FAC place tous les routeurs étrangers sur sa liste de sécurité et redéfinit le marché du matériel réseau

La Federal Communications Commission (FCC) des États-Unis a pris une mesure qui modifie la carte du marché du matériel de réseau: elle a mis à jour sa « Liste contrôlée » pour inclure tous les routeurs de consommation fabriqués à l'étranger, qui interdit dans la pratique la vente de nouveaux modèles importés en territoire américain à moins d'obtenir une approbation exceptionnelle. Il s'agit d'une mesure qui vise à réduire les risques pour la sécurité nationale, mais qui soulève aussi des ignorances pour les consommateurs, les fabricants et les fournisseurs de services.

Pour en comprendre la portée, il faut se rappeler le cadre juridique : la « Liste de contrôle » fait partie de la Loi de 2019 sur les réseaux de communications sécurisés et fiables, qui a ordonné l'identification et la restriction des équipements et services de communications qui représentent un risque inacceptable pour les réseaux et les infrastructures du pays. La FCC tient cette liste et a jusqu'à présent inclus des produits et des signatures spécifiques qui avaient été liés à des problèmes de sécurité tels que Huawei, ZTE, Kaspersky, Hikvision ou Dahua. L'explication officielle et le contenu historique de la liste se trouvent sur la page de FAC de la liste de couverture. https: / / www.fcc.gov / général / liste de couverture et dans la loi Loi sur les réseaux de communication sécurisés et fiables (texte juridique).

La décision de placer tous les routeurs étrangers sur la liste n ' est pas arbitraire : elle est fondée sur une évaluation de la sécurité nationale publiée par un groupe interinstitutions de l ' exécutif. Ce document conclut que les routeurs produits en dehors des États-Unis représentent un vecteur de risque dans la chaîne d'approvisionnement capable de perturber l'économie, les infrastructures essentielles et les capacités de défense. Le rapport de FAC qui accompagne la mise à jour décrit en détail les incidents dans lesquels des routeurs étrangers ont facilité des campagnes d'intrusion touchant des systèmes essentiels, en donnant des exemples que les organismes considèrent comme des preuves de la menace; le rapport est disponible dans la publication de FAC sur la détermination de la sécurité nationale. https: / / www.fcc.gov / sites / par défaut / fichiers / NSD-Routers0326.pdf et dans le document expliquant les raisons de l'inclusion https: / / docs.fcc.gov / public / pièces jointes / DOC-420034A1.pdf.

Il est important d'évaluer comment l'interdiction est mise en œuvre. Ce n'est pas que les routeurs déjà en place dans les magasins ou les réseaux soient immédiatement retirés: les dispositifs présents sur le marché resteront légaux. La mesure affecte la vente de nouveaux modèles fabriqués à l'étranger. En outre, la FCC a ouvert une autre voie aux fabricants étrangers pour demander l'approbation conditionnelle, à condition qu'ils acceptent l'extrême transparence de leur structure organisationnelle, de leurs chaînes d'approvisionnement, de leur propriété intellectuelle et de leur projet de déménager aux États-Unis. La production de composants critiques. Le guide de demande de ces approbations conditionnelles est publié par l'organisme lui-même et explique les exigences et les attentes en matière de documentation concernant la fabrication à terre. https: / / www.fcc.gov / sites / par défaut / fichiers / Guidance-for-Conditional-Approvals-Submission0326.pdf.

Il y a aussi des exceptions très précises : la FCC a accordé des approbations conditionnelles à certaines unités de routeurs utilisées par le ministère de la Guerre et le ministère de la Sécurité nationale dans les systèmes de véhicules aériens sans équipage, en déterminant que ces utilisations spécifiques ne présentent pas le même risque que le marché général des consommateurs. Pour les mises à jour logicielles et firmware dans les composants critiques des systèmes UAS (drones), l'agence a autorisé la possibilité de mises à jour jusqu'au 1er janvier 2027 au moins, donnant une marge opérationnelle aux opérateurs et aux fabricants tout en adaptant le règlement.

Si nous parlons d'impact réel pour le public, les utilisateurs ne verront pas de changements immédiats lors de la connexion de leur routeur actuel. Cependant, la porte qui permet aux nouveaux modèles d'atteindre les magasins est étroite: le processus de certification, l'obligation de divulguer les données de la chaîne d'approvisionnement et l'exigence de la terre peut augmenter et retarder l'entrée des équipements. Les coûts et la complexité administrative pourraient amener certains fabricants à décider qu'il ne vaut pas la peine d'être concurrentiel sur le marché américain, ce qui réduirait la variété des modèles disponibles et pourrait faire grimper les prix.

Du point de vue technique, la logique du régulateur est basée : le routeur est le premier point de contact entre le réseau domestique et le reste de l'Internet. Si votre micrologiciel ou vos composants ont des portes arrière, des vulnérabilités intentionnelles ou des engagements dans la chaîne d'approvisionnement, un attaquant peut obtenir un accès persistant aux réseaux nationaux, aux petites entreprises ou même intervenir dans des attaques contre des infrastructures plus critiques. C'est pourquoi les exigences de la FCC exigent non seulement la transparence des activités, mais aussi des détails techniques : listes de matériaux, origine de chaque composant, propriétaire du logiciel et lieu d'assemblage de l'équipement.

La mesure reflète également une tendance à la hausse de la politique technologique : les autorités cherchent à réduire la dépendance technologique des fournisseurs étrangers vis-à-vis des éléments sensibles des infrastructures, une préoccupation qui s'est intensifiée depuis 2019 et qui a conduit à d'autres mesures réglementaires et sanctions. Pour ceux qui veulent approfondir la description technique et politique de la mesure, la FCC a publié les fondations et les annexes avec des exemples et des preuves recueillis par les agences de renseignement et de sécurité http://docs.fcc.gov / public / pièces jointes / DA-26-278A1.pdf.

Au niveau industriel, les réactions prévisibles vont des efforts de mise en conformité et de restructuration des chaînes d'approvisionnement en passant par les litiges ou les pressions diplomatiques. Les entreprises ayant la capacité de transférer une partie de leur production aux États-Unis ou à des partenaires de confiance pourraient s'adapter; d'autres, sans cette flexibilité, pourraient quitter le marché américain. La FCC a clairement indiqué qu'elle ne vise pas à verrouiller la porte, mais à conditionner l'accès en fonction du degré de transparence et d'atténuation des risques.

Pour les consommateurs qui veulent avancer vers d'éventuels effets secondaires, il est raisonnable de surveiller les politiques de garantie et les mises à jour du fabricant avant d'acheter un nouvel appareil et, si possible, de tenir le firmware à jour et d'appliquer de bonnes pratiques de sécurité à domicile : changer les mots de passe par défaut, séparer les appareils IoT en un réseau distinct et permettre un cryptage et une authentification robustes.

En bref, l'inclusion massive de routeurs étrangers dans la "liste couverte" est un mouvement ambitieux de sécurité nationale qui vise à fermer les vecteurs de risque à grande échelle, mais introduit également des frictions commerciales et d'approvisionnement. L'équilibre entre la protection des infrastructures essentielles et le maintien d'un marché concurrentiel et abordable sera la voie à suivre au cours des prochains mois : la surveillance des demandes d'approbation conditionnelle, les réponses des fabricants et les décisions de la FCC permettront de déterminer clairement si cette mesure atteint son objectif sans accroître ni appauvrir l'expérience numérique des utilisateurs.