Le 23 mars, la **FCC** a mis à jour sa liste des appareils couverts (Covered List), interdisant de fait la vente de nouveaux routeurs produits dans des pays étrangers, sauf exemptions spécifiques accordées par le **Department of Defense (DoD)** ou le **DHS**. La justification : des "failles de sécurité dans les routeurs fabriqués à l'étranger" entraînant des cyberattaques généralisées, faisant référence à des attaques menées par des acteurs de menaces persistantes avancées chinois tels que **Volt**, **Flax** et **Salt Typhoon**. Cette décision, bien qu'ayant pour objectif d'atténuer le risque que des routeurs résidentiels soient détournés pour des attaques, est considérée comme une mesure radicale aux conséquences potentiellement involontaires. ### Impact généralisé, efficacité limitée Auparavant, la **FCC** ciblait des fournisseurs spécifiques comme **Huawei** et **Hytera**. Cette nouvelle interdiction affecte la quasi-totalité des nouveaux routeurs grand public, à l'exception de ceux fabriqués aux États-Unis, comme **Starlink** au Texas. Si certains routeurs concernés sont effectivement vulnérables, l'interdiction ne fait pas de distinction entre les fabricants ayant de mauvais antécédents en matière de sécurité et ceux ayant de meilleures pratiques. Cette approche pourrait étouffer la concurrence et limiter le choix des consommateurs sans nécessairement améliorer la sécurité. ### Manque la cible : l'éléphant dans la pièce de l'IoT L'annonce de la **FCC** faisait référence à une détermination de la branche exécutive soulignant la vulnérabilité de la chaîne d'approvisionnement posée par les routeurs produits à l'étranger, susceptible de perturber l'économie américaine, les infrastructures critiques et la défense nationale. Cependant, les critiques soutiennent que cette interdiction ne parvient pas à aborder l'implication croissante des appareils connectés dans les cyberattaques. Les attaques de la chaîne d'approvisionnement ont vu des boîtiers TV Android infectés par des **malware**, vendus par des détaillants comme **Amazon**, alimenter des botnets comme **Kimwolf** et **BADBOX 2**, utilisés pour la fraude et les services de proxy résidentiels. Prioriser l'interdiction de modèles et de fabricants spécifiques connus pour produire des appareils vulnérables serait plus efficace qu'une interdiction générale qui pénalise les marques réputées. ### Sous-entendus géopolitiques et conséquences potentielles Cette interdiction s'inscrit dans le cadre des efforts plus larges de l'administration pour imposer des tarifs et des décrets exécutifs liés au commerce sur les produits étrangers. Si certaines grandes entreprises disposant des ressources nécessaires pour établir des usines de fabrication aux États-Unis peuvent en bénéficier, d'autres pourraient chercher des exemptions auprès du **DoD** ou du **DHS**. L'effet immédiat est une politique mal ciblée avec un impact limité sur la cybersécurité intérieure, potentiellement renforçant les acteurs du marché existants et favorisant des arrangements problématiques de donnant-donnant. ### Un appel à la nuance et aux solutions ciblées Les consommateurs méritent l'assurance que leurs appareils, y compris les routeurs et les appareils domestiques intelligents, sont sécurisés quelle que soit leur origine. Une approche nuancée, telle que le **U.S. Cyber Trust Mark** proposé en 2023, qui évalue soigneusement les produits, est préférable aux interdictions générales.