Netgear obtient une exemption temporaire de la FCC alors que l’interdiction des routeurs aux États-Unis devient plus difficile à expliquer

Un léger revirement dans une politique confuse

La Commission fédérale des communications a accordé à Netgear une autorisation conditionnelle pour continuer à importer de futurs routeurs grand public, modems câble et passerelles câble aux États-Unis jusqu’au 1er octobre 2027. En apparence, il s’agit d’une décision administrative ordinaire. En pratique, elle introduit une exception majeure dans un domaine de politique publique qui a déjà eu du mal à se défendre de manière cohérente en public.

Cette autorisation ressort d’autant plus que Netgear fabrique ces produits en Asie et, d’après le reportage fourni, n’a pas annoncé de plan pour transférer cette production aux États-Unis. C’est important parce que le cadre d’autorisation conditionnelle de la FCC exigerait, selon les informations rapportées, que les fabricants de routeurs présentent un plan détaillé et limité dans le temps pour établir ou étendre leur production aux États-Unis. L’explication publique accompagnant la décision Netgear n’a pas clairement concilié cette exigence avec la situation de l’entreprise.

Le motif avancé par la FCC est mince

Selon le reportage fourni, la FCC s’est contentée d’indiquer que le Pentagone avait pris une décision précise selon laquelle les appareils concernés ne présentent pas de risque pour la sécurité nationale des États-Unis. C’est une affirmation importante, mais elle laisse sans réponse des questions évidentes. Pourquoi Netgear a-t-elle obtenu cette exemption, pourquoi maintenant, et comment le jugement du Pentagone s’articule avec la justification plus large des restrictions visant les routeurs fabriqués à l’étranger restent flous à partir des éléments fournis.

L’absence d’explication est d’autant plus notable que les arguments avancés auparavant en faveur d’une interdiction large des routeurs reposaient sur des préoccupations de sécurité nationale liées à des incidents comme Volt Typhoon, la campagne de piratage chinoise qui a compromis une série d’infrastructures connectées à Internet. Pourtant, la source fournie note que des routeurs Netgear figuraient parmi les appareils visés dans ce contexte. Si la logique précédente impliquait que les routeurs grand public fabriqués à l’étranger présentaient un risque intrinsèque, alors une dérogation accordée à l’une des marques touchées appelle un standard public plus précis que celui qui a été proposé jusqu’ici.

Cette incohérence touche au cœur du problème de politique publique. Les failles de sécurité dans les équipements réseau grand public impliquent souvent des mots de passe faibles, des correctifs mal appliqués, des firmwares obsolètes et des pratiques d’exploitation incohérentes. Ce sont des problèmes graves, mais ils ne se confondent pas avec l’idée qu’un appareil serait vulnérable parce qu’il est fabriqué à l’étranger. En accordant un allègement à Netgear sans redéfinir clairement la règle, les régulateurs ont peut-être rendu la politique sous-jacente plus arbitraire, plutôt que plus rigoureuse.

Ce que l’exemption signifie pour le marché

Pour Netgear, le résultat immédiat est important. L’entreprise peut continuer à expédier ses produits concernés vers le marché américain, évitant ainsi un choc direct sur l’un des plus grands segments mondiaux du réseau grand public. Pour les détaillants, distributeurs et clients, cela réduit le risque d’une interruption brutale de la disponibilité des produits. Ce type de continuité compte dans des catégories comme les routeurs et les passerelles câble, où les cycles de remplacement, la compatibilité avec les FAI et les mises à niveau du haut débit domestique sont déjà suffisamment complexes.

Mais l’effet plus large sur le marché pourrait être encore plus important. Les concurrents auront désormais des raisons de se demander si la même voie leur est accessible et, si oui, à quelles conditions. Si des autorisations conditionnelles peuvent être accordées sans changement clair de fabrication ni norme de sécurité publiée de manière transparente, le processus risque de paraître discrétionnaire. Ce n’est idéal ni pour la planification des investissements ni pour l’ajustement des chaînes d’approvisionnement.

Cette décision oblige aussi les régulateurs à expliquer s’ils ciblent le lieu de fabrication, la structure de propriété, l’assurance logicielle ou une combinaison des trois. Ce sont des objectifs de politique très différents. Une règle visant une fabrication de confiance n’est pas la même qu’une règle visant la sécurité logicielle ou la gouvernance des correctifs. Sans cette distinction, l’industrie ne peut pas facilement prévoir ce que signifie réellement la conformité.

Un dossier de sécurité nationale nécessite toujours une norme technique

Il ne s’agit pas de dire que les routeurs grand public sont sans importance pour la sécurité nationale. Ils constituent souvent des points faibles dans les campagnes cyber réelles, et ils se trouvent à la périphérie des foyers et des petites entreprises qui en dépendent de plus en plus pour travailler, communiquer et connecter des appareils. Mais si les régulateurs veulent traiter ce risque sérieusement, ils ont besoin d’un cadre permettant de distinguer un déploiement non sécurisé, un logiciel non sécurisé et une exposition stratégique de la chaîne d’approvisionnement.

L’exemption accordée à Netgear suggère que de telles distinctions sont déjà faites à huis clos. Si tel est le cas, l’étape suivante devrait être de les rendre publiques. Sinon, cette politique continuera d’apparaître moins comme un régime de sécurité durable que comme une série d’exceptions ad hoc.

Pour l’instant, Netgear a gagné du temps, et la FCC a repoussé une perturbation concrète du marché. Ce qu’elle n’a pas fait, du moins d’après le dossier public décrit dans la source, c’est rendre la logique de la répression américaine contre les routeurs plus facile à comprendre.

Cet article est basé sur un reportage de The Verge. Lire l’article original.