Exclus : L’interdiction des routeurs par la FCC crée-t-elle une nouvelle crise de cybersécurité ?

La décision américaine de bloquer les routeurs étrangers vise à sécuriser les réseaux - mais pourrait-elle se retourner contre elle, laissant consommateurs et entreprises avec moins de défenses, et plus faibles ?

Par un matin froid de mars, l’industrie technologique américaine s’est réveillée face à un bouleversement majeur : la FCC a annoncé qu’elle n’approuverait plus de nouveaux modèles de routeurs grand public fabriqués à l’étranger. Cette mesure, saluée comme une victoire pour la sécurité nationale, vise à couper court aux portes dérobées adverses et à la surveillance étrangère. Mais alors que la poussière retombe, une question pressante émerge : les Américains échangent-ils une menace contre une autre, risquant du matériel obsolète et des coûts plus élevés au nom de la « souveraineté » ?

En Bref

La décision du 23 mars de la FCC interdit l’approbation de nouveaux routeurs grand public fabriqués à l’étranger, mais autorise l’utilisation et la vente des modèles déjà approuvés.
Presque tous les routeurs SOHO (petits bureaux/usage domestique) aux États-Unis sont fabriqués à l’étranger ; il n’existe que quelques options produites localement.
Des experts en sécurité avertissent que la politique pourrait forcer les utilisateurs à conserver plus longtemps des routeurs vieillissants et non corrigés, affaiblissant potentiellement les défenses.
Les critiques soutiennent que la plupart des piratages de routeurs exploitent un mauvais entretien - et non le pays d’origine.
L’UE adopte une approche différente, exigeant que tous les appareils connectés (quelle que soit leur origine) respectent des normes minimales de cybersécurité.

L’action de la FCC fait suite à des avertissements d’un examen mené par la Maison Blanche, selon lesquels les routeurs étrangers pourraient être exploités pour l’espionnage, des attaques de botnets ou le vol de données. Des incidents très médiatisés - comme les cyberattaques Volt, Flax et Salt Typhoon - soulignent les risques liés à des équipements réseau compromis dans les infrastructures critiques.

Pourtant, les implications de cette politique pourraient dépasser largement les cibles visées. Rebecca Krauthamer, PDG de QuSecure, note : « Lorsque des données hautement sensibles sont exposées à des composants d’infrastructure, l’origine devient réellement un critère important. » Selon elle, l’interdiction relève autant de l’influence géopolitique que de la sécurité technique.

Mais il y a un hic : le marché américain dépend presque entièrement des routeurs fabriqués à l’étranger. À mesure que les entreprises et les consommateurs cherchent à remplacer leur matériel vieillissant, ils risquent de se retrouver coincés entre des choix réduits et des coûts en hausse. « Il pourrait y avoir des perturbations et une augmentation des coûts avec cette interdiction, car la plupart des routeurs sont fabriqués hors des États-Unis et nécessitent un remplacement périodique pour maintenir une sécurité forte », avertit Jim Needham, directeur général senior chez FTI Consulting. Faute d’une base industrielle nationale solide, les mises à niveau pourraient être retardées, laissant en service des routeurs obsolètes et potentiellement vulnérables pendant des années.

Les critiques remettent aussi en question la cible de la politique. « Les acteurs malveillants exploitent les vulnérabilités aussi bien dans le matériel national qu’international », affirme Jason Soroko de Sectigo. Dans la plupart des attaques réelles, les failles comme les mots de passe par défaut, les correctifs manqués et les interfaces exposées - et non le pays d’origine - constituent les maillons faibles. En confondant risque de la chaîne d’approvisionnement et hygiène cybernétique de base, certains craignent que la FCC ne « se trompe de diagnostic ».

L’Union européenne propose un modèle opposé : son Cyber Resilience Act impose à tous les appareils connectés de respecter des normes de sécurité, quel que soit leur lieu de fabrication. Cette approche s’attaque à la racine opérationnelle de la plupart des failles, plutôt que de cibler le matériel étranger.

Pour l’instant, l’interdiction des routeurs par la FCC est un pari sur la sécurité à long terme, avec peu d’effet immédiat - les appareils existants restent légaux, et des exemptions sont possibles. Mais à mesure que les réseaux américains vieillissent et que les alternatives nationales peinent à suivre, le véritable test sera de savoir si cette politique renforce la résilience ou crée simplement de nouvelles vulnérabilités. Comme l’observe Pieter Arntz de Malwarebytes, les États-Unis ne disposent « que d’un seul » routeur fabriqué localement dans la catégorie concernée. Cette interdiction va-t-elle susciter une renaissance du matériel réseau américain, ou laisser les réseaux américains bloqués dans le passé ?

WIKICROOK

Routeur : Un routeur est un appareil qui relie différents réseaux, comme le Wi-Fi domestique à Internet, dirigeant les données et renforçant la sécurité du réseau.
Porte dérobée : Une porte dérobée est un accès caché à un ordinateur ou un serveur, contournant les contrôles de sécurité habituels, souvent utilisé par des attaquants pour prendre le contrôle en secret.
Botnet : Un botnet est un réseau d’appareils infectés contrôlés à distance par des cybercriminels, souvent utilisé pour lancer des attaques à grande échelle ou voler des données sensibles.
Risque de la chaîne d’approvisionnement : Le risque de la chaîne d’approvisionnement est la menace qu’une cyberattaque contre une entreprise se propage à d’autres via des systèmes, fournisseurs ou partenaires partagés.
Correctif : Un correctif est une mise à jour logicielle publiée pour corriger des vulnérabilités de sécurité ou des bugs dans des programmes, aidant à protéger les appareils contre les cybermenaces et à améliorer leur stabilité.