Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Les produits TP-Link pourraient être à leur tour interdits aux États-Unis

Le monde de demain

Les produits TP-Link pourraient être à leur tour interdits aux États-Unis

Source : Unsplash

Le Wall Street Journal avance que le fabricant chinois de produits réseau TP-Link serait dans le collimateur des autorités américaines. Il lui serait en particulier reproché son manque de réactivité sur la correction des failles de sécurité. Le constructeur, de son côté, estime que tout est fait dans les temps.

Le 19 décembre à 15h30

Le Wall Street Journal a affirmé hier que plusieurs enquêtes ont été ouvertes sur TP-Link pour examiner ses pratiques en matière de sécurité. « Les enquêteurs des ministères du Commerce, de la Défense et de la Justice ont ouvert leurs propres enquêtes sur l'entreprise, et les autorités pourraient interdire la vente de routeurs TP-Link aux États-Unis l'année prochaine, selon des personnes au fait du dossier. Un bureau du ministère du Commerce a cité TP-Link à comparaître, ont indiqué certaines de ces personnes », indiquent nos confrères.

Ces enquêtes doivent déterminer si le constructeur chinois « pose un risque pour la sécurité nationale ». Auquel cas, elles pourraient aboutir à l’interdiction de commercialisation des produits, tout particulièrement des routeurs. Le Wall Street Journal note en effet que TP-Link est régulièrement en première place des ventes d’équipements réseau sur Amazon, le Taïwanais D-Link gardant la deuxième place.

Le Congrès américain déjà « déconcerté » en août

Les inquiétudes entourant TP-Link ne sont pas nouvelles. Le sujet tourne chez les membres du Congrès américain depuis des mois maintenant. Plus d’une vingtaine de députés de la Chambre des représentants ont ainsi envoyé en aout une lettre à la secrétaire du ministère du Commerce, Gina Raimondo, pour l’inviter justement à ouvrir une enquête.

« Les produits de TP-Link représentent une part substantielle du marché américain des routeurs Wi-Fi et des dispositifs connexes. Des informations de source ouverte indiquent que l'entreprise pourrait représenter une menace sérieuse pour la sécurité des ICTS [services de technologies de l'information et de communication, ndlr] américains. Nous demandons donc au département du Commerce d'enquêter sur TP-Link en vertu de ses pouvoirs en matière d'ICTS afin de déterminer si l'entreprise représente un risque pour la sécurité nationale », ont écrit les 24 députés.

La lettre relève que 95 % des adultes américains disent avoir utilisé Internet en 2023, les routeurs SOHO (small office/home office) étant le principal moyen d’accès. « TP-Link est le plus grand fournisseur de produits Wi-Fi au monde, vendant plus de 160 millions de produits par an dans plus de 170 pays », ajoutait la lettre. Des produits présents non seulement dans les foyers et entreprises, mais également dans les bases militaires américaines.

Les députés expliquent leur inquiétude par la conjonction de trois facteurs : l’omniprésence de TP-Link sur les produits réseaux, de fréquentes failles de sécurité, ainsi que le cadre réglementaire imposé par la Chine, auquel le constructeur doit se soumettre.

« Le degré inhabituel de vulnérabilités de TP-Link et la conformité requise avec la législation de la RPC sont en soi déconcertants. Si l'on ajoute à cela l'utilisation courante par le gouvernement chinois de routeurs SOHO tels que ceux de TP-Link pour perpétrer de vastes cyberattaques aux États-Unis, la situation devient nettement plus alarmante », s’émouvaient les députés.

Ils n’hésitaient pas à affirmer que les groupes APT (Advanced Persistant Threat) chinois « sont en mesure de menacer les infrastructures critiques des États-Unis, en grande partie grâce à leur capacité à compromettre les routeurs SOHO tels que ceux fabriqués par TP-Link ». Ces derniers étant fréquemment concernés par des problèmes de sécurité, la lettre sous-entend que les failles mettent d’autant plus de temps à être corrigées qu’elles permettent aux pirates d’en profiter.

Des produits TP-Link impliqués, mais à quel point ?

Des sources ont affirmé au Wall Street Journal que « les routeurs TP-Link sont régulièrement livrés aux clients avec des failles de sécurité, que l'entreprise omet souvent de corriger » et que « TP-Link ne dialogue pas avec les chercheurs en sécurité qui s'inquiètent de ces failles ». Nos confrères ajoutent cependant que « les autorités américaines n'ont divulgué aucune preuve que TP-Link est un canal de communication pour les cyberattaques parrainées par l'État chinois ».

La dernière grosse attaque ayant impliqué des produits TP-Link a été révélée le 31 octobre par Microsoft. La société a décrit un botnet de plusieurs milliers de routeurs, caméras et autres appareils IoT conçu pour attaquer les clients de son offre cloud Azure. Elle ajoutait que les routeurs SOHO de TP-Link constituaient la majeure partie du botnet.

Cependant, comme le note Ars Technica, un rapport de mars 2024 par Michael O’Rielly (ancien commissaire à la Federal Communications Commission) invitait à prendre un peu de hauteur. O’Rielly notait bien que « les produits TP-Link ont eu plus que leur part de citations » dans les alertes de sécurité et qu’il convient de surveiller la situation de près. Cependant, il n’était pas certain que les produits de la marque chinoise en présentaient significativement plus que d’autres.

« Il est difficile de savoir dans quelle mesure les vulnérabilités de TP-Link sont répandues par rapport à d'autres routeurs sans fil, qu'ils soient chinois ou autres, car il n'existe pas de comparaison ou de classement définitif des routeurs sur la base de leur sécurité », ajoutait-il, avant de recommander la prudence. Il estimait « tout à fait prématurée » l’idée d’interdire tous les routeurs fabriqués en Chine.

Les prix de TP-Link également dans le collimateur

La sécurité n’est pas le seul domaine concerné par les enquêtes. Toujours selon le Wall Street Journal, les prix pratiqués par TP-Link feraient également l’objet d’une intense scrutation. Le Journal cite des sources selon lesquelles le ministère de la Justice suspecterait des pratiques de vente à perte.

« Le ministère de la Justice cherche à savoir si les écarts de prix violent une loi fédérale qui interdit les tentatives de monopole par la vente de produits à un prix inférieur à leur coût de fabrication, selon une personne au courant de l'affaire », écrit le Journal, qui avance le chiffre de 64,9 % de parts de marché sur les routeurs SOHO pour TP-Link.

Un chiffre qu’un porte-parole de l’entreprise a contesté, tout en indiquant que les parts de marché aux États-Unis avaient effectivement augmenté. « Nous nous réjouissons de toute occasion de collaborer avec le gouvernement américain afin de démontrer que nos pratiques en matière de sécurité sont parfaitement conformes aux normes de sécurité du secteur, et de démontrer notre engagement permanent envers le marché américain, les consommateurs américains et les risques pour la sécurité nationale des États-Unis », a également déclaré TP-Link.

Si l’enquête devait confirmer les soupçons, TP-Link pourrait être ajoutée à la liste des entreprises chinoises n’ayant plus le droit de proposer ou commercialiser des services et produits sur le sol américain. Les tensions géopolitiques entre la Chine et les États-Unis vont crescendo. Si les enquêtes ne font que débuter, il est peu probable que le prochain gouvernement de Donald Trump cherche à apaiser la situation.

Commentaires (25)

votre avatar
Encore des sanctions (potentielles, pour le moment) contre un fabricant non-étasunien qui menacerait l’hégémonie commerciale de notre très démocratique ¿AMI? d'outre-atlantique.
OUI, je suis anti-US ! Et je me demande quand Airbus aura sa punition pour faire de l'ombre au Gendarme du Monde ?
votre avatar
Vu que ça fait longtemps qu'Airbus fait de l'ombre à Boeing, encore plus ces derniers temps avec les choix catastrophiques de la direction de l'avionneur US, et que sanctions il n'y a point. Peut-être que la vraie raison est que tout matériel chinois qui peut impacter la sécurité des SI n'est pas fiable ? Mais quand je vois que par pur anti-américanisme primaire, on est prêt à défendre n'importe qui ou n'importe quoi et cela avec des comparaisons au bas mot hasardeuse, je m'inquiète sincèrement pour la quiétude des débats.
votre avatar
T'es sûr pour Airbus ?
https://www.tresor.economie.gouv.fr/Articles/2019/10/02/les-etats-unis-autorises-a-sanctionner-l-union-europeenne-dans-l-affaire-airbus-a-hauteur-de-7-5-milliards-usd-par-an
votre avatar
Tiens tu as toute l'histoire ici :
fr.wikipedia.org Wikipedia
votre avatar
Très bien, tu sais consulter wikipedia. Tu en conclues que Boeing ne tente pas d'utiliser la voie légale pour contrer Airbus ?
votre avatar
J'en conclue que c'est un conflit commercial entre l'UE et les USA sur les subventions qui date de plus de 40 ans et qui a fini par déboucher sur un accord en 2021. Rien de plus. L'OMC a même été créé pour ça, régler les conflits commerciaux. Après le président élu US va peut-être relancer la guerre des droits de douane parce qu'il adore ça les droits de douane. Mais pour ça faudra attendre le 20 janvier.
votre avatar
Pour avoir failli être embarqué dans des projets d'audit casse-gueule évité de justesse, relativement récemment (bien après 2021), Boeing avec l'appui du gouvernement US tente tout ce qu'ils peuvent contre Airbus et l'UE, y compris en essayant de passer par des blocages liés aux lois américaines sur la sécurisation militaire et le commerce des armes pour essayer de faire interdire Airbus (édit : réglementation ITAR pour ceux qui connaissent). Sans rentrer dans les détails non divulgables, c'est un peu comme s'ils avaient essayé de dire "dans vos avions, vous utilisez des rivets de tels type qu'on utilise aussi dans certains de nos armements (mais on ne peut pas vous le prouver de part le secret militaire) donc on veut vous interdire d'utiliser les-dits rivets dans vos avions, ou ne plus exporter vos avions". Les "rivets" étant n'importe quelle pièce mécanique lambda, mais judicieusement choisie en sachant qu'il n'y a pas d'autre alternatives légales facilement utilisables.
Dans les détails, c'est relativement bancal comme recours, et ça pue la tentative de la dernière chance, des fois que ça fonctionne sur un malentendu.
votre avatar
J'apprends que TP-Link est une entreprise chinoise. J'étais persuadé que c'était une entreprise taïwanese.
votre avatar
Pareil. Reste que j'utilise du matériel TP-Link et que j'en suis bien content (au contraire de Zyxel).
votre avatar
Tiens, j'ai les deux (plus un routeur Netgear sous OpenWRT) : Zyxel pour un switch et TP-Link pour des points d'accès wifi.
Que reproches tu à tes produits Zyxel ?
votre avatar
La question se pose en fait avec tous les éléments de réseau ou IOT dont le contrôle doit rester garanti, peut importe la provenance.

Il n'y a pas des masses de solution et la politique menée par la Chine pour les entreprises est une voie intéressante selon moi: le firmware doit être écrit et maintenu par des structures indépendantes et possédées à au moins 50% par des propriétaires du marché de destination.

En clair, pour TP link:
- création d'une société de droit américain pour gérer le firmware des produits et le programmer dans les produits inerte, sur le sol Américain par des citoyen américains.
- pareil en Europe car aucune confiance envers les Chinois et les usa.

Et on peut faire pareil pour tous ce qui est relié à un réseau, avec ou sans fil.

En plus, c'est bon pour l'emplois.
votre avatar
Pour relativiser un peu, la plupart des routeurs a des failles et Netgear (USA) est assez bien placée elle aussi en nombre de failles (29 Vs 32 pour TP-Link).

Cela ne répond pas au problème de rapidité de correction mais, côté quantité de failles, c'est comparable. Il faut dire qu'ils utilisent tous les mêmes logiciels libres, hélas souvent des versions obsolètes.

Quand on veut tuer son chien, on dit qu'il a la rage.
votre avatar
Hors sécurité, ce qui m’agace le plus c'est la qualité affreuse de l'implémentation UPnP dans les routeurs dont beaucoup de constructeurs semblent se contenter.
votre avatar
Ça devrait être dans la loi plutôt que de relever de l’arbitraire de l'État. Trop de failles de sécurité pas corrigée dans des délais raisonnables = interdiction de vente tant que l'entreprise ne démontre pas qu'elle a adapté ses process internes et corrigé toutes les failles rapportées.
votre avatar
Techniquement, c'est ce que le Cyber Resilience Act de l'U.E. essaye de faire: responsabiliser les acteurs et punir ceux qui ne font pas un suivi adéquat.
votre avatar
Moi qui jubile depuis que j'ai acheté un routeur 4G de TP-Link.

Question aux averti⋅es du coup : ça vaut le coup d'installer OpenWrt alors ?
votre avatar
Matériel chinois ou pas, si tu veux pouvoir bidouiller, ça vaut toujours le coup de l'installer si ça fonctionne sur ton modèle. J'en ai un depuis longtemps sur un routeur TP-Link filaire et Wi-Fi.

Et même si tu veux pas trop bidouiller, avec les paquets luci-* tu as une interface web pour beaucoup de fonctions pour ne pas tout configurer en console.
votre avatar
Je me suis emballé pour rien. OpenWrt ne support pas (encore) mon routeur :(

Mais je veux bien un éclairage : il faut s'inquiéter des parties logicielles de TP-Link, mais aussi des parties hardware ? C'est à dire, est-ce qu'il pourrait y avoir des saloperies encodées en dur, impossibles à déloger ? Au quel cas, OpenWrt n'y changerait rien.
votre avatar
Les saletés de ce genre sont normalement mentionnées sur la page dédiée au modèle que tu veux utiliser. Ca arrive habituellement sur la partie réseau sans fil et c'est la cause principale du support ou non d'un modèle. Il peut y avoir des fonctionnalités en plus et/ou en moins.

Le réseau filaire ne pose habituellement pas de problème, et la partie exécution (CPU, RAM, flash) non plus du moment qu'il y en a assez (mais hormis sur les modèles d'entrée de gamme normalement ça va).
votre avatar
Mon routeur est même pas référencé. Un TP-Link Archer MR600 v3.
votre avatar
Ça vaut toujours le coup d'installer OpenWRT au lieu de rester avec le système limité des constructeurs :-)

J'ai (eu) des équipements TP-Link, Linksys et Netgear, ils ont toujours tourné sous OpenWRT.
votre avatar
+1
votre avatar
En France vu qu’on place en général une box en frontal je dirais qu’on peut s’estimer un peu épargné des failles des routeurs grand public sur internet. Les box sont mises à jour très souvent comparé à ces mêmes routeurs.
votre avatar
Par contre l'effet kiss cool c'est qu'on a pas le droit de configurer tout ce que l'on veut, comme le DNS sur les livebox qui n'est plus changeable. Le champ existe, tu peux le changer, quand tu enregistres ça revient aux valeurs défaut :prison:
votre avatar
Mouais, elles sont mise à jour souvent mais plantent toujours autant.

Sur les livebox, j'ai des soucis quand il y a plus de 60 stations sur le réseau, quand il y a de l'IPv6, quand il y a trop de redirections, quand le DHCP ne donne plus d’adresse, quand la table MAC est pleine...

Sans compter les problèmes "volontaires" genre le DNS cité par k0rnmuz3 , il y a aussi l'ergonomie incompréhensible (ca m'en ferait presque regretter la webUI de microtik, c'est dire) , la lenteur de l'interface...

Bref, comme à l'époque de l'ADSL, on reste obligé de la placer sur un minuteur qui l'éteint & la rallume tous les jours à 3h30 du mat...

A coté de ça, un routeur chinois sous OpenWRT (banana Pi R3) avec un SFP GPON. 2 ans d'uptime , 0 problème. Ever. Avec presque 100 stations sur le réseau, et la box fait en plus NAS (via une carte SATA) et broker MQTT.

Je comprends tj pas les BOFS à founir des box aussi pourries - pour moi c'est forcément stratégique vu la relative simplicité de mettre OpenWRT - mais j'arrive pas à voir ce que cette médiocrité leur rapporte.

Les produits TP-Link pourraient être à leur tour interdits aux États-Unis

  • Le Congrès américain déjà « déconcerté » en août

  • Des produits TP-Link impliqués, mais à quel point ?

  • Les prix de TP-Link également dans le collimateur

Fermer