🏛️ Contexte
Le 23 mars 2026, le Bureau de la Sécurité Publique et de la Sécurité Intérieure de la Federal Communications Commission (FCC) a publié l’avis DA 26-278 annonçant l’ajout de tous les routeurs produits dans un pays étranger à la Covered List — la liste des équipements et services jugés comme présentant un risque inacceptable pour la sécurité nationale américaine, en vertu du Secure and Trusted Communications Networks Act of 2019.
📋 Détermination de sécurité nationale
Le 20 mars 2026, la Maison Blanche a transmis à la FCC une National Security Determination issue d’un organe interagences de l’exécutif. Cette détermination identifie deux risques majeurs posés par les routeurs d’origine étrangère :
- (1) Introduction d’une vulnérabilité dans la chaîne d’approvisionnement susceptible de perturber l’économie, les infrastructures critiques et la défense nationale américaines
- (2) Établissement d’un risque cybersécurité sévère pouvant être exploité pour perturber immédiatement les infrastructures critiques américaines et nuire directement aux citoyens
⚔️ Menaces documentées
La détermination cite explicitement plusieurs campagnes d’attaques ayant impliqué des routeurs produits à l’étranger :
- Les cyberattaques Volt Typhoon, Flax Typhoon et Salt Typhoon, ciblant les infrastructures critiques américaines (communications, énergie, transport, eau)
- L’exploitation de routeurs compromis pour créer des botnets utilisés comme proxies pour des attaques DDoS, du password spraying et de l’espionnage
- L’acteur Storm-0940 (Microsoft, octobre 2024) ayant utilisé des routeurs étrangers compromis pour mener des attaques par password spray contre des organisations en Amérique du Nord et en Europe
- Des acteurs APT modifiant les configurations de routeurs pour effectuer du mouvement latéral et utiliser des conteneurs virtualisés sur les équipements réseau pour échapper à la détection (CISA, septembre 2025)
📜 Mise à jour de la Covered List
La nouvelle entrée ajoutée est : “Routers produced in a foreign country, except routers which have been granted a Conditional Approval by DoW or DHS.” (en vigueur au 23 mars 2026)
Les routeurs concernés sont définis selon le NIST IR 8425A comme des équipements réseau grand public destinés à un usage résidentiel, installables par le client, et assurant le routage de paquets IP.
🔄 Processus d’approbation conditionnelle
Un mécanisme d’Approbation Conditionnelle (Conditional Approval) est prévu : les fabricants de routeurs produits à l’étranger peuvent soumettre un dossier au Department of War (DoW) ou au Department of Homeland Security (DHS) pour obtenir une exemption temporaire (jusqu’à 18 mois), sous réserve de fournir des informations détaillées sur la structure d’entreprise, la chaîne d’approvisionnement et un plan de relocalisation de la production aux États-Unis.
🗂️ Type d’article
Il s’agit d’un acte réglementaire officiel (cyberlégislation) publié par la FCC, visant à restreindre l’utilisation de routeurs d’origine étrangère sur le marché américain pour des raisons de sécurité nationale et de cybersécurité.
🧠 TTPs et IOCs détectés
Acteurs de menace
- Volt Typhoon (state-sponsored) — orkl.eu · Malpedia · MITRE ATT&CK
- Flax Typhoon (state-sponsored) — orkl.eu · Malpedia
- Salt Typhoon (state-sponsored) — orkl.eu · Malpedia · MITRE ATT&CK
- Storm-0940 (state-sponsored) — orkl.eu · Malpedia
TTP
- T1584.008 — Compromise Infrastructure: Network Devices (Resource Development)
- T1110.003 — Brute Force: Password Spraying (Credential Access)
- T1021 — Remote Services (Lateral Movement)
- T1090 — Proxy (Command and Control)
- T1498 — Network Denial of Service (Impact)
- T1557 — Adversary-in-the-Middle (Collection)
- T1078 — Valid Accounts (Defense Evasion)
🔗 Source originale : https://www.fcc.gov/document/fcc-adds-routers-produced-foreign-countries-covered-list