Le gouvernement amricain pourrait interdire les routeurs TP-Link en 2025 si des enqutes confirment que leur utilisation pourrait poser un risque pour la scurit nationale. Fonde en Chine, la socit TP-Link fabrique des routeurs trs priss par les particuliers et les entreprises aux tats-Unis. Microsoft rapporte que les cyberattaques chinoises passent par les routeurs TP-Link compromis.
En aot 2024, des membres du Congrs amricain ont affirm que le gant chinois des matriels pour rseaux locaux sans fil TP-Link reprsente une menace importante pour la scurit nationale des tats-Unis. Ils demandent l’ouverture d’une enqute sur les routeurs fabriqus par TP-Link et vendus aux tats-Unis, car ils craignent que les appareils Wi-Fi de l’entreprise puissent tre utiliss par la Chine pour lancer des campagnes de piratage parraines par l’tat.
Un rapport rcent du Wall Street Journal rvle que le gouvernement amricain envisage d’interdire les routeurs TP-Link partir de 2025. En effet, les enqutes actuelles du gouvernement amricain cherche savoir si les routeurs TP-Link, lis des cyberattaques, reprsentent un risque pour la scurit nationale.
Les dpartements du commerce, de la dfense et de la justice ont ouvert des enqutes distinctes sur l’entreprise, les autorits visant interdire la vente de routeurs TP-Link aux tats-Unis ds l’anne prochaine. Un bureau du ministre du commerce a mme cit la socit comparatre, tandis que le ministre de la dfense a lanc son enqute sur les routeurs fabriqus en Chine au dbut de l’anne.
TP-Link dtient 65 % du march amricain et est le premier choix sur Amazon, alimentant les communications internet du ministre de la dfense. Plus de 300 fournisseurs d’accs Internet amricains proposent des routeurs TP-Link par dfaut, et ces appareils sont utiliss par des agences gouvernementales telles que le ministre de la dfense, la NASA et la DEA.
Les autorits amricaines craignent que la Chine n’utilise ses routeurs pour mener des cyberattaques contre les infrastructures amricaines.
En octobre, des acteurs chinois auraient utilis le botnet Quad7 dans des attaques par pulvrisation de mot de passe pour voler des informations d’identification, prvient Microsoft. Le botnet Quad7, galement connu sous le nom de CovertNetwork-1658 ou xlogin, a t repr pour la premire fois l’t 2023 par le chercheur en scurit Gi7w0rm.
En septembre 2024, l’quipe TDR de Sekoia a indiqu qu’elle avait identifi d’autres implants associs au fonctionnement du botnet Quad7. Les oprateurs du botnet ciblent de nombreux appareils SOHO et VPN, notamment TP-LINK, Zyxel, Asus, D-Link et Netgear, en exploitant des vulnrabilits connues et inconnues jusqu’ prsent.
Les oprateurs entretiennent le rseau de zombies pour lancer des attaques distribues par force brute sur les VPN, Telnet, SSH et les comptes Microsoft 365.
Microsoft avait prvenu des attaques de la Chine
Le botnet Quad7 est principalement compos de routeurs TP-Link compromis, avec des ports ouverts des fins d’administration et de proxy. Ces routeurs sont utiliss pour relayer des attaques par force brute sur des comptes Microsoft 365. Des botnets similaires, comme alogin et rlogin, ciblent d’autres appareils, notamment les routeurs Asus (alogin) et les appareils Ruckus Wireless (rlogin), chacun ayant des ports ouverts distincts pour des fonctions d’administration et de proxy. Les experts ont remarqu que si alogin et xlogin comptent des milliers de dispositifs compromis, rlogin n’en compte que 213. D’autres variantes comme axlogin et zylogin ciblent respectivement les NAS Axentra et les VPN Zyxel, mais elles sont plus petites et moins observes.
Microsoft affirme dsormais que des acteurs chinois, dont Storm-0940, utilisent des informations d’identification obtenues auprs de CovertNetwork-1658 par le biais d’attaques par pulvrisation de mot de passe. Active depuis 2021, Storm-0940 obtient des accs par pulvrisation de mots de passe, attaques par force brute et exploitation de services de priphrie de rseau, ciblant des secteurs tels que le gouvernement, le droit, la dfense et les ONG en Amrique du Nord et en Europe. Microsoft a notifi les clients concerns et partag des dtails sur CovertNetwork-1658, les tactiques de Storm-0940 et les mesures d’attnuation recommandes pour aider scuriser les environnements affects.
« Microsoft estime qu’un acteur de la menace situ en Chine a mis en place et entretient ce rseau. L’acteur de la menace exploite une vulnrabilit dans les routeurs pour obtenir une capacit d’excution de code distance. Nous continuons enquter sur l’exploit spcifique par lequel cet acteur de la menace compromet ces routeurs« , peut-on lire dans le rapport publi par Microsoft. « Microsoft estime que de nombreux acteurs chinois utilisent les informations d’identification acquises lors des oprations de pulvrisation de mots de passe de CovertNetwork-1658 pour mener des activits d’exploitation de rseaux informatiques (CNE).«
Microsoft a remarqu que les campagnes de pulvrisation de mots de passe menes par l’intermdiaire de l’infrastructure CovertNetwork-1658 soumettaient un trs petit nombre de tentatives de connexion de nombreux comptes au sein d’une organisation cible. Dans la majorit des campagnes, soit environ 80 %, CovertNetwork-1658 n’effectue qu’une seule tentative de connexion par compte et par jour.
CovertNetwork-1658 est difficile reprer en raison de son utilisation d’adresses IP SOHO compromises, d’un pool tournant de milliers d’adresses IP (avec des nuds actifs pendant environ 90 jours) et de pulvrisations de mots de passe faible volume, qui vitent une dtection typique base sur de multiples checs d’ouverture de session.
Pour en revenir au prsent, un porte-parole de la filiale amricaine de TP-Link a dclar que l’entreprise se rjouissait de toute occasion de collaborer avec le gouvernement amricain afin de dmontrer que ses pratiques en matire de scurit sont conformes aux normes du secteur et de montrer son engagement continu envers le march amricain, les consommateurs et la lutte contre les risques de scurit nationale.
Ce rapport semble confirmer la nouvelle position de l’Amrique sous l’administration Trump. Le nouveau conseiller la scurit nationale de Donald Trump a dclar que l’Amrique devait adopter une position plus ferme face aux cyberattaques. Le reprsentant Mike Waltz (R-Fla.) a dclar, lors d’une interview, qu’il tait prt faire « taire » les pirates informatiques.
Source : The Wall Street Journal
Et vous ?
Pensez-vous que cette enqute est crdible ou pertinente ?
Quel est votre avis sur la situation ?
Voir aussi :