Les produits TP-Link pourraient être à leur tour interdits aux États-Unis
Le monde de demain
Le Wall Street Journal avance que le fabricant chinois de produits réseau TP-Link serait dans le collimateur des autorités américaines. Il lui serait en particulier reproché son manque de réactivité sur la correction des failles de sécurité. Le constructeur, de son côté, estime que tout est fait dans les temps.
Le 19 décembre 2024 à 15h30
7 min
Sécurité
Sécurité
Le Wall Street Journal a affirmé hier que plusieurs enquêtes ont été ouvertes sur TP-Link pour examiner ses pratiques en matière de sécurité. « Les enquêteurs des ministères du Commerce, de la Défense et de la Justice ont ouvert leurs propres enquêtes sur l'entreprise, et les autorités pourraient interdire la vente de routeurs TP-Link aux États-Unis l'année prochaine, selon des personnes au fait du dossier. Un bureau du ministère du Commerce a cité TP-Link à comparaître, ont indiqué certaines de ces personnes », indiquent nos confrères.
Ces enquêtes doivent déterminer si le constructeur chinois « pose un risque pour la sécurité nationale ». Auquel cas, elles pourraient aboutir à l’interdiction de commercialisation des produits, tout particulièrement des routeurs. Le Wall Street Journal note en effet que TP-Link est régulièrement en première place des ventes d’équipements réseau sur Amazon, le Taïwanais D-Link gardant la deuxième place.
Le Congrès américain déjà « déconcerté » en août
Les inquiétudes entourant TP-Link ne sont pas nouvelles. Le sujet tourne chez les membres du Congrès américain depuis des mois maintenant. Plus d’une vingtaine de députés de la Chambre des représentants ont ainsi envoyé en aout une lettre à la secrétaire du ministère du Commerce, Gina Raimondo, pour l’inviter justement à ouvrir une enquête.
« Les produits de TP-Link représentent une part substantielle du marché américain des routeurs Wi-Fi et des dispositifs connexes. Des informations de source ouverte indiquent que l'entreprise pourrait représenter une menace sérieuse pour la sécurité des ICTS [services de technologies de l'information et de communication, ndlr] américains. Nous demandons donc au département du Commerce d'enquêter sur TP-Link en vertu de ses pouvoirs en matière d'ICTS afin de déterminer si l'entreprise représente un risque pour la sécurité nationale », ont écrit les 24 députés.
La lettre relève que 95 % des adultes américains disent avoir utilisé Internet en 2023, les routeurs SOHO (small office/home office) étant le principal moyen d’accès. « TP-Link est le plus grand fournisseur de produits Wi-Fi au monde, vendant plus de 160 millions de produits par an dans plus de 170 pays », ajoutait la lettre. Des produits présents non seulement dans les foyers et entreprises, mais également dans les bases militaires américaines.
Les députés expliquent leur inquiétude par la conjonction de trois facteurs : l’omniprésence de TP-Link sur les produits réseaux, de fréquentes failles de sécurité, ainsi que le cadre réglementaire imposé par la Chine, auquel le constructeur doit se soumettre.
« Le degré inhabituel de vulnérabilités de TP-Link et la conformité requise avec la législation de la RPC sont en soi déconcertants. Si l'on ajoute à cela l'utilisation courante par le gouvernement chinois de routeurs SOHO tels que ceux de TP-Link pour perpétrer de vastes cyberattaques aux États-Unis, la situation devient nettement plus alarmante », s’émouvaient les députés.
Ils n’hésitaient pas à affirmer que les groupes APT (Advanced Persistant Threat) chinois « sont en mesure de menacer les infrastructures critiques des États-Unis, en grande partie grâce à leur capacité à compromettre les routeurs SOHO tels que ceux fabriqués par TP-Link ». Ces derniers étant fréquemment concernés par des problèmes de sécurité, la lettre sous-entend que les failles mettent d’autant plus de temps à être corrigées qu’elles permettent aux pirates d’en profiter.
Des produits TP-Link impliqués, mais à quel point ?
Des sources ont affirmé au Wall Street Journal que « les routeurs TP-Link sont régulièrement livrés aux clients avec des failles de sécurité, que l'entreprise omet souvent de corriger » et que « TP-Link ne dialogue pas avec les chercheurs en sécurité qui s'inquiètent de ces failles ». Nos confrères ajoutent cependant que « les autorités américaines n'ont divulgué aucune preuve que TP-Link est un canal de communication pour les cyberattaques parrainées par l'État chinois ».
La dernière grosse attaque ayant impliqué des produits TP-Link a été révélée le 31 octobre par Microsoft. La société a décrit un botnet de plusieurs milliers de routeurs, caméras et autres appareils IoT conçu pour attaquer les clients de son offre cloud Azure. Elle ajoutait que les routeurs SOHO de TP-Link constituaient la majeure partie du botnet.
Cependant, comme le note Ars Technica, un rapport de mars 2024 par Michael O’Rielly (ancien commissaire à la Federal Communications Commission) invitait à prendre un peu de hauteur. O’Rielly notait bien que « les produits TP-Link ont eu plus que leur part de citations » dans les alertes de sécurité et qu’il convient de surveiller la situation de près. Cependant, il n’était pas certain que les produits de la marque chinoise en présentaient significativement plus que d’autres.
« Il est difficile de savoir dans quelle mesure les vulnérabilités de TP-Link sont répandues par rapport à d'autres routeurs sans fil, qu'ils soient chinois ou autres, car il n'existe pas de comparaison ou de classement définitif des routeurs sur la base de leur sécurité », ajoutait-il, avant de recommander la prudence. Il estimait « tout à fait prématurée » l’idée d’interdire tous les routeurs fabriqués en Chine.
Les prix de TP-Link également dans le collimateur
La sécurité n’est pas le seul domaine concerné par les enquêtes. Toujours selon le Wall Street Journal, les prix pratiqués par TP-Link feraient également l’objet d’une intense scrutation. Le Journal cite des sources selon lesquelles le ministère de la Justice suspecterait des pratiques de vente à perte.
« Le ministère de la Justice cherche à savoir si les écarts de prix violent une loi fédérale qui interdit les tentatives de monopole par la vente de produits à un prix inférieur à leur coût de fabrication, selon une personne au courant de l'affaire », écrit le Journal, qui avance le chiffre de 64,9 % de parts de marché sur les routeurs SOHO pour TP-Link.
Un chiffre qu’un porte-parole de l’entreprise a contesté, tout en indiquant que les parts de marché aux États-Unis avaient effectivement augmenté. « Nous nous réjouissons de toute occasion de collaborer avec le gouvernement américain afin de démontrer que nos pratiques en matière de sécurité sont parfaitement conformes aux normes de sécurité du secteur, et de démontrer notre engagement permanent envers le marché américain, les consommateurs américains et les risques pour la sécurité nationale des États-Unis », a également déclaré TP-Link.
Si l’enquête devait confirmer les soupçons, TP-Link pourrait être ajoutée à la liste des entreprises chinoises n’ayant plus le droit de proposer ou commercialiser des services et produits sur le sol américain. Les tensions géopolitiques entre la Chine et les États-Unis vont crescendo. Si les enquêtes ne font que débuter, il est peu probable que le prochain gouvernement de Donald Trump cherche à apaiser la situation.
Les produits TP-Link pourraient être à leur tour interdits aux États-Unis
-
Le Congrès américain déjà « déconcerté » en août
-
Des produits TP-Link impliqués, mais à quel point ?
-
Les prix de TP-Link également dans le collimateur
Commentaires (37)
Abonnez-vous pour prendre part au débat
Déjà abonné ? Se connecter
Cet article est en accès libre, mais il est le fruit du travail d'une rédaction qui ne travaille que pour ses lecteurs, sur un média sans pub et sans tracker. Soutenez le journalisme tech de qualité en vous abonnant.
Accédez en illimité aux articles
Profitez d’un média expert et unique
Intégrez la communauté et prenez part aux débats
Partagez des articles premium à vos contacts
Abonnez-vousLe 19/12/2024 à 16h01
OUI, je suis anti-US ! Et je me demande quand Airbus aura sa punition pour faire de l'ombre au Gendarme du Monde ?
Le 19/12/2024 à 16h12
Le 19/12/2024 à 18h00
https://www.tresor.economie.gouv.fr/Articles/2019/10/02/les-etats-unis-autorises-a-sanctionner-l-union-europeenne-dans-l-affaire-airbus-a-hauteur-de-7-5-milliards-usd-par-an
Le 19/12/2024 à 18h06
Wikipedia
Le 19/12/2024 à 18h18
Le 19/12/2024 à 18h30
Modifié le 19/12/2024 à 19h10
Dans les détails, c'est relativement bancal comme recours, et ça pue la tentative de la dernière chance, des fois que ça fonctionne sur un malentendu.
Le 19/12/2024 à 16h07
Le 20/12/2024 à 11h20
Le 20/12/2024 à 11h54
Que reproches tu à tes produits Zyxel ?
Le 23/12/2024 à 12h29
En SITCHs, j'utilise du Liknsys et ça marche bien.
Modifié le 19/12/2024 à 16h15
Il n'y a pas des masses de solution et la politique menée par la Chine pour les entreprises est une voie intéressante selon moi: le firmware doit être écrit et maintenu par des structures indépendantes et possédées à au moins 50% par des propriétaires du marché de destination.
En clair, pour TP link:
- création d'une société de droit américain pour gérer le firmware des produits et le programmer dans les produits inerte, sur le sol Américain par des citoyen américains.
- pareil en Europe car aucune confiance envers les Chinois et les usa.
Et on peut faire pareil pour tous ce qui est relié à un réseau, avec ou sans fil.
En plus, c'est bon pour l'emplois.
Le 19/12/2024 à 17h54
Cela ne répond pas au problème de rapidité de correction mais, côté quantité de failles, c'est comparable. Il faut dire qu'ils utilisent tous les mêmes logiciels libres, hélas souvent des versions obsolètes.
Quand on veut tuer son chien, on dit qu'il a la rage.
Le 19/12/2024 à 18h01
Modifié le 19/12/2024 à 18h04
Le 20/12/2024 à 00h31
Le 20/12/2024 à 08h55
Question aux averti⋅es du coup : ça vaut le coup d'installer OpenWrt alors ?
Modifié le 20/12/2024 à 09h18
Et même si tu veux pas trop bidouiller, avec les paquets luci-* tu as une interface web pour beaucoup de fonctions pour ne pas tout configurer en console.
Le 20/12/2024 à 15h09
Mais je veux bien un éclairage : il faut s'inquiéter des parties logicielles de TP-Link, mais aussi des parties hardware ? C'est à dire, est-ce qu'il pourrait y avoir des saloperies encodées en dur, impossibles à déloger ? Au quel cas, OpenWrt n'y changerait rien.
Le 20/12/2024 à 20h36
Le réseau filaire ne pose habituellement pas de problème, et la partie exécution (CPU, RAM, flash) non plus du moment qu'il y en a assez (mais hormis sur les modèles d'entrée de gamme normalement ça va).
Le 21/12/2024 à 11h34
Le 21/12/2024 à 17h05
Le 23/12/2024 à 09h49
Le 20/12/2024 à 14h17
J'ai (eu) des équipements TP-Link, Linksys et Netgear, ils ont toujours tourné sous OpenWRT.
Le 20/12/2024 à 15h33
Le 20/12/2024 à 09h33
Le 20/12/2024 à 11h02
Le 21/12/2024 à 00h08
Sur les livebox, j'ai des soucis quand il y a plus de 60 stations sur le réseau, quand il y a de l'IPv6, quand il y a trop de redirections, quand le DHCP ne donne plus d’adresse, quand la table MAC est pleine...
Sans compter les problèmes "volontaires" genre le DNS cité par k0rnmuz3 , il y a aussi l'ergonomie incompréhensible (ca m'en ferait presque regretter la webUI de microtik, c'est dire) , la lenteur de l'interface...
Bref, comme à l'époque de l'ADSL, on reste obligé de la placer sur un minuteur qui l'éteint & la rallume tous les jours à 3h30 du mat...
A coté de ça, un routeur chinois sous OpenWRT (banana Pi R3) avec un SFP GPON. 2 ans d'uptime , 0 problème. Ever. Avec presque 100 stations sur le réseau, et la box fait en plus NAS (via une carte SATA) et broker MQTT.
Je comprends tj pas les BOFS à founir des box aussi pourries - pour moi c'est forcément stratégique vu la relative simplicité de mettre OpenWRT - mais j'arrive pas à voir ce que cette médiocrité leur rapporte.
Modifié le 21/12/2024 à 17h15
Une solution qui règle pas mal de problèmes, du moins tous ceux que tu as cités, c'est de mettre un routeur (chinois ou non) derrière la box, configuré sur la box en DMZ (ce que j'aime pas ce terme) pour l'IPv4, et en next hop ou délégation de préfixe pour l'IPv6 (quand c'est prévu et que ça marche). Quand on a des réseaux de cette taille normalement on n'est pas à ça près niveau investissement.
Il reste toujours l'éventuel problème de la table du NAT IPv4 qui peut se remplir si on ouvre beaucoup de connexions, mais ça on peut même avec une seule station comme ne pas arriver avec 100, c'est dépendant des protocoles qu'on utilise.
Le 21/12/2024 à 18h47
J'ai l'exemple d'un cabinet d'archi , ou des petites PME , t'arrive très vite à 60 stations. Pas forcément des PC, mais entre les PC, les NAS, les imprimantes + traceurs, les portables (PC & téléphone) , et les bidules connectés...
Et il y a besoin de connections entrante ne serait-ce que pour le travail à distance.
Beaucoup n'y pigent rien en réseau mais ne sont pas assez gros ni assez riche pour se payer les services d'un opérateur "pro" qui arrive avec ses routeurs & tout pour des FAS de quelques milliers d'euros + une centaine d'euros par mois.
Ceci étant dit, oui , mettre un second routeur en frontal reste une solution , même si je suis pas fan (Le DHCPv6-PD, tu l'a vu marcher sur les box coté LAN ? Moi pas, tout ce que j'ai vu c'est simplement du RA qui diffuse un /64)
Modifié le 22/12/2024 à 22h16
J'en serais presque à dire que pour les pros il ne devrait fournir qu'un modem, mais bon il fournit un peu plus car il l'a déjà et que ça suffit à un certain nombre de TPE qui n'ont pas besoin de plus. De toute façon, quand on a plusieurs dizaines de stations, c'est que c'est suffisamment grand pour que le WiFi de la box ne couvre pas tout, on comprend vite qu'il va falloir ajouter quelque chose.
Pour ceux qui ne pigent rien en réseau, c'est pas plus compliqué pour eux d'utiliser un routeur que d'utiliser une box (la config qu'ils feront sur le routeur ils ne la feront pas sur la box), et c'est plus cher de 50 à 100 €, c'est à dire rien du tout. En fait c'est surtout qu'il faut savoir que c'est ça qu'il faut faire quand on constate des problèmes, ce qui n'est pas évident quand on n'y connaît rien, mais une fois compris ensuite ça se gère pareil.
Quant aux histoires d'attribution d'adresses IPv6, j'en ai déjà parlé pas mal sur une autre news, si tu veux dire qu'on devrait avoir un /48 ou /56 pour pouvoir déléguer des /64 derrière, j'ai pas envie d'en re-débattre, on s'entendra pas. Si c'est pour faire du SLAAC ou DHCPv6 sur le /64 fourni et que ça ne marche pas sur la box, on peut le faire sur le routeur comme le reste.
Le 26/12/2024 à 22h14
Modifié le 29/12/2024 à 00h16
Sinon on ne sait jamais jusqu'où aller, dizaines, centaines, milliers de machines ?
Le 30/12/2024 à 15h45
Moi aussi un simple modem m'irais très bien , ou un mode bridge comme il y en avait sur les box ADSL à une époque.
Et je trouvais ça parfait :
Ceux qui voulaient pas s'emmerder (ou même qui comprenaient pas tout ça) restaient en mode routeur par défaut, avec les limitations et les choix fait par les opérateurs pour "le plus grand nombre".
Mais d'un clic on retrouvait facilement le moyen de s'arranger autrement, avec effectivement un autre routeur (un vrai, qui récupérait l'IP publique). Et c'était "officiel".
Sauf.... que ce mode de fonctionnement a été supprimé.
Puis c'est devenu compliqué de se passer de la box opérateur, en particulier en FTTH.
(cf les contorsions d'orange sur le sujet pour avoir un truc qui tombe en marche).
Puis les box GP (mais aussi "FTTH-pro" puisque ce sont les même) ont commencé à limiter des fonctions, par exemple le changement de DNS , les plages d'IP , le nb de redirection , parce que "personne a besoin de ça, et puis ça simplifie la hotline".
Donc de mon point de vue c'est plutôt le FAI qui veux gérer le LAN à sa sauce (et le plus simplement possible).
La seule solution qu'il reste c'est le second routeur + DMZ sur la box (quand ça marche) , ça implique une double translation d'IPv4 , et en IPv6 j'ai pas trouvé comment faire proprement pour transférer le préfixe /64 diffusé en RA par la box du FAI sur la patte "LAN" du second routeur - puisque les stations sont "censés" être coté LAN de la box...
Bref. Quand je peux je passe effectivement à des SFP ONU + un vrai routeur, mais c'est pas tout le temps possible est on est à la merci d'une intervention en urgence car l'opérateur a changé un truc sans le dire (c'est leur droit bien sur mais ça implique que cette situation n'est pas prévue ou anticipée).
Un truc pour lequel je fait ça typiquement c'est pour faire du VRRP avec 2 lignes FTTH sur 2 sites proches & 2 opérateurs , qui permet de blinder un minimum la connexion car Orange sur la zone est catastrophique mais on est obligé de le garder pour des raisons politiques (connexion financée par la mairie).
Le 30/12/2024 à 16h23
En IPv4 tant que ça marche la double translation d'adresse ça me gêne pas. Je sais que ça limite en nombre de connexions à la taille de la table la plus petite, mais je n'ai jamais eu moi-même le problème et je n'y peut rien de toute façon.
En IPv6, certaines box permettent de définir un next hop pour le préfixe /64 (voire pour plusieurs). Théoriquement ça permet de déléguer comme il faut la gestion au routeur derrière. J'avais testé sur ma précédente box et ça fonctionnait, sur celle-ci il y a l'option mais je n'ai pas testé (mon routeur actuel est un vieux tromblon qui ne tient pas le multi-gig, donc en attendant de le changer je ne fais pas passer tout le trafic par lui). Car avoir l'option next hop c'est bien, mais il faut encore que ça marche réellement et que le préfixe ne change jamais.
Le 07/01/2025 à 19h48
Ca fait certes que 36€/ans mais bon... pour un truc qui est resté dans son carton, quoi.
Le 13/01/2025 à 09h52
Ce sont exactement les mêmes modèles à la différence que les paramètres sont débloqués et qu’il y a la possibilité de faire un peu plus (changement de dns, config IPv6 avancée, VPN,…).
Après ça reste des trucs basiques …
Mais la livebox est bien donnée sur les abonnements « orange pro ».
Pour les abonnements vraiment pro type OBS là je pense qu’on est sur des vrais routeurs configurés soit par l’entreprise soit par l’opérateur.