La Consumer Technology Association (CTA) a récemment exhorté la Federal Communications Commission (FCC) à reconsidérer certaines de ses interdictions sur les routeurs fabriqués à l'étranger, en particulier la disposition qui interdit aux routeurs fabriqués à l'étranger dont l'utilisation a été approuvée aux États-Unis de continuer à recevoir des mises à jour de logiciels et de micrologiciels. CTA, organisateur et propriétaire du Salon international de l'électronique grand public (CES), a déclaré dans un document déposé auprès de la FCC que cette approche pourrait exposer des millions de routeurs déjà déployés dans les foyers et les bureaux à des failles de sécurité au cours des prochaines années.
Selon les documents soumis à la FCC, les représentants du CTA ont rencontré la FCC la semaine dernière au sujet de cette « interdiction des routeurs étrangers ». Le CTA a souligné qu’il soutenait l’objectif global de l’administration Trump actuelle de renforcer les contrôles sur les équipements et les services considérés comme présentant des « risques de sécurité inacceptables » pour des raisons de sécurité nationale. Cependant, l'association a souligné que si les mises à jour des logiciels et des micrologiciels sont interdites pour les appareils déjà utilisés, le résultat sera probablement à l'opposé de l'intention initiale : non seulement la sécurité ne sera pas améliorée, mais de nouveaux risques de sécurité continueront de s'accumuler à l'avenir.
Actuellement, la FCC a émis une exemption temporaire qui permet aux routeurs fabriqués à l'étranger dont la vente et l'utilisation ont été précédemment autorisées aux États-Unis de continuer à recevoir des mises à jour de logiciels et de micrologiciels, y compris des correctifs de sécurité et des correctifs de compatibilité, au moins jusqu'au 1er mars 2027. La CTA souhaite que le régulateur révoque ce « délai » ou au moins le prolonge davantage. L'organisation a souligné à la FCC que les mises à jour continues constituent souvent l'un des moyens les plus efficaces de gérer les risques de sécurité, en particulier pour les équipements déployés sur les sites des utilisateurs finaux et qui ne peuvent pas être remplacés dans leur ensemble à court terme.
Le CTA prévient que l'interruption de ces mises à jour après l'expiration de la période d'exemption créera instantanément un grand nombre de routeurs « non entretenus ». Ces appareils continueront de fonctionner et resteront connectés, mais ne recevront plus de correctifs de sécurité. Dans ce cas, ils deviendront des cibles de plus en plus attractives pour les opérateurs de réseaux de zombies ainsi que pour les pirates informatiques parrainés par l’État, amplifiant ainsi le risque pour l’environnement réseau global.
Selon les instructions de la FCC en mars de cette année, l'agence prévoit d'ajouter à sa « liste couverte » les routeurs produits dans certains pays étrangers. Une fois répertoriés, les nouveaux routeurs grand public fabriqués à l'étranger ne pourront pas obtenir l'autorisation de la FCC sans avoir reçu au préalable l'approbation conditionnelle du département américain de la Défense ou du département de la Sécurité intérieure. Cela signifie que le seuil d'entrée de nouveaux produits sur le marché américain sera considérablement relevé à l'avenir, tandis que le soutien ultérieur aux appareils existants dépendra d'exemptions et d'ajustements politiques.
Bien que la surveillance globale soit devenue plus stricte, certains fabricants ont pris l'initiative d'obtenir des qualifications exceptionnelles. Parmi elles, Netgear est l’une des premières marques à être exemptée. Son exemption couvre les routeurs des séries Nighthawk et Orbi ainsi que certaines passerelles filaires et modems câble. L'exemption est valable jusqu'au 1er octobre 2027. Le routeur de classe Service Delivery Gateway d'Adtran a également été approuvé, et la période d'exemption se termine également à cette date.
Récemment, eero LLC d'Amazon a également bénéficié d'une exemption conditionnelle. Sa gamme de produits eero, eero Pro, eero Max, eero PoE, eero Outdoor, eero Signal et les routeurs nommés Amazon Leo peuvent continuer à être mis à jour jusqu'au 31 octobre 2027. Pendant ce temps, TP-Link, qui détient une part énorme du marché américain des routeurs grand public, cherche toujours activement sa propre exemption. La société a souligné à plusieurs reprises que, bien qu’elle soit originaire de Chine, son siège social est actuellement situé à Irvine, en Californie, et qu’elle doit donc être considérée comme une société américaine.
La FCC a déclaré qu'elle réévaluerait l'exemption de renouvellement temporaire avant son expiration. Cependant, le CTA estime qu'attendre que la date limite se rapproche pour prendre une décision placera les consommateurs, les fabricants d'équipements et les détaillants face à une énorme incertitude au cours des prochaines années. Aux yeux de nombreux utilisateurs, les routeurs domestiques et professionnels sont souvent considérés comme des appareils à long terme qui peuvent être utilisés « pendant de nombreuses années ». Une fois que les politiques de mise à jour changent soudainement, les préparatifs en matière de sécurité de la chaîne d'approvisionnement et des utilisateurs peuvent avoir du mal à suivre le rythme.