Selon KrebsOnSecurity, le gouvernement des États-Unis préparerait une mesure visant à interdire la vente de routeurs sans fil et d’autres équipements réseau fabriqués par TP-Link Systems. es autorités américaines envisagent une interdiction nationale de vente des routeurs et équipements réseau TP-Link Systems, soupçonnant des risques liés à l’influence du gouvernement chinois. Cette mesure, soutenue par plusieurs agences fédérales, viserait un acteur dominant du marché — près de 50 % des foyers et petites entreprises américaines utilisent du matériel TP-Link.
⚠️ Contexte et accusations
Selon le Washington Post, le Département du commerce américain considère que les produits TP-Link manipulent des données sensibles d’utilisateurs américains et restent sous juridiction ou influence chinoise.
TP-Link Systems — dont le siège est en Californie et la production majoritairement située au Vietnam — affirme pourtant avoir rompu tout lien opérationnel avec la maison-mère chinoise TP-Link Technologies depuis trois ans.
“TP-Link conteste vigoureusement toute allégation selon laquelle ses produits présenteraient des risques pour la sécurité nationale,”
a déclaré la porte-parole Ricca Silverio.
🧩 Antécédents de vulnérabilités et préoccupations
Les inquiétudes américaines s’appuient sur plusieurs éléments :
- En mai 2023, Check Point Research a documenté une campagne d’attaques chinoises (Camaro Dragon) exploitant un firmware malveillant sur des routeurs TP-Link, visant des entités diplomatiques européennes.
- En octobre 2024, Microsoft a révélé que plusieurs groupes d’espionnage chinois utilisaient des routeurs TP-Link compromis pour lancer des attaques de type password spraying contre des comptes Microsoft.
- En août 2024, des membres du Congrès américain ont alerté sur la présence de routeurs TP-Link sur des bases militaires et dans des points de vente destinés aux familles de soldats.
Les parlementaires ont averti :
“La combinaison d’une forte vulnérabilité technique et de la conformité au droit chinois crée une situation alarmante.”
🧠 TTPs (Techniques, Tactiques et Procédures)
| Phase MITRE ATT&CK | Technique observée / rapportée | Description |
|---|---|---|
| Initial Access | Injection de firmware malveillant | Utilisation d’un implant pour compromettre des routeurs TP-Link (Camaro Dragon) |
| Execution | Exploitation du firmware modifié | Exécution de code espion sur des réseaux ciblés |
| Persistence | Maintien via firmware custom | Persistance après redémarrage du routeur |
| Command & Control | Tunnelisation via infrastructure domestique | Usage de routeurs compromis comme relais de commande |
| Credential Access | Attaques de password spraying | Tentatives massives sur comptes Microsoft (selon Microsoft, 2024) |
🔍 Points clés techniques
- Les routeurs SOHO (Small Office/Home Office) constituent des cibles privilégiées pour les APTs, car souvent mal configurés ou non mis à jour.
- Firmware obsolète par défaut : nombre de modèles TP-Link (et concurrents) sont livrés avec des versions non corrigées.
- Accès distant non sécurisé : plusieurs modèles exposent encore des interfaces d’administration accessibles via Internet.
TP-Link souligne cependant que d’autres fabricants (Cisco, Netgear, Belkin) ont également été exploités par des acteurs étatiques, et que les vulnérabilités réseau sont universelles dans cette gamme de produits.
🧩 IoCs et informations de contexte
| Type | Indicateur / Source | Détails |
|---|---|---|
| Groupe APT | Camaro Dragon | Attaques contre diplomatie européenne (Check Point, 2023) |
| Malware | Firmware malveillant TP-Link | Implant spécifique modifiant le firmware |
| Activité malveillante | Password spraying massif | Observé par Microsoft depuis 2021 |
| Périmètre affecté | Routeurs SOHO TP-Link | Compromis et utilisés comme relais d’attaque |
🧭 En résumé
Le gouvernement américain s’apprête à interdire les ventes de TP-Link sur le territoire, invoquant des risques de sécurité nationale et des liens persistants avec la Chine.
Bien que TP-Link nie toute ingérence, les preuves d’utilisation de ses routeurs dans des cyberopérations chinoises renforcent la méfiance des autorités.
L’affaire illustre les tensions entre sécurité, dépendance matérielle et chaînes d’approvisionnement globalisées dans le secteur des équipements réseau.
Il s’agit d’un article de presse spécialisé visant à informer sur une évolution réglementaire touchant l’écosystème réseau et ses fournisseurs.
🔗 Source originale : https://krebsonsecurity.com/2025/11/drilling-down-on-uncle-sams-proposed-tp-link-ban/