Le gouvernement américain pourrait interdire les routeurs TP-Link en 2025 si des enquêtes confirment que leur utilisation pourrait poser un risque pour la sécurité nationale. Fondée en Chine, la société TP-Link fabrique des routeurs très prisés par les particuliers et les entreprises aux États-Unis. Microsoft rapporte que les cyberattaques chinoises passent par les routeurs TP-Link compromis.En août 2024, des membres du Congrès américain ont affirmé que le géant chinois des matériels pour réseaux locaux sans fil TP-Link représente une menace importante pour la sécurité nationale des États-Unis. Ils demandent l'ouverture d'une enquête sur les routeurs fabriqués par TP-Link et vendus aux États-Unis, car ils craignent que les appareils Wi-Fi de l'entreprise puissent être utilisés par la Chine pour lancer des campagnes de piratage parrainées par l'État.
Un rapport récent du Wall Street Journal révèle que le gouvernement américain envisage d'interdire les routeurs TP-Link à partir de 2025. En effet, les enquêtes actuelles du gouvernement américain cherche à savoir si les routeurs TP-Link, liés à des cyberattaques, représentent un risque pour la sécurité nationale.
Les départements du commerce, de la défense et de la justice ont ouvert des enquêtes distinctes sur l'entreprise, les autorités visant à interdire la vente de routeurs TP-Link aux États-Unis dès l'année prochaine. Un bureau du ministère du commerce a même cité la société à comparaître, tandis que le ministère de la défense a lancé son enquête sur les routeurs fabriqués en Chine au début de l'année.
TP-Link détient 65 % du marché américain et est le premier choix sur Amazon, alimentant les communications internet du ministère de la défense. Plus de 300 fournisseurs d'accès Internet américains proposent des routeurs TP-Link par défaut, et ces appareils sont utilisés par des agences gouvernementales telles que le ministère de la défense, la NASA et la DEA.
Les autorités américaines craignent que la Chine n'utilise ses routeurs pour mener des cyberattaques contre les infrastructures américaines.
En octobre, des acteurs chinois auraient utilisé le botnet Quad7 dans des attaques par pulvérisation de mot de passe pour voler des informations d'identification, prévient Microsoft. Le botnet Quad7, également connu sous le nom de CovertNetwork-1658 ou xlogin, a été repéré pour la première fois à l'été 2023 par le chercheur en sécurité Gi7w0rm.
En septembre 2024, l'équipe TDR de Sekoia a indiqué qu'elle avait identifié d'autres implants associés au fonctionnement du botnet Quad7. Les opérateurs du botnet ciblent de nombreux appareils SOHO et VPN, notamment TP-LINK, Zyxel, Asus, D-Link et Netgear, en exploitant des vulnérabilités connues et inconnues jusqu'à présent.
Les opérateurs entretiennent le réseau de zombies pour lancer des attaques distribuées par force brute sur les VPN, Telnet, SSH et les comptes Microsoft 365.
Microsoft avait prévenu des attaques de la Chine
Le botnet Quad7 est principalement composé de routeurs TP-Link compromis, avec des ports ouverts à des fins d'administration et de proxy. Ces routeurs sont utilisés pour relayer des attaques par force brute sur des comptes Microsoft 365. Des botnets similaires, comme alogin et rlogin, ciblent d'autres appareils, notamment les routeurs Asus (alogin) et les appareils Ruckus Wireless (rlogin), chacun ayant des ports ouverts distincts pour des fonctions d'administration et de proxy. Les experts ont remarqué que si alogin et xlogin comptent des milliers de dispositifs compromis, rlogin n'en compte que 213. D'autres variantes comme axlogin et zylogin ciblent respectivement les NAS Axentra et les VPN Zyxel, mais elles sont plus petites et moins observées.
Microsoft affirme désormais que des acteurs chinois, dont Storm-0940, utilisent des informations d'identification obtenues auprès de CovertNetwork-1658 par le biais d'attaques par pulvérisation de mot de passe. Active depuis 2021, Storm-0940 obtient des accès par pulvérisation de mots de passe, attaques par force brute et exploitation de services de périphérie de réseau, ciblant des secteurs tels que le gouvernement, le droit, la défense et les ONG en Amérique du Nord et en Europe. Microsoft a notifié les clients concernés et partagé des détails sur CovertNetwork-1658, les tactiques de Storm-0940 et les mesures d'atténuation recommandées pour aider à sécuriser les environnements affectés.
"Microsoft estime qu'un acteur de la menace situé en Chine a mis en place et entretient ce réseau. L'acteur de la menace exploite une vulnérabilité dans les routeurs pour obtenir une capacité d'exécution de code à distance. Nous continuons à enquêter sur l'exploit spécifique par lequel cet acteur de la menace compromet ces routeurs", peut-on lire dans le rapport publié par Microsoft. "Microsoft estime que de nombreux acteurs chinois utilisent les informations d'identification acquises lors des opérations de pulvérisation de mots de passe de CovertNetwork-1658 pour mener des activités d'exploitation de réseaux informatiques (CNE)."
Microsoft a remarqué que les campagnes de pulvérisation de mots de passe menées par l'intermédiaire de l'infrastructure CovertNetwork-1658 soumettaient un très petit nombre de tentatives de connexion à de nombreux comptes au sein d'une organisation cible. Dans la majorité des campagnes, soit environ 80 %, CovertNetwork-1658 n'effectue qu'une seule tentative de connexion par compte et par jour.
CovertNetwork-1658 est difficile à repérer en raison de son utilisation d'adresses IP SOHO compromises, d'un pool tournant de milliers d'adresses IP (avec des nœuds actifs pendant environ 90 jours) et de pulvérisations de mots de passe à faible volume, qui évitent une détection typique basée sur de multiples échecs d'ouverture de session.
Pour en revenir au présent, un porte-parole de la filiale américaine de TP-Link a déclaré que l'entreprise se réjouissait de toute occasion de collaborer avec le gouvernement américain afin de démontrer que ses pratiques en matière de sécurité sont conformes aux normes du secteur et de montrer son engagement continu envers le marché américain, les consommateurs et la lutte contre les risques de sécurité nationale.
Ce rapport semble confirmer la nouvelle position de l'Amérique sous l'administration Trump. Le nouveau conseiller à la sécurité nationale de Donald Trump a déclaré que l'Amérique devait adopter une position plus ferme face aux cyberattaques. Le représentant Mike Waltz (R-Fla.) a déclaré, lors d'une interview, qu'il était prêt à faire "taire" les pirates informatiques.
Source : The Wall Street Journal
Et vous ?
Pensez-vous que cette enquête est crédible ou pertinente ? Quel est votre avis sur la situation ?Voir aussi :
Les États-Unis interdisent les équipements de télécommunications de Huawei et ZTE pour des raisons de sécurité nationale. Les nouvelles règles affectent également trois autres entreprises chinoises Des chercheurs découvrent un logiciel espion chinois utilisé pour cibler les appareils Android et collecter des informations sensibles, notamment les journaux d'appels, les coordonnées GPS et les contacts BlackTech, des cyber-acteurs liés à la Chine, peuvent se cacher dans le micrologiciel d'un routeur. Les États-Unis et le Japon publient un avis de mise en garde contre leurs activités