilibre entre sécurité et accessibilité technologique l’enjeu central

Le projet d’interdiction de vente de TP-Link par le gouvernement américain

  • Le gouvernement américain prépare une interdiction de vente des routeurs et équipements réseau de TP-Link Systems, une mesure qui viserait une entreprise créditée d’environ 50 % du marché domestique et des PME

    • Des experts estiment que cette décision repose davantage sur des craintes liées aux liens avec la Chine que sur une menace purement technique
    • L’ensemble du secteur utilise des composants fabriqués en Chine, si bien que les vulnérabilités de sécurité ne se limitent pas à TP-Link

  • Le Washington Post a rapporté que plus de six agences fédérales soutiennent le projet d’interdiction et que le ministère du Commerce a conclu que les produits TP-Link se trouvent dans la sphère d’influence du gouvernement chinois

La réponse de TP-Link et sa structure d’entreprise

  • TP-Link affirme être entièrement séparé de TP-Link Technologies en Chine et explique exploiter un siège aux États-Unis (Californie), une filiale à Singapour et des sites de production au Vietnam
    • L’entreprise réalise en interne l’essentiel de la recherche, de la conception et de la fabrication, à l’exception des chipsets
    • Certains actifs d’ingénierie en Chine seraient exploités de manière indépendante et ne seraient pas soumis à la supervision du gouvernement chinois
  • La porte-parole Ricca Silverio a déclaré : « En tant qu’entreprise américaine, TP-Link s’engage à fournir des produits de haute qualité et sécurisés »

Inquiétudes de sécurité et cas de piratage

  • La commission spéciale de la Chambre des représentants sur la concurrence stratégique entre les États-Unis et la Chine a demandé en août 2024 une enquête, indiquant que des équipements TP-Link étaient vendus sur des bases militaires américaines et dans des magasins militaires
    • La lettre exprimait des inquiétudes sur les vulnérabilités de TP-Link et sur son obligation de se conformer au droit chinois, en avertissant que le gouvernement chinois avait mené des cyberattaques via des routeurs SOHO
  • Check Point Research (2023) a indiqué que le groupe de hackers chinois Camaro Dragon avait mené des attaques contre des institutions diplomatiques européennes à l’aide d’un firmware malveillant pour routeurs TP-Link
    • Ce malware n’a été trouvé que sur des équipements TP-Link, mais le rapport souligne que des appareils d’autres fabricants peuvent eux aussi être exposés
  • Microsoft (2024) a annoncé que depuis 2021, des groupes de hackers chinois exploitent des routeurs TP-Link SOHO pour mener des attaques par password spraying

La réalité de la sécurité des routeurs grand public

  • La plupart des routeurs grand public sont livrés avec des paramètres par défaut fragiles, et si le compte et le mot de passe par défaut ne sont pas modifiés, ils peuvent devenir en quelques minutes la cible de botnets IoT
    • Même les produits récents sont souvent livrés avec un firmware déjà obsolète au moment de leur commercialisation
  • Ces dernières années, les grands fabricants se sont orientés vers des procédures imposant des mesures de sécurité de base comme le changement de mot de passe et la mise à jour du firmware
    • Les routeurs mesh comme Eero, Orbi, ZenWifi prennent en charge les mises à jour automatiques via l’enregistrement en ligne
    • Belkin et Linksys, entre autres, poussent vers une installation via application mobile, mais exigent encore souvent des mises à jour manuelles de la part des utilisateurs

Firmware open source et alternatives

  • Des firmwares open source comme OpenWrt et DD-WRT peuvent être utilisés sur de nombreux routeurs et offrent plus de fonctions ainsi qu’une durée de vie prolongée
    • Une part importante des routeurs TP-Link est également compatible avec OpenWrt
    • Ils ne corrigent pas les défauts matériels, mais peuvent atténuer des problèmes de sécurité propres au fabricant, comme les comptes codés en dur ou les vulnérabilités de contournement de l’authentification
  • Lorsqu’un routeur a plus de 4 à 5 ans, son remplacement est recommandé pour des raisons de performances et de sécurité

Points de vigilance pour les équipements gérés par les FAI

  • De nombreux routeurs TP-Link et concurrents sont loués ou administrés via des FAI et intègrent des mises à jour à distance ainsi que des profils d’authentification
    • Dans ce cas, les utilisateurs ne doivent pas remplacer ni modifier le firmware de leur propre initiative et doivent consulter leur FAI au préalable

Avis des lecteurs et débat

  • Certains lecteurs critiquent une dramatisation excessive autour des produits chinois, en soulignant que d’autres fabricants présentent les mêmes vulnérabilités
  • À l’inverse, d’autres avis insistent sur le risque de sécurité des produits TP-Link en raison de leurs possibles liens avec le gouvernement chinois
  • Plusieurs commentaires évoquent les désagréments des réglages via application, les craintes concernant la vie privée et l’absence d’alternatives aux États-Unis
  • Certains utilisateurs reconnaissent les atouts de TP-Link en matière de prix et de performances, tout en indiquant qu’ils sont en train de remplacer leurs équipements en raison des risques de sécurité à long terme

Contexte général

  • Le projet d’interdiction visant TP-Link illustre un conflit entre sécurité nationale et accessibilité technologique
  • Une publication claire d’informations sur la réalité et l’ampleur de la menace est demandée, tandis que la répartition des responsabilités entre consommateurs, FAI et gouvernement s’impose comme un point central des débats à venir

À lire aussi

1 commentaires

 
GN⁺ 2025-11-11
Avis Hacker News

  • Je ne comprends pas quand les gens disent que TP-Link ne publie pas de mises à jour de firmware
    J’utilise quatre modèles différents de routeurs TP-Link chez moi, chez mes parents et chez les parents de ma copine, et ils reçoivent des mises à jour régulièrement même plusieurs années après leur sortie. Certains modèles ont même été mis à jour le mois dernier
    Le rapport qualité-prix est bon, et il y a aussi des fonctions de sécurité de base, donc je trouve que c’est largement suffisant pour un usage domestique
    Ce n’est pas parfait, mais à ce niveau de prix, qu’est-ce qu’on peut demander de plus

    • D’accord. TP-Link n’est pas le symbole de la sécurité de pointe ni des fonctionnalités futuristes, mais les fonctions de base sont assurées de façon fiable
      De nos jours, même les produits chers sont difficiles à juger fiables, donc TP-Link reste un excellent choix pour son prix
      Le fait qu’ils bénéficient de support et de mises à jour bien plus longtemps que la concurrence est aussi un gros avantage
    • Mon routeur m4R a plus de 15 ans et il a encore reçu une mise à jour de firmware le mois dernier
    • Moi aussi, j’exploite plusieurs équipements TP-Link dans trois logements, et ils reçoivent tous des mises à jour régulières
    • Je ne savais même pas qu’il existait une telle « haine » envers TP-Link. Pour du matériel réseau grand public, je trouve que c’est une marque plutôt fiable
      Avant, l’image était celle d’une « marque chinoise bon marché », mais aujourd’hui j’ai l’impression qu’elle s’est imposée comme une solide marque de milieu de gamme, un peu comme Anker
      Personnellement, j’ai l’impression qu’elle a pris la place qu’occupait autrefois D-Link
    • Cette « haine » vient des soupçons de portes dérobées du gouvernement chinois, un peu comme à l’époque de Huawei
      Mais jusqu’ici, aucune preuve concrète n’a été trouvée. Des experts en sécurité et des hackers de nombreux pays ont probablement déjà analysé ces appareils de fond en comble, et si quelque chose avait été découvert, cela aurait déjà éclaté
      Je reste convaincu que s’il y a une porte dérobée, cela finira par se voir

  • Je trouve que c’est un double standard de considérer qu’il est acceptable que le gouvernement américain achète directement une part d’Intel, mais pas que le Parti communiste chinois ait la moindre implication dans une entreprise
    Si la sécurité est vraiment le problème, il y aurait des solutions concrètes, comme obliger les opérateurs à prendre en charge le coût du support firmware sur la durée
    Ce genre de réponse politique finira surtout par revenir en boomerang sur les États-Unis eux-mêmes dans 15 ans

    • C’est l’attitude du type « les États-Unis, ça passe, la Chine, non ». Au fond, ce n’est qu’un jeu d’hypocrisie
    • Acheter simplement des actions et détenir une participation de contrôle sont deux choses différentes
      La manière dont la Chine contrôle ses entreprises n’a rien à voir avec celle de l’Occident, donc la comparaison directe est une fausse équivalence
    • À « les États-Unis, ça passe et la Chine, non », j’ai juste envie de répondre « oui »
    • La Chine limite aussi les produits américains depuis longtemps. Les deux camps se livrent à une querelle puérile
    • Croire que des pays concurrents vont être équitables est naïf. Au final, les deux côtés ne font que de la propagande

  • La vraie leçon de cette affaire, c’est qu’il ne faut pas réduire les investissements en sécurité sous prétexte qu’on a réussi
    TP-Link aurait dû être furieux d’apprendre que des dizaines de milliers de ses routeurs avaient été piratés
    L’entreprise aurait dû lancer immédiatement des efforts pour améliorer la qualité logicielle et renforcer les processus de revue des vulnérabilités
    Mais en pratique, on dirait qu’elle ne pense qu’à sa marge

    • La vraie leçon, c’est peut-être surtout de ne pas oublier de verser un pot-de-vin au président américain
    • AirPort me manque. Son logiciel était parfait et simple, et il proposait tôt des fonctions mesh
      Les produits d’aujourd’hui imposent encore trop souvent des démarches pénibles comme l’inscription en ligne
    • Quand je vois le trafic paralysé tous les jours à la même heure, je me dis que si c’était du logiciel, on devrait avoir honte d’un tel bug
      Mais dans beaucoup de secteurs du monde réel, on dirait que la psychologie humaine pousse à accepter ce genre de problème comme « normal »
    • Si la sécurité était vraiment le sujet, Fortinet aurait aussi dû être interdit. Au final, les entreprises américaines sont traitées avec indulgence
    • Microsoft ou Cisco négligent aussi la sécurité, alors je ne vois pas pourquoi seul TP-Link est pris pour cible

  • Les produits TP-Link sont solides, et si on le souhaite, on peut souvent remplacer leur firmware par OpenWRT
    J’ai installé un Wi-Fi mesh chez mes parents, et tout s’est déroulé très simplement
    En revanche, le fait de devoir créer un compte cloud était regrettable

    • Mais OpenWRT ne suffit pas à lui seul
      La plupart des chipsets Wi-Fi utilisent des blobs de firmware propriétaires, et font tourner un OS séparé sur leur propre CPU
      Autrement dit, OpenWRT ne sait pas ce qui se passe en dessous. Ce n’est pas une solution complète
    • Je gère un café et j’utilise le système Omada
      Il offre beaucoup de fonctions, comme la séparation de plusieurs réseaux, la coupure automatique du Wi-Fi invité et la définition de priorités de bande passante
      C’est bien moins cher que Meraki et les performances me conviennent
      Dans mon environnement, le risque de sécurité est faible, donc c’était un choix tout à fait rationnel
    • Au final, même avec OpenWRT, le contrôle au niveau matériel reste là
      Un peu comme quand on utilise Linux mais que des couches firmware comme Intel ME ou SGX continuent d’exister
    • J’avais acheté autrefois un téléphone TP-Link, et j’ai été déçu quand le support a été interrompu
      Plus récemment, j’ai acheté un routeur pour y installer OpenWRT, mais la révision avait changé avec des spécifications revues à la baisse, ce qui rendait l’installation impossible
      Cela dit, la qualité reste correcte pour le prix
    • Moi aussi, je veux installer un réseau mesh chez mes parents
      J’aimerais bien une recommandation de matériel stable et facile à administrer à distance

  • La vraie menace pour les routeurs grand public, ce n’est pas la Chine mais des firmwares bâclés
    D’innombrables réseaux sont compromis non pas par des États, mais par des criminels
    Si on veut une vraie sécurité, il faut définir des standards d’architecture logicielle
    Mais dans les faits, ce ne sont que des pressions politiques et des cartes pour la négociation commerciale

    • Cisco a aussi chaque année des vulnérabilités de mots de passe codés en dur
      Il suffit de voir cette alerte de sécurité récente pour constater que tout le secteur pratique un développement façon YOLO
    • J’aimerais que cette occasion serve à imposer la responsabilité des entreprises en matière de sécurité avec une loi comme le Cyber Resilience Act (CRA)

  • TP-Link fournit des mises à jour continues pour les produits qui ne sont pas en EOL (fin de vie)
    Les produits américains deviennent eux aussi vulnérables une fois abandonnés
    Cette polémique ressemble davantage à une campagne de lobbying visant à lui prendre des parts de marché aux États-Unis qu’à un vrai débat sur la sécurité
    De plus, le malware mentionné par Checkpoint est indépendant du firmware, donc il pourrait s’appliquer à d’autres matériels aussi

  • Si TP-Link est interdit après DJI, je me demande à quoi ressemblera au final le marché américain privé de produits chinois au bon rapport qualité-prix
    La prochaine génération d’ingénieurs américains qui grandira dans cet environnement souffrira d’un manque d’accès à la technologie

    • De nombreux produits chinois restent encore autorisés aux États-Unis
      La raison des interdictions n’est pas la nationalité mais le risque réel pour la sécurité
      TP-Link a perdu la confiance du public à cause de l’installation de portes dérobées et de sa décision d’abandonner les correctifs de sécurité
      Plusieurs communautés techniques soulevaient déjà le problème depuis un an
    • Il ne faut pas oublier Huawei non plus
    • Au final, cela ressemblera sans doute au secteur américain des EV
      La technologie sera correcte, mais les prix seront élevés et l’innovation insuffisante

  • J’utilise un TP-Link Deco derrière un Firewalla Gold
    C’est jusqu’ici le réseau domestique le plus simple et le plus stable que j’aie eu
    Je n’aime pas particulièrement TP-Link, mais pour le prix, c’était l’option la mieux adaptée à mon besoin
    S’il est interdit, je m’inquiète du SAV, des mises à jour et de la confusion sur le marché aux États-Unis

    • Le gouvernement résoudra probablement cela en forçant la vente de l’activité américaine
      Comme dans le cas TikTok-Oracle

  • Je pense que les États-Unis sont en réalité une menace plus grande encore
    Aujourd’hui, les États-Unis donnent l’image d’un pays géré comme une mafia. S’ils ne peuvent pas imposer leurs propres portes dérobées, ils détruisent l’entreprise

    • En réalité, la plupart des pays fonctionnent de façon assez similaire. C’est juste que les États-Unis ont davantage d’influence politique
      L’Online Safety Act au Royaume-Uni ou les projets australiens d’interdiction du chiffrement en sont des exemples
    • Au final, seul le nom change, mais le comportement impérial reste le même