La FCC américaine interdit totalement l’importation des nouveaux modèles de routeurs grand public fabriqués à l’étranger

La FCC, la Commission fédérale des communications des États-Unis, a de fait interdit totalement l’importation et la vente de nouveaux modèles de routeurs grand public fabriqués à l’étranger, au nom de la sécurité nationale. Cette mesure fait suite à la conclusion d’un groupe de coordination interministériel piloté par la Maison-Blanche selon laquelle les routeurs produits à l’étranger présentent un risque inacceptable pour la sécurité nationale et la sûreté des citoyens américains.

La FCC affirme que les routeurs fabriqués à l’étranger créent des vulnérabilités dans la chaîne d’approvisionnement, menaçant les infrastructures critiques et la défense, et qu’ils ont été exploités par des hackers malveillants pour attaquer des foyers américains, perturber les réseaux et faciliter la cybercriminalité ainsi que la surveillance. Elle cite notamment des cas où des routeurs produits à l’étranger auraient été utilisés dans des cyberattaques menées par les groupes de piratage soutenus par le gouvernement chinois Volt Typhoon, Salt Typhoon et Flax Typhoon.

La plupart des grandes marques de routeurs, dont Netgear, Linksys, Asus, D Link et TP Link, fabriquent leur matériel à l’étranger, et il n’existe actuellement pratiquement plus de grands routeurs grand public fabriqués sur le sol américain. La FCC interprète en outre largement la notion de production, en y incluant non seulement le lieu d’assemblage physique, mais aussi celui de la conception et du développement ; même une entreprise américaine pourrait donc être concernée si des étapes clés du processus sont réalisées à l’étranger.

Cette interdiction ne s’applique toutefois pas aux modèles déjà certifiés par la FCC, et les routeurs déjà achetés peuvent continuer à être utilisés sans problème. Pour les nouveaux modèles, des exceptions pourront être accordées en cas d’obtention d’une approbation conditionnelle (Conditional Approval) du département de la Défense (DoD) ou du département de la Sécurité intérieure (DHS).

La mesure suscite aussi des critiques. Bien que Salt Typhoon soit un groupe d’origine chinoise, certains de ses cas d’exploitation ont visé des vulnérabilités de routeurs du fabricant américain Cisco, et la FCC n’a pas apporté de preuves montrant que les routeurs fabriqués aux États-Unis seraient plus sûrs que ceux produits à l’étranger. Certains estiment également qu’une véritable politique de sécurité devrait imposer, indépendamment du pays d’origine, des audits logiciels et une certification obligatoire des correctifs pour tous les appareils.

L’entreprise la plus surveillée dans cette affaire est TP Link, fondée en Chine et aujourd’hui basée à Irvine, en Californie, qui fait déjà l’objet d’une enquête de sécurité nationale menée par l’administration Trump. À l’inverse, Netgear a vu son action bondir jusqu’à 16,7 % dans les échanges après clôture après l’annonce de l’interdiction.